All’interno di questo articolo analizzeremo nel dettaglio che cosa si intende per CVE e perché esse sono importanti per la cybersecurity.
Cos’è una CVE?
CVE sta per Vulnerabilità ed Esposizioni Comuni (Common Vulnerabilities and Exposures). Si tratta di un glossario pubblicamente disponibile di vulnerabilità note della sicurezza informatica e di difetti di sistema che possono essere sfruttati dai malintenzionati per hackerare dispositivi, sistemi o programmi.
Ogni voce include i dettagli CVE: un numero ID seriale univoco, una breve descrizione e almeno un riferimento pubblico. Sono accessibili tramite il sito web di CVE.
Le autorità di numerazione CVE (CNA) sono organizzazioni che assegnano ID CVE alle varie vulnerabilità individuate. Esistono circa 100 CNA che includono società IT, istituti di ricerca, organizzazioni di sicurezza, ecc.
L’intero processo è supervisionato da una CNA senza scopo di lucro chiamata Mitre Corporation, che gestisce centri di ricerca e sviluppo finanziati dal governo. Mitre è sponsorizzata dalla Cybersecurity and Infrastructure Security Agency (CISA) del Dipartimento per la sicurezza interna degli Stati Uniti d’America (DHS).
Qualsiasi entità può identificare una vulnerabilità CVE, ma deve segnalarla a un CNA poiché solo quest’ultimo può assegnarle un identificatore CVE. Dopo aver ricevuto un rapporto di vulnerabilità, un CNA lo valuta, assegna un numero ID e lo elenca come CVE. L’elenco include solo problemi di sicurezza risolti per impedire agli hacker di utilizzarli per trovare nuove scappatoie da poter sfruttare.
Una volta inserite nell’elenco, il National Vulnerability Database valuta la gravità di ciascuna CVE e vi assegna un indice di gravità: un’analisi di gravità CVE o un punteggio CVSS. Questo indica la gravità di una CVE su una scala da 0 a 10.
La valutazione considera la complessità dell’attacco, la difficoltà della soluzione, i sistemi interessati, ecc. È possibile accedere all’elenco sul sito web di NVD.
Le voci CVE possono avere diversi stati:
- riservato significa che la voce è utilizzata da una CNA ma i suoi dettagli non sono ancora presenti nel sistema.
- Contestato significa che esiste una controversia tra le parti interessate (ad esempio una CNA e MITRE o all’interno di una CNA) in merito alla qualificazione di una voce come CVE.
- Rifiuto indica che una voce è stata rifiutata o ritirata. I motivi potrebbero essere un’assegnazione errata o problemi amministrativi. Dovresti ignorare tali voci.
I CND aggiornano costantemente l’elenco CVE man mano che emergono nuove vulnerabilità.
Perché abbiamo bisogno di CVE?
I database CVE sono molto importanti in quanto:
- le organizzazioni possono identificare le falle di sicurezza elencate al loro interno rilevanti per la propria infrastruttura, conoscerle e rafforzare di conseguenza i loro sistemi di sicurezza implementando delle soluzioni di sicurezza pensate ad hoc.
- Semplificano la comunicazione, in quanto è possibile semplicemente fare riferimento a un problema tramite il suo numero ID. È utile anche per altri database in quanto possono utilizzare la stessa terminologia standardizzata.
- Gli ID CVE sono ampiamente utilizzati da aziende, organizzazioni di sicurezza e database quando si fa riferimento a prodotti e servizi relativi alla sicurezza informatica. Utilizzando un identificatore CVE, è possibile trovare informazioni su una determinata vulnerabilità in modo più rapido e semplice.