Una CVE (Common Vulnerabilities and Exposures) è un identificativo univoco assegnato a una vulnerabilità nota in un sistema informatico, un software o un hardware. Permette di nominare e tracciare precisamente una falla, anche quando è trattata da diversi fornitori, strumenti o database. Ogni CVE segue il formato CVE-anno-numero, come ad esempio CVE-2023-12345.
Lo scopo delle CVE è di uniformare la comunicazione riguardo alle falle di sicurezza: invece di utilizzare descrizioni variabili, tutti gli attori possono fare riferimento allo stesso identificativo. Ciò facilita il coordinamento tra i ricercatori, gli editori di software, i team di sicurezza e i fornitori di soluzioni di sicurezza.
Una CWE (Common Weakness Enumeration) è una classificazione standardizzata delle debolezze suscettibili di condurre a vulnerabilità in software, firmware o sistemi. A differenza delle CVE, che designano vulnerabilità specifiche e documentate in un prodotto dato, le CWE descrivono tipi di difetti di progettazione o di programmazione che possono influenzare la sicurezza di un sistema.
Per esempio, una CWE può descrivere una cattiva gestione della memoria, un'iniezione di comandi, o ancora una validazione insufficiente degli ingressi. Queste debolezze possono poi essere rilevate in molteplici software, e associate a delle CVE individuali se vengono sfruttate in un contesto reale.
Una vulnerabilità zero-day è una falla di sicurezza sconosciuta al produttore o all'editore di un software, di un hardware o di un sistema. È detta "zero-day" perché l'editore ha avuto zero giorni per correggere la vulnerabilità nel momento in cui viene scoperta o sfruttata. Non è quindi ancora stata oggetto di una patch ufficiale né di una segnalazione pubblica.
Queste falle possono esistere per mesi, persino anni, senza essere rilevate. Quando vengono trovate da criminali informatici o gruppi statali, possono essere sfruttate in tutta discrezione, rendendo il loro impatto potenzialmente molto grave.
EPSS significa Exploit Prediction Scoring System, che si traduce in sistema di valutazione della previsione di exploit. Si tratta di un modello probabilistico che assegna a ogni vulnerabilità (generalmente identificata da un identificativo CVE) una probabilità di essere sfruttata entro 30 giorni dalla sua osservazione.
L'obiettivo dell'EPSS è quello di completare gli altri sistemi di valutazione (come il CVSS) aggiungendo un livello dinamico e contestuale basato su dati reali di exploit osservati in natura. Ciò consente alle organizzazioni di dare una priorità più efficace ai propri sforzi di correzione basandosi sul rischio di exploit reale.
Sì, diversi zero-day famosi hanno segnato la storia della cybersecurity. Uno dei più noti è Stuxnet, un malware scoperto nel 2010, progettato per sabotare le centrifughe nucleari in Iran. Sfruttava diversi zero-day in Windows, rivelando il livello di sofisticazione di alcune operazioni cyber offensive.
Un altro esempio: WannaCry, un ransomware che ha colpito centinaia di migliaia di computer nel 2017, sfruttava una vulnerabilità di Windows rivelata dal gruppo Shadow Brokers. Sebbene una patch fosse stata rilasciata poco prima dell'attacco, molti sistemi non erano aggiornati, dimostrando che la gestione delle patch rimane un anello debole. Questi esempi ricordano l'impatto devastante che possono avere le vulnerabilità non corrette.
Sì, sempre più organizzazioni utilizzano l'EPSS come criterio prioritario per decidere quali vulnerabilità correggere per prime, in particolare quando si trovano ad affrontare un grande volume di falle da gestire. Correggere tutte le CVE con un punteggio CVSS elevato può essere costoso e inefficiente, soprattutto se alcune non vengono mai sfruttate. L'EPSS permette quindi di focalizzare le risorse sulle falle realmente pericolose.
Alcune politiche di sicurezza integrano ormai delle soglie d'azione basate sull'EPSS, ad esempio: “correggere ogni vulnerabilità con un punteggio EPSS > 0.7 entro 48 ore”. Questo approccio pragmatico permette di accelerare la remediation laddove è più utile, limitando al contempo le interruzioni non giustificate.
