Cybersecurity, Gestione IT

Come si misura una vulnerabilità: il sistema CVSS

19 Luglio 2022

In un precedente articolo abbiamo visto come si segnalano e identificano le vulnerabilità, ma come si classificano in base alla gravità?

Per farlo esistono diversi metodi: in questo articolo parleremo del metodo CVSS (Common Vulnerability Scoring System).

Questo sistema di valutazione è sostanzialmente un insieme aperto di standard che permette di assegnare a una vulnerabilità un punteggio da 0.0 a 10.0, così da valutarne l’impatto.

Il CVSS è gestito dal Forum of Incident Response and Security Teams (FIRST), un’organizzazione no-profit con sede negli Stati Uniti con oltre 500 aziende membri a livello globale.

Si tratta di un sistema di valutazione potente e molto utile per confrontare le vulnerabilità e per dare priorità alla loro correzione, anche se bisogna riconoscere alcuni limiti per garantirne la corretta applicazione; talvolta è infatti carente nella risposta alle esigenze degli utenti o al di fuori degli ambienti IT tradizionali.

CVSS: come funziona

La versione attualmente in vigore del CVSS si compone di tre gruppi di metriche che definiscono il rischio che una determinata vulnerabilità comporta: base, temporale e ambientale.

Ognuno di questi gruppi è rappresentato in modo da permettere agli utenti di registrare una vulnerabilità in un formato breve e riconoscibile.

CVSS Score Metrics

Metriche base

Le metriche di base rappresentano le caratteristiche primarie di una vulnerabilità. Queste caratteristiche non cambiano nel tempo e non dipendono da come la vulnerabilità viene sfruttata né da eventuali azioni correttive messe in atto per prevenirne lo sfruttamento.

Le classifiche pubbliche di gravità, come quelle elencate nel National Vulnerability Database (NVD), si riferiscono esclusivamente ai punteggi CVSS di base.

L’accessibilità di queste metriche fornisce un ottimo punto di partenza per decidere la priorità delle varie patch, ma è di utilità limitata in quanto non tiene conto della disponibilità delle stesse patch, dei tentativi di sfruttare una vulnerabilità né dei vari controlli messi in atto da un’azienda per mitigarla o risolverla.

Le metriche di base definiscono il punteggio considerando tre elementi: sfruttabilità, obiettivo e impatto.

  • Sfruttabilità: si basa sulle caratteristiche dello strumento vulnerabile ed è costituita da quattro ulteriori sottocomponenti:
    • vettore di attacco: questo punteggio varia in base al livello di accesso richiesto per sfruttare una vulnerabilità. Il punteggio sarà più alto se è possibile farlo in remoto (cioè al di fuori della rete di un’azienda) rispetto a quando viene richiesta la presenza fisica (cioè occorre avere accesso a una porta fisica su un’appliance o a una rete locale all’interno di un data center privato);
    • complessità dell’attacco: questo punteggio varia in base a quei fattori necessari per sfruttare la vulnerabilità, ma che sono fuori dal controllo dell’attaccante. Il punteggio sarà più alto se richiedono lavoro aggiuntivo da parte dell’hacker, come nel caso di un attacco man-in-the-middle, rispetto a quando tale sforzo non è richiesto;
    • privilegi richiesti: questo punteggio varia in base ai privilegi richiesti all’hacker per condurre l’attacco Una vulnerabilità che richiede privilegi amministrativi per essere sfruttata avrà un punteggio più alto rispetto a una che non richiede autenticazione o privilegi elevati;
    • interazione dell’utente: questo punteggio varia in base al fatto che l’hacker, per completare il proprio attacco, abbia bisogno di un complice, che sia consenziente o meno. Il punteggio sarà maggiore se l’attacco potrà essere compiuto in autonomia, senza la partecipazione di un utente.
  • Obiettivo: si riferisce al fatto che una vulnerabilità presente in uno strumento possa propagarsi ad altri. Il punteggio è maggiore se ciò è possibile. Un esempio può essere la capacità di accedere e sfruttare un sistema operativo dopo aver sfruttato una vulnerabilità presente in un software o un utente malintenzionato che accede a un database back-end dopo aver sfruttato con successo una vulnerabilità in un server Web.
  • Impatto: si concentra sul risultato effettivo che un hacker può ottenere in seguito allo sfruttamento della vulnerabilità considerata e si costituisce da tre ulteriori sottometriche:
    • riservatezza: questo punteggio varia in base alla quantità di dati a cui l’hacker ha accesso. Sarà più alto se tutti i dati sul sistema interessato sono accessibili dall’autore dell’attacco, più basso se nessun dato è accessibile;
    • integrità: questo punteggio varia in base alla capacità dell’attaccante di alterare o modificare i dati sul sistema interessato. Se sono possibili modifiche complete o consequenziali, questo punteggio sarà alto;
    • disponibilità: questo punteggio varia in base alla disponibilità o meno del sistema attaccato in seguito alla vulnerabilità sfruttata. Il punteggio sarà elevato se il sistema non è più accessibile o utilizzabile per gli utenti a seguito dell’attacco.

Metriche temporali

Le metriche temporali sono esattamente ciò che sembrano: metriche relative a una vulnerabilità che cambia nel tempo. Queste misurano sia quanto sia sfruttabile la vulnerabilità, sia la disponibilità di correzioni, come una patch, al momento della misurazione.

Le metriche temporali si compongono di tre elementi: maturità del codice, livello di correzione e report confidence.

  • Maturità del codice: finché non esiste un metodo per sfruttare una vulnerabilità, questa è relativamente benigna. Come con la maggior parte dei software, il codice per condurre un attacco può maturare, diventando nel tempo più stabile e più disponibile. Quando ciò accade, il punteggio su questo componente aumenterà.
  • Livello di correzione: quando viene rilevata una vulnerabilità per la prima volta, potrebbe non essere disponibile una patch o una soluzione alternativa. Nel tempo, diventano disponibili altre soluzioni, correzioni temporanee e, infine, patch ufficiali, riducendo il punteggio di vulnerabilità man mano che la correzione viene migliorata.
  • Report Confidence: misura il livello di validità di una vulnerabilità dimostrando che è sia reale che sfruttabile.

Metriche ambientali

Le metriche ambientali influenzano il punteggio del CVSS in base all’importanza degli asset IT interessati e si compongono di due elementi: i requisiti di sicurezza e le modifiche delle metriche di base.

  • Requisiti di sicurezza: caratterizzano la criticità dell’asset in questione. I dati o le risorse mission-critical ottengono un punteggio più alto rispetto alle risorse meno importanti. Ad esempio, una vulnerabilità identificata nel database di tutti i dati dei clienti otterrebbe un punteggio più alto rispetto a una vulnerabilità identificata nella workstation di un utente non privilegiato.
  • Metriche di base modificate: un’azienda può scegliere di modificare i valori delle metriche di base in seguito alle correzioni messe in atto. Ad esempio, l’air gapping di un server, o la rimozione di qualsiasi connessione di rete esterna, impedirà a un hacker di sfruttare una vulnerabilità altrimenti accessibile in remoto. In questo caso, il risultato è che la metrica di base del vettore di attacco viene ridotta.
misurare una vulnerabilità

CVSS: valutazioni qualitative

A volte è utile, soprattutto se devi discutere con clienti poco tecnici, mappare i punteggi CVSS su valutazioni qualitative.

FIRST, per esempio, utilizza questo tipo di associazione:

  • 0.0 – None
  • da 0.1 a 3.9 – Low
  • da 4.0 a 6.9 – Medium
  • da 7.0 a 8.9 – High
  • da 9.0 a 10.0 – Critical

Conclusioni

Solitamente sono solo le metriche base a essere diffuse, poiché non variano nel tempo o in base al relativo settore. Così facendo però non si tiene in considerazione la capacità degli hacker di aggiornarsi per sfruttare una vulnerabilità prima quasi impossibile da utilizzare o l’impatto che può avere in base all’ambiente in cui viene sfruttata.

È quindi buona norma integrare i punteggi base con quelli temporali e ambientali così da ottenere metriche più accurate e specifiche per la loro applicazione.

Inoltre, è fondamentale affidarsi a una valida piattaforma di vulnerability assessment che ti permetta di rilevare, gestire e proteggere gli asset e le reti dei clienti.

CyberCNS può fare al caso tuo: per approfondire il suo funzionamento e scoprire come fare un vulnerability assessment in modo semplice e profittevole, abbiamo preparato un webinar on demand dedicato.

Guarda il Webinar On Demand
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti