Home

Think

Argomenti

CVE

 Cosa sono le CVE (Vulnerabilità ed esposizioni comuni)?
Esplora la soluzione CVE di IBM Iscriviti alla newsletter Think
Illustrazione con collage di pittogrammi di ingranaggi, braccio robotico, telefono cellulare

Data di pubblicazione: 22 luglio 2024
Autori: Tasmiha Khan, Michael Goodwin
Cosa sono le vulnerabilità ed esposizioni comuni (CVE)?

Con la definizione di vulnerabilità ed esposizioni comuni (CVE) si riferisce generalmente all'elenco CVE, un catalogo divulgato al pubblico di vulnerabilità di sicurezza delle informazioni stabilito e gestito dalla MITRE Corporation.

Il catalogo CVE è più simile a un dizionario che a un database CVE. Fornisce un nome e una descrizione per ogni vulnerabilità o esposizione. In tal modo, consente la comunicazione tra strumenti e database eterogenei e aiuta a migliorare l'interoperabilità e la copertura di sicurezza. Il CVE è scaricabile e utilizzabile gratuitamente o pubblicamente. L'elenco CVE alimenta il National Vulnerability Database (NVD) degli Stati Uniti.

Il CVE, l'organizzazione, è "un'iniziativa internazionale basata sulla comunità che mantiene un registro aperto di dati delle vulnerabilità di cybersecurity note alla comunità, noto come elenco CVE".1

Una delle sfide fondamentali della cybersecurity è identificare e mitigare le vulnerabilità sfruttabili da parte degli hacker per compromettere applicazioni, sistemi e dati. Il CVE aiuta ad affrontare questa sfida fornendo un framework standardizzato per la catalogazione e il monitoraggio delle vulnerabilità di cybersecurity che le organizzazioni possono utilizzare per migliorare i processi di gestione delle vulnerabilità.

Il sistema CVE utilizza identificatori univoci, noti come ID CVE (a volte chiamati numeri CVE), per etichettare ogni vulnerabilità segnalata, facilitando la comunicazione, la collaborazione e la gestione efficaci delle falle di sicurezza.

La MITRE Corporation ha creato il CVE nel 1999 come catalogo di riferimento per la categorizzazione delle vulnerabilità di sicurezza nel software e nel firmware. Il sistema CVE aiuta le organizzazioni a confrontarsi e a condividere informazioni sulle vulnerabilità della cybersecurity, a valutare la gravità delle vulnerabilità e a rendere i sistemi informatici più sicuri.

Il comitato editoriale del CVE supervisiona il programma CVE. Il consiglio è composto da membri di organizzazioni legate alla cybersecurity, membri del mondo accademico, istituti di ricerca, agenzie governative e altri importanti esperti di sicurezza. Tra gli altri compiti, il consiglio approva le fonti di dati, la copertura dei prodotti, gli obiettivi di copertura per le voci dell'elenco CVE e gestisce l'assegnazione continua di nuove voci.2

L'US-CERT dell'ufficio per la cybersecurity e le comunicazioni presso il Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) sponsorizza il programma CVE.3

Demo di IBM Concert

IBM Concert consente ai proprietari delle applicazioni e agli SRE di assegnare priorità, mitigare e tracciare in modo proattivo le vulnerabilità delle applicazioni per garantire operazioni resilienti.
Contenuti correlati IBM® X-Force Threat Intelligence Index 2024
Vulnerabilità ed esposizioni

Il programma CVE definisce una vulnerabilità come "una debolezza nella logica computazionale presente nei componenti software e hardware che, se sfruttata, ha un impatto negativo sulla riservatezza, l'integrità o la disponibilità". Quindi una vulnerabilità si riferisce a una debolezza, come un errore di codifica, che può essere utilizzata dagli aggressori per ottenere l'accesso non autorizzato a reti e sistemi, installare malware, eseguire codice e sottrarre o distruggere dati sensibili. Un'esposizione consente tale accesso.

Pensa a una casa: una vulnerabilità è una finestra con una serratura che è facile da scassinare per un ladro. Un'esposizione è una finestra che qualcuno ha dimenticato di chiudere.
Cosa si qualifica come CVE?

Per qualificarsi come CVE e ricevere un identificatore CVE (CVE ID), i difetti di sicurezza devono soddisfare determinati criteri:

  • Risolvibile indipendentemente da altri difetti: il difetto deve essere risolvibile separatamente dalle altre vulnerabilità.

  • Riconosciuto dal fornitore o documentato in un rapporto di vulnerabilità: il fornitore deve riconoscere che il bug esiste e ha un impatto negativo sulla sicurezza. Oppure deve esserci un rapporto di vulnerabilità che dimostri l'impatto negativo del bug sulla sicurezza e la sua violazione della politica di sicurezza del sistema interessato.

  • Interessa una base di codice: il bug deve interessare solo una base di codice (un prodotto). Ai difetti che interessano più di un prodotto vengono assegnati CVE separati per ogni prodotto.
Come vengono assegnati gli ID CVE: CNA e radici

Le autorità di numerazione CVE (CNA) assegnano ID CVE e pubblicano record CVE all'interno di ambiti di copertura specifici. La MITRE Corporation svolge il ruolo di editore e CNA primario. Le altre CNA includono i principali fornitori di sistemi operativi (OS) e IT (tra cui IBM, Microsoft e Oracle), ricercatori sulla sicurezza e altre entità autorizzate. Le CNA operano su base volontaria. Attualmente ci sono 389 CNA provenienti da 40 Paesi diversi.4
Root e root di primo livello

Le root sono organizzazioni autorizzate a reclutare, formare e governare i CNA o altre root entro un ambito specifico.

Le root di primo livello sono quelle di livello più elevato e sono responsabili della "governance e dell'amministrazione di una gerarchia specificata, comprese le radici e i CNA all'interno di quella gerarchia".5 Attualmente ci sono due radici di alto livello nel programma CVE: la MITRE Corporation e la Cybersecurity and Infrastructure Security Agency (CISA).

Ulteriori informazioni sull'organizzazione del CVE sono disponibili qui (link esterno a ibm.com).
Ciclo di vita dei record CVE

Chiunque può inviare una segnalazione CVE. Le vulnerabilità vengono spesso scoperte da ricercatori nell'ambito della cybersecurity, professionisti della sicurezza, fornitori di software, membri della comunità open source e utenti di prodotti attraverso vari mezzi, come ricerche indipendenti, valutazioni della sicurezza, scansione delle vulnerabilità, attività di risposta agli incidenti o semplicemente mediante l'utilizzo di un prodotto. Molte aziende offrono un bug bounty, una ricompensa per aver trovato e segnalato in modo responsabile le vulnerabilità rilevate nel software.

Una volta identificata e segnalata una nuova vulnerabilità, viene inviata a un CNA per la valutazione. Un nuovo CVE viene quindi riservato alla vulnerabilità. Questo è lo stato iniziale di un record CVE.

Dopo aver esaminato la vulnerabilità in questione, la CNA presenta i dettagli, tra cui i prodotti interessati, eventuali versioni aggiornate o corrette del prodotto, il tipo di vulnerabilità, la causa principale e l'impatto e almeno un riferimento pubblico. Non appena gli elementi di dati sono stati aggiunti al record CVE, la CNA pubblica il record nell'elenco CVE, rendendolo disponibile al pubblico.

La voce CVE entra quindi a far parte del rispettivo elenco ufficiale, in cui diventa accessibile ai professionisti della cybersecurity, ai ricercatori, ai fornitori e agli utenti di tutto il mondo. Le organizzazioni possono utilizzare gli ID CVE per tracciare e dare priorità alle vulnerabilità all'interno dei loro ambienti, valutare la loro esposizione a minacce specifiche e implementare misure di mitigazione del rischio appropriate.
Identificatori CVE (CVE ID) e record CVE

Le voci CVE includono un ID CVE, una breve descrizione della vulnerabilità di sicurezza e riferimenti, inclusi report di vulnerabilità e avvisi. Gli ID CVE sono composti da tre parti:

  1. Un ID CVE inizia con il prefisso "CVE"

  2. La seconda sezione è l'anno dell'assegnazione

  3. L'ultima sezione dell'ID CVE è un identificatore sequenziale

L'ID completo è simile al seguente: CVE-2024-12345. Questo ID standardizzato aiuta a garantire la coerenza e l'interoperabilità tra piattaforme e repository diversi, consentendo agli stakeholder di fare riferimento e condividere informazioni su vulnerabilità specifiche utilizzando un "linguaggio comune".

I record CVE sono associati a uno dei tre stati seguenti:

  • Riservato: questo è lo stato iniziale, assegnato a un CVE prima che venga divulgato pubblicamente (mentre un CNA sta esaminando la vulnerabilità).

  • Pubblicato: questo è il momento in cui una CNA ha raccolto e inserito i dati associati all'ID CVE e ha pubblicato il record.

  • Rifiutato: in questa fase, l'ID e il record CVE non devono essere utilizzati. Tuttavia, il record rifiutato rimane nell'elenco CVE per informare gli utenti che l'ID e il record non sono validi.
Che cos'è il Common Vulnerability Scoring System (CVSS)?

Un modo in cui le organizzazioni possono valutare la gravità delle vulnerabilità è utilizzare il Common Vulnerability Scoring System (CVSS). Il CVSS, gestito dal Forum of Incident Response and Security Teams (FIRST), è un metodo standardizzato utilizzato dal National Vulnerability Database (NVD), dai Cybersecurity Emergency Response Teams (CERT) e altri enti per valutare la gravità e l'impatto delle vulnerabilità segnalate. È separato dal sistema CVE ma utilizzato insieme ad esso: i formati di record CVE consentono alle CNA di aggiungere un punteggio CVSS ai record CVE quando pubblicano i record nel relativo elenco.6

Il CVSS assegna un punteggio numerico alle vulnerabilità, che va da 0,0 a 10, in base alla sfruttabilità, alla portata dell'impatto e ad altre metriche. Più alto è il punteggio, più grave è il problema. Questo punteggio aiuta le organizzazioni a valutare l'urgenza di affrontare una particolare vulnerabilità e ad allocare le risorse di conseguenza. Non è raro che le organizzazioni utilizzino anche un proprio sistema di punteggio della vulnerabilità.

I punteggi CVSS vengono calcolati in base ai punteggi di tre gruppi di metriche (base, temporale e ambientale) che incorporano diverse caratteristiche di una vulnerabilità.
Metriche di base

Le aziende si affidano maggiormente ai punteggi delle metriche di base mentre le classifiche di gravità pubbliche, come quelle fornite nel National Vulnerability Database del National Institute of Standards and Technology (NIST), utilizzano esclusivamente il punteggio delle metriche di base. Il punteggio delle metriche di base non considera le caratteristiche di vulnerabilità che cambiano nel tempo (metriche temporali), i fattori del mondo reale come l'ambiente dell'utente o le misure adottate da un'azienda per prevenire lo sfruttamento di un bug.

Le metriche di base sono ulteriormente suddivise tra metriche di sfruttabilità e metriche di impatto:

  • Le metriche di sfruttabilità includono fattori quali il vettore di attacco, la complessità dell'attacco e i privilegi richiesti.

  • Le metriche di impatto includono l'impatto sulla riservatezza, l'impatto sull'integrità e l'impatto sulla disponibilità.7
Metriche temporali

Le metriche temporali misurano una vulnerabilità nel suo stato attuale e vengono utilizzate per rifletterne la gravità man mano che cambia nel tempo. Includono anche eventuali correzioni, come le patch disponibili. La maturità del codice di sfruttamento, il livello di correzione e l'affidabilità dei report sono tutti componenti del punteggio delle metriche temporali.
Metriche ambientali

Le metriche ambientali consentono a un'organizzazione di regolare il punteggio di base in base al proprio ambiente e ai requisiti di sicurezza. Questo punteggio aiuta a mettere una vulnerabilità in un contesto più chiaro in relazione all'organizzazione e include un punteggio dei requisiti di riservatezza, un punteggio dei requisiti di integrità e un punteggio dei requisiti di disponibilità. Queste metriche vengono calcolate insieme alle metriche di base modificate che misurano l'ambiente specifico (ad esempio il vettore di attacco modificato e la complessità dell'attacco modificato) per raggiungere un punteggio di metrica ambientale.
Impatto del CVE sulla gestione delle vulnerabilità

Il programma CVE rappresenta un approccio collaborativo e sistematico per identificare, catalogare e affrontare le vulnerabilità e le esposizioni della cybersecurity. Grazie a un sistema standardizzato per identificare e fare riferimento alle vulnerabilità, un CVE aiuta le organizzazioni a migliorare la gestione delle vulnerabilità in diversi modi:
Condividere le informazioni

Il CVE aiuta le organizzazioni a discutere e condividere informazioni riguardanti una vulnerabilità utilizzando un identificatore comune. Ad esempio, gli avvisi di sicurezza pubblicano spesso elenchi di CVE, insieme ai punteggi CVSS utilizzati dalle aziende per informare le loro strategie di gestione del rischio e i cicli di pianificazione delle patch.
Rafforzare la postura di cybersecurity

