La CISA (Cybersecurity and Infrastructure Security Agency) è un'agenzia governativa americana. È incaricata di proteggere le infrastrutture critiche degli Stati Uniti contro le minacce cyber e fisiche, fornendo supporto, strumenti e raccomandazioni alle amministrazioni, alle aziende e al pubblico.
Nel campo della cybersecurity, la CISA agisce come un centro di coordinamento per prevenire gli attacchi informatici, reagire agli incidenti, condividere informazioni sulle minacce e promuovere le migliori pratiche di sicurezza. Sebbene americana, il suo ruolo e le sue risorse influenzano le pratiche di cybersecurity a livello globale, grazie alla sua trasparenza e alla sua leadership.
La lista KEV (Known Exploited Vulnerabilities) pubblicata dalla CISA elenca le vulnerabilità attivamente sfruttate in natura, ovvero già utilizzate in attacchi informatici reali. L'obiettivo di questa lista è aiutare le organizzazioni a dare priorità ai propri sforzi di correzione, concentrandosi sulle falle che rappresentano una minaccia immediata.
Pubblicando questa lista, la CISA fornisce uno strumento di gestione dei rischi molto concreto: segnala non solo le falle conosciute, ma anche le più critiche e urgenti. Per le agenzie federali americane, la correzione di queste falle è obbligatoria entro termini rigorosi. Ma al di là degli Stati Uniti, la KEV è ampiamente consultata dai professionisti della cybersecurity in tutto il mondo per orientare la loro strategia di patch management.
Una CVE è semplicemente una dichiarazione pubblica dell'esistenza di una falla in un determinato prodotto, mentre una vulnerabilità sfruttata significa che un attaccante sta attivamente utilizzando tale falla per compromettere i sistemi. In altre parole, non tutte le CVE vengono sfruttate in condizioni reali: alcune possono rimanere teoriche o tecniche.
Al contrario, una vulnerabilità può essere sfruttata senza aver ancora ricevuto una CVE: questo è ciò che viene chiamato zero-day. Per valutare il pericolo reale di una CVE, è necessario consultare informazioni complementari come i dati KEV della CISA o il punteggio EPSS, che indicano se la falla è attivamente utilizzata in attacchi informatici. Queste informazioni sono disponibili direttamente dal nostro sito Internet CVE Find.