Le CWE sono modelli astratti di debolezze, mentre le CVE sono incidenti concreti. Una CVE rappresenta una vulnerabilità identificata in un software o sistema specifico, mentre una CWE descrive una debolezza generica presente nel codice o nell'architettura, senza necessariamente essere sfruttata.
Facciamo un esempio: una CVE potrebbe riguardare un'iniezione SQL in un'applicazione web, mentre la CWE corrispondente sarebbe CWE-89: Improper Neutralization of Special Elements used in an SQL Command. In sintesi, le CWE servono a categorizzare e analizzare le falle, mentre le CVE permettono di seguirle e correggerle individualmente.
Quando si affronta un conflitto (ad esempio con un fornitore) o un ransomware che richiede il pagamento di un riscatto. Il servizio di negoziazione consente di esplorare le opzioni legali e operative.
No, l'EPSS non sostituisce il CVSS: i due sistemi sono complementari. Il CVSS fornisce una misura strutturale della gravità, utile per comprendere l'impatto potenziale di una vulnerabilità. L'EPSS, invece, fornisce una misura comportamentale e predittiva, incentrata sulla probabilità di sfruttamento reale.
Insieme, questi due punteggi consentono una valutazione più precisa del rischio, sia sul piano teorico che operativo. Molte aziende adottano un approccio ibrido, ad esempio trattando solo le vulnerabilità che hanno sia un CVSS ≥ 7 che un EPSS ≥ 0.5, oppure utilizzando matrici di rischio arricchite di questi due indicatori.
Obiettivi precisi e misurabili permettono di strutturare le risorse disponibili, di anticipare le minacce e di mettere in atto piani d'azione mirati per rafforzare la resilienza globale della vostra infrastruttura.
Formare il personale alla cybersecurity è cruciale, poiché l'elemento umano rimane l'anello più vulnerabile nella maggior parte degli incidenti di sicurezza. Che si tratti di un clic su un link di phishing, di una password troppo debole o della condivisione involontaria di informazioni sensibili, gli errori umani sono all'origine di molte compromissioni.
Una buona formazione permette ai collaboratori di riconoscere le minacce, di adottare comportamenti sicuri quotidianamente (gestione delle password, vigilanza verso le email sospette, rispetto delle procedure) e di reagire correttamente in caso di dubbio. Ciò rafforza la postura di sicurezza globale dell'azienda e riduce significativamente il rischio di attacchi riusciti.
I CVE svolgono un ruolo centrale nella gestione delle vulnerabilità. Forniscono un linguaggio comune a tutti gli attori della cybersecurity per tracciare e documentare le falle, il che permette di dare priorità alle correzioni, automatizzare le analisi e strutturare la sorveglianza della sicurezza. Senza i CVE, ogni editore o ricercatore potrebbe descrivere una falla in modo diverso, rendendo il coordinamento complesso.
Sono anche utilizzati dagli strumenti di scansione delle vulnerabilità, dai SIEM, dai SOC e dai CISO per stabilire delle politiche di risposta agli incidenti. La loro adozione mondiale garantisce che le falle siano identificabili e che le difese possano essere attivate più rapidamente e in modo coordinato.
La lista KEV (Known Exploited Vulnerabilities) pubblicata dalla CISA elenca le vulnerabilità attivamente sfruttate in natura, ovvero già utilizzate in attacchi informatici reali. L'obiettivo di questa lista è aiutare le organizzazioni a dare priorità ai propri sforzi di correzione, concentrandosi sulle falle che rappresentano una minaccia immediata.
Pubblicando questa lista, la CISA fornisce uno strumento di gestione dei rischi molto concreto: segnala non solo le falle conosciute, ma anche le più critiche e urgenti. Per le agenzie federali americane, la correzione di queste falle è obbligatoria entro termini rigorosi. Ma al di là degli Stati Uniti, la KEV è ampiamente consultata dai professionisti della cybersecurity in tutto il mondo per orientare la loro strategia di patch management.
Una rete robusta e ben configurata previene la maggior parte degli attacchi e assicura la continuità delle vostre operazioni, anche in periodi di forte sollecitazione o di elevata minaccia cyber.
Combiniamo competenza tecnica e metodologia all'avanguardia per identificare rapidamente le vulnerabilità, proporre correzioni e rafforzare la tua piattaforma contro gli attacchi informatici.