FAQ

Gli identificativi CVE sono assegnati da un'organizzazione americana senza scopo di lucro chiamata MITRE Corporation, che gestisce il programma CVE per conto della Cybersecurity and Infrastructure Security Agency (CISA). MITRE non distribuisce da sola tutti gli identificativi: si affida a una rete di partner chiamati CNA (CVE Numbering Authorities).

Un CNA può essere un produttore di software, un fornitore di sicurezza, un CERT o un'organizzazione specializzata in vulnerabilità. Ogni CNA è autorizzato ad assegnare identificativi CVE per le vulnerabilità scoperte nei propri prodotti o nel proprio ambito. Questo sistema permette di accelerare la segnalazione delle falle mantenendo una struttura centralizzata tramite MITRE.

L'elenco CWE è gestito dalla MITRE Corporation, la stessa organizzazione che gestisce il programma CVE. MITRE è supportata dal Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) e da altri attori pubblici e privati per sviluppare e aggiornare questa base di conoscenza.

Anche la comunità svolge un ruolo chiave: ricercatori, editori, governi e industriali possono proporre nuove vulnerabilità, suggerire modifiche o condividere feedback sull'utilità delle voci esistenti. La base è pubblica, accessibile liberamente online e continuamente arricchita per riflettere l'evoluzione delle tecnologie e delle tecniche di attacco.

Il processo di pubblicazione di un CVE inizia generalmente con la presentazione di un rapporto di vulnerabilità a un CNA o direttamente a MITRE. Se la falla viene riconosciuta come legittima, viene riservato un identificativo CVE. A questo punto, il CVE può rimanere "riservato" per un certo periodo, in attesa della convalida tecnica, dell'accordo delle parti interessate o della disponibilità di una correzione.

Una volta verificate tutte le informazioni, il CVE viene reso pubblico tramite il sito ufficiale di MITRE (cve.org) e altre piattaforme come NVD (National Vulnerability Database) o CVE Find. Include una breve descrizione tecnica della vulnerabilità, la data di pubblicazione, i prodotti interessati e talvolta riferimenti a correzioni o avvisi di sicurezza.

Il CWE Top 25 è una lista annuale delle 25 debolezze più pericolose in materia di sicurezza del software. È stilata da MITRE a partire da dati pubblici provenienti dal NVD (National Vulnerability Database) e da altre fonti, analizzando la frequenza e l'impatto delle debolezze associate a CVE reali.

Questa classifica è preziosa per gli sviluppatori e i team di sicurezza, poiché mette in luce gli errori più comuni e critici, come le injection, i buffer overflow o i problemi di autenticazione. Concentrandosi su queste debolezze prioritarie, le organizzazioni possono migliorare rapidamente la loro postura di sicurezza, anche con risorse limitate.

CAPEC significa Common Attack Pattern Enumeration and Classification. È una base di conoscenza strutturata sviluppata da MITRE che elenca e descrive i modelli di attacco noti utilizzati contro i sistemi informatici. A differenza degli incidenti isolati, i CAPEC descrivono strategie riutilizzabili dagli aggressori per sfruttare le vulnerabilità.

Ogni modello CAPEC è una rappresentazione astratta di un comportamento dannoso: spiega come viene condotto un attacco, quale tipo di debolezza mira e con quale obiettivo. L'obiettivo di CAPEC è aiutare i professionisti della sicurezza a comprendere, rilevare e anticipare meglio le tattiche utilizzate dagli aggressori.

CAPEC e CWE sono due database complementari gestiti da MITRE, ma non hanno lo stesso obiettivo. CWE descrive le debolezze tecniche nel codice o nella progettazione (es: mancanza di convalida dell'input), mentre CAPEC descrive i metodi di attacco che sfruttano queste debolezze (es: SQL injection).

In altre parole, CWE si concentra sulla causa, mentre CAPEC si concentra sull'azione dell'attaccante. I due possono essere collegati: un modello CAPEC specifica spesso quali CWE prende di mira, il che consente di collegare la vulnerabilità teorica, lo sfruttamento pratico e i CVE associati.

La fonte ufficiale del database CAPEC è il sito web di MITRE. Questo portale permette di esplorare tutti i modelli classificati per tipo di attacco, per complessità, per target, o ancora per livello di sofisticazione. Ogni scheda è accompagnata da definizioni precise, da esempi, e da link verso altre risorse utili (CWE, ATT&CK, ecc.).