Il CVE aiuta le organizzazioni a gestire in modo efficace i rischi per la sicurezza, migliorare la visibilità e la threat intelligence e rafforzare la posizione complessiva di cybersecurity in un landscape di minacce sempre più complesso e dinamico.
Correlare meglio i dati

Gli ID CVE facilitano la correlazione dei dati e consentono ai team IT di analizzare più fonti per trovare informazioni su una particolare vulnerabilità.
Selezionare strumenti e strategie

L'elenco CVE viene utilizzato per determinare quali strumenti di sicurezza risultano i migliori per le esigenze di un'organizzazione e per creare strategie di gestione del rischio che considerino le vulnerabilità note e il potenziale impatto che questi problemi di sicurezza potrebbero avere sui sistemi e sui dati aziendali. Con queste informazioni a disposizione, le organizzazioni possono determinare meglio in che modo determinati prodotti si adattano al loro livello di sicurezza e adottare le misure per ridurre al minimo l'esposizione agli attacchi informatici e alle violazioni dei dati.
CVE e CWE

Il CVE è un catalogo di vulnerabilità note di cybersecurity, in cui un ID CVE è specifico di una determinata falla del software. Il Common Weaknesses Enumeration (CWE) è un progetto della comunità IT che elenca diversi tipi, o categorie, di punti deboli hardware e software, come errori di buffer, errori di autenticazione o problemi di CPU. Queste debolezze potrebbero portare a una vulnerabilità.
Soluzioni correlate
Gestione dei rischi applicativi di IBM Concert

IBM Concert consente ai proprietari delle applicazioni e agli SRE di assegnare priorità, mitigare e tracciare in modo proattivo le vulnerabilità delle applicazioni per garantire operazioni resilienti.

 Esplora la gestione dei rischi delle applicazioni IBM Concert Prenota una demo live
IBM Security

IBM Security collabora con te per proteggere il tuo business con un portafoglio avanzato e integrato di soluzioni e servizi di cybersecurity aziendale  basati sull'AI. Il nostro approccio moderno alla strategia di sicurezza si basa sui principi del zero trust per aiutarti a prosperare di fronte all'incertezza e alle minacce informatiche.

 Esplora IBM Security Esplora l'IBM X-Force Threat Intelligence Index 2024
Servizi IBM di sicurezza delle applicazioni

Costruisci, distribuisci e itera applicazioni ovunque in modo sicuro trasformando DevOps in DevSecOps, con persone, processi e strumenti inclusi.

 Esplora i servizi di sicurezza applicativa IBM
Risorse IBM X-Force Threat Intelligence Index 2024

L'IBM X-Force Threat Intelligence Index 2024 fornisce insight di ricerca e raccomandazioni essenziali per aiutarti a prepararti a rispondere agli attacchi con maggiore velocità ed efficacia.

 Cos'è un'API?

Un'API, o application programming interface, è un insieme di regole o protocolli che consentono alle applicazioni software di comunicare tra loro per scambiare dati, caratteristiche e funzionalità.

 Che cos'è l'automazione?

L'automazione è l'applicazione di tecnologie, programmi, robotica o processi per ottenere risultati con il minimo input umano.

 Cos'è lo sviluppo di software?

Lo sviluppo software si riferisce a una serie di attività informatiche dedicate al processo di creazione, progettazione, implementazione e supporto del software.

 Cos'è il test dinamico di sicurezza delle applicazioni (DAST)?

Il test dinamico di sicurezza delle applicazioni (DAST) è un metodo di test della cybersecurity utilizzato per identificare vulnerabilità e configurazioni errate nelle applicazioni web, nelle API e, più recentemente, nelle app mobili.

Che cos'è il ciclo di vita della gestione delle vulnerabilità?

Il ciclo di vita della gestione delle vulnerabilità è un processo continuo per scoprire, assegnare priorità e affrontare le vulnerabilità negli asset IT di un'azienda.
Fai il passo successivo

IBM® Concert ti dà il pieno controllo per semplificare e ottimizzare la gestione delle tue app e le operazioni tecnologiche con insight basati sull'AI generativa, in modo da poterti concentrare sull'offerta di esperienze dei clienti migliorate e una maggiore produttività di sviluppatori e di progettazione dell'affidabilità del sito (SRE).

 Esplora IBM Concert Iscriviti alla newsletter Think