La lista KEV (Known Exploited Vulnerabilities) pubblicata dalla CISA elenca le vulnerabilità attivamente sfruttate in natura, ovvero già utilizzate in attacchi informatici reali. L'obiettivo di questa lista è aiutare le organizzazioni a dare priorità ai propri sforzi di correzione, concentrandosi sulle falle che rappresentano una minaccia immediata.
Pubblicando questa lista, la CISA fornisce uno strumento di gestione dei rischi molto concreto: segnala non solo le falle conosciute, ma anche le più critiche e urgenti. Per le agenzie federali americane, la correzione di queste falle è obbligatoria entro termini rigorosi. Ma al di là degli Stati Uniti, la KEV è ampiamente consultata dai professionisti della cybersecurity in tutto il mondo per orientare la loro strategia di patch management.
Una CVE è semplicemente una dichiarazione pubblica dell'esistenza di una falla in un determinato prodotto, mentre una vulnerabilità sfruttata significa che un attaccante sta attivamente utilizzando tale falla per compromettere i sistemi. In altre parole, non tutte le CVE vengono sfruttate in condizioni reali: alcune possono rimanere teoriche o tecniche.
Al contrario, una vulnerabilità può essere sfruttata senza aver ancora ricevuto una CVE: questo è ciò che viene chiamato zero-day. Per valutare il pericolo reale di una CVE, è necessario consultare informazioni complementari come i dati KEV della CISA o il punteggio EPSS, che indicano se la falla è attivamente utilizzata in attacchi informatici. Queste informazioni sono disponibili direttamente dal nostro sito Internet CVE Find.
No, l'esistenza di una CVE non garantisce che sia disponibile una patch. Una CVE può essere pubblicata prima che un fornitore abbia sviluppato una patch, o anche in casi in cui non è prevista alcuna patch (ad esempio, per software obsoleti o non più supportati). In queste situazioni, gli utenti devono implementare misure di mitigazione o disabilitare determinate funzionalità vulnerabili.
È quindi essenziale non solo consultare le CVE, ma anche verificare le raccomandazioni dei fornitori e database come l'NVD o il database KEV, che possono indicare se esiste una patch e entro quali tempistiche è prevista. Una buona gestione dei rischi tiene conto sia della gravità della vulnerabilità sia della disponibilità di soluzioni.