Il sistema Common Vulnerabilities and Exposures (CVE) fornisce un metodo di riferimento per le vulnerabilità ed esposizioni di sicurezza informatica pubblicamente note. Gli specialisti della difesa per la sicurezza informatica devono concordare la loro terminologia in modo da poter collaborare per combattere le minacce. Questo è il motivo per cui è stato creato il database CVE.
All’interno di questo articolo analizzeremo nel dettaglio che cosa si intende per CVE e perché esse sono importanti per la cybersecurity.
CVE sta per Vulnerabilità ed Esposizioni Comuni (Common Vulnerabilities and Exposures). Si tratta di un glossario pubblicamente disponibile di vulnerabilità note della sicurezza informatica e di difetti di sistema che possono essere sfruttati dai malintenzionati per hackerare dispositivi, sistemi o programmi.
Ogni voce include i dettagli CVE: un numero ID seriale univoco, una breve descrizione e almeno un riferimento pubblico. Sono accessibili tramite il sito web di CVE.
Le autorità di numerazione CVE (CNA) sono organizzazioni che assegnano ID CVE alle varie vulnerabilità individuate. Esistono circa 100 CNA che includono società IT, istituti di ricerca, organizzazioni di sicurezza, ecc.
L’intero processo è supervisionato da una CNA senza scopo di lucro chiamata Mitre Corporation, che gestisce centri di ricerca e sviluppo finanziati dal governo. Mitre è sponsorizzata dalla Cybersecurity and Infrastructure Security Agency (CISA) del Dipartimento per la sicurezza interna degli Stati Uniti d’America (DHS).
Qualsiasi entità può identificare una vulnerabilità CVE, ma deve segnalarla a un CNA poiché solo quest’ultimo può assegnarle un identificatore CVE. Dopo aver ricevuto un rapporto di vulnerabilità, un CNA lo valuta, assegna un numero ID e lo elenca come CVE. L’elenco include solo problemi di sicurezza risolti per impedire agli hacker di utilizzarli per trovare nuove scappatoie da poter sfruttare.
Una volta inserite nell’elenco, il National Vulnerability Database valuta la gravità di ciascuna CVE e vi assegna un indice di gravità: un’analisi di gravità CVE o un punteggio CVSS. Questo indica la gravità di una CVE su una scala da 0 a 10.
La valutazione considera la complessità dell’attacco, la difficoltà della soluzione, i sistemi interessati, ecc. È possibile accedere all’elenco sul sito web di NVD.
Le voci CVE possono avere diversi stati:
I CND aggiornano costantemente l’elenco CVE man mano che emergono nuove vulnerabilità.
I database CVE sono molto importanti in quanto: