Cybersecurity, Gestione IT

Cosa sono le CVE?

12 Luglio 2022

Spesso quando si parla di vulnerabilità e sicurezza, uno degli acronimi ricorrenti è CVE.

Ma di cosa si tratta?

Un elenco CVE (per gli amici Common Vulnerabilities and Exposures) è un elenco di falle nella sicurezza informatica divulgato al pubblico. Queste CVE sono contraddistinte da un ID che permette di identificare in modo univoco le diverse vulnerabilità note.

Si tratta, quindi, di un database pubblico nel quale vengono aggiunte e aggiornate vulnerabilità in modo che chiunque possa accedervi e utilizzarlo.

È un tool molto utile e viene utilizzato come standard per vari istituti di ricerca nel mondo.

Come funziona un sistema CVE?

Un sistema CVE è controllato dal MITRE (associazione americana nata per supportare diverse Agenzie governative in vari campi, tra cui quello della sicurezza informatica) ed è supportato dall’Agenzia per la sicurezza informatica e delle infrastrutture che fa capo al Dipartimento della sicurezza interna degli Stati Uniti.

Le voci presenti in questo elenco sono molto sintetiche e non contengono dati tecnici o informazioni sui rischi, sulla loro portata o sulle possibili correzioni. Queste informazioni si possono però trovare in altri database, come l’U.S. National Vulnerability Database (NVD), il CERT/CC Vulnerability Notes Database e altri ancora.

Essendoci molti sistemi di informazione, come menzionato prima, gli ID delle CVE sono un metodo attendibile per distinguere una specifica vulnerabilità di sicurezza da un’altra.

Gli identificativi CVE

Ma chi è che assegna un ID a una CVE? Lo può fare chiunque?

Chiaramente no: di solito è una CVE Numbering Authority (CNA) ad assegnare gli identificativi CVE. Esistono circa 100 CNA e rappresentano i principali fornitori IT presenti sul mercato, nonché le principali società assicurative e gli enti di ricerca. I CVE possono essere pubblicati direttamente dal MITRE.

Ogni CNA riceverà determinati blocchi di CVE, che verranno poi assegnati alle relative falle non appena vengono rilevate.

Non stiamo parlando di una, due o tre vulnerabilità, ma di migliaia ogni anno. Pensa che, ad esempio, per un software “particolare” come un sistema operativo, possono venire assegnate centinaia di CVE.

In generale, esistono tre modalità con le quali un ID di una CVE può essere assegnato:

  • dalla Mitre Corporation, che è l’azienda proprietaria;
  • dalle CNA riguardo ai propri prodotti (come Apple o Microsoft);
  • da terze parti come il CERT che può assegnare ID per i prodotti non coperti dalle CNA.

Ma chi si occupa di segnalare le CVE?

Letteralmente chiunque si imbatta in una potenziale vulnerabilità.

Addirittura, alcuni produttori di software incoraggiano questa ricerca offrendo delle ricompense per l’individuazione dei bug. Il che porta utenti e fornitori ad avere uno stimolo in più per cercare e segnalare queste falle (che altrimenti potrebbero finire nelle mani sbagliate e causare una marea di danni).

Dalla rilevazione alla pubblicazione

Come abbiamo visto, il percorso che porta una vulnerabilità dall’essere rilevata all’essere identificata e resa pubblica è composto da più fasi:

  1. in primis, le informazioni su una falla di sicurezza giungono a un CNA e possono farlo in vari modi;
  2. il CNA, quindi, abbina queste informazioni a un ID di una CVE e stila una breve descrizione includendo dei riferimenti, ad esempio link a report o advisory;
  3. a questo punto avviene la pubblicazione sul sito web delle CVE;
  4. una volta resa pubblica, una voce CVE include anche l’ID, nel formato “CVE-2022-1234567”, oltre che la descrizione della vulnerabilità o dell’esposizione.

Non è detto che un identificatore dopo essere stato approvato sia immediatamente reso pubblico, e questo dipende principalmente da problemi relativi alla loro divulgazione.

Spesso, infatti, per ridurre la possibilità che un aggressore possa sfruttare una vulnerabilità prima che arrivi la patch, i fornitori tendono a volerle tenere segrete fino a quando non viene resa disponibile una soluzione sufficientemente testata.

Common Vulnerabilities and Exposures

Vulnerabilità incluse negli elenchi CVE

Non a tutte le vulnerabilità viene assegnato un ID, accade solo per quelle che soddisfano determinati criteri, vediamo quali sono:

  1. la falla deve poter essere corretta in modo indipendente da qualsiasi altro bug;
  2. la falla deve essere stata confermata dal fornitore del prodotto o documentata, occorre quindi che il bug sia riconosciuto così come il suo impatto negativo sulla sicurezza;
  3. la falla ha impatto su un codebase, cioè su un’intera collezione di codice sorgente usata per costruire una particolare applicazione o componente. Se il bug incide su più di un prodotto, verranno assegnate CVE distinte, mentre verrà assegnata un’unica CVE solo nel caso in cui sia impossibile utilizzare il codice condiviso senza dare seguito a vulnerabilità.

Per concludere, due parole sull’importanza della sicurezza informatica nella propria azienda e in quella dei propri clienti: si tratta di uno step fondamentale e indispensabile per essere competitivi e vincenti in un’era digitalizzata come quella che stiamo vivendo. Attacchi informatici e data breach sono all’ordine del giorno, è perciò importante essere pronti a scovare e superare ogni vulnerabilità presente nei sistemi informatici prima che lo faccia qualche malintenzionato.

ConnectSecure Vulnerability Management può fare al caso tuo: si tratta di una piattaforma cloud di vulnerability assessment che ti permette di rilevare, gestire e proteggere gli asset e le reti dei clienti. ConnectSecure Vulnerability Management può scandagliare l’infrastruttura dei tuoi clienti alla ricerca di vulnerabilità non patchate o software non aggiornati, in modo da ridurre al minimo il rischio di un attacco.

Se vuoi sapere cos’è un vulnerability assessment, come va eseguito e come la soluzione automatizza molte attività fondamentali per la sicurezza dei sistemi, abbiamo preparato una sessione on demand.

Guarda il Webinar On Demand
Autore
Gabriele Palumbo
Nasco a Bologna ma ho vissuto l’infanzia in Piemonte, l’adolescenza in Puglia e la maturità tra Umbria, Toscana, Puglia, Emilia-Romagna e Lombardia (e non è ancora finita). Ho avuto quindi modo di entrare in contatto con diversi ambienti e contesti sociali. Una formazione umanistica (Sociologia della devianza a Perugia e Relazioni Internazionali a Pisa), passione per la scrittura e decine di corsi sul mondo digital sono state ottime basi per entrare nel campo del marketing e della comunicazione. Nel 2015 pubblico il romanzo breve “Ci siamo solo persi di vista” e, a inizio 2019, pubblico la biografia della rock band “Ministri”, entrata in poche ore nei Top Sellers di Amazon. Un romanzo è in fase di scrittura. Terminati gli studi entro attivamente nel mondo della musica, organizzando svariati concerti e un festival, e della comunicazione digitale, gestendo la linea editoriale di blog e social e ricoprendo ruoli di copywriter e content editor. Nel 2017 entro nel collettivo Dischirotti. occupandomi dei contenuti web, mentre il 2018 mi vede prima nell’agenzia FLOOR concerti come booking agent per svariati artisti e poi in VOX concerti come direttore di produzione. Tornato a Bologna inizio a collaborare con l’etichetta discografica Manita Dischi come project manager e svolgo un tirocinio presso l’agenzia di marketing e comunicazione digitale Engine Lab, nel ruolo di content editor. Dal 2020 al 2023 ho collaborato, sia come editor che come contributor, con Fantastico.esclamativo, newsletter letteraria e rivista culturale creata da Alberto Guidetti de Lo Stato Sociale. Ogni due sabati invio “Capibara”, una newsletter che tratta di attualità e meme in un progetto che, occasionalmente, porto anche dal vivo sotto forma di Stand-Up. Attualmente ricopro il ruolo di Channel Marketing Manager in Achab, con particolare focus su contenuti editoriali, analytics, marketing automation e CMS.
Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti