TechTarget

Common Vulnerability Scoring System: cosa significa



Indirizzo copiato

Sintetizzato con la sigla CVSS questo framework valuta la gravità e le caratteristiche delle vulnerabilità di sicurezza nei sistemi informativi. Assegnando un punteggio numerico che va da 0 a 10, trasforma in numeri la preoccupazione che dovremmo avere per l’IT, il numero 10 indica quella massima

Pubblicato il 6 ago 2024




Dovendo valutare le vulnerabilità IT su una vasta gamma di prodotti software, dai sistemi operativi e database alle applicazioni Web in modo autorevole e attendibile, il Common Vulnerability Scoring System (CVSS) è neutrale rispetto al fornitore e consente a un’organizzazione di poter avere un riferimento sempre valido, un framework con lo stesso punteggio.

Il framework CVSS è gestito dal Forum of Incident Response and Security Teams (FIRST), un’organizzazione globale senza scopo di lucro composta da oltre 500 membri.

Chi dovrebbe usare CVSS?

I responsabili IT e i team di sicurezza delle informazioni utilizzano spesso CVSS nell’ambito del proprio programma di gestione delle vulnerabilità, per fornire un punto di confronto tra le vulnerabilità e per dare priorità alla loro correzione. Anche i fornitori di applicazioni e i fornitori di sicurezza utilizzano CVSS per dare priorità ai test di sicurezza o per garantire che le vulnerabilità note vengano rimosse durante lo sviluppo. CVSS è stato adottato da aziende e istituzioni. Fornitori come Cisco, Oracle, Qualsys e SAP generano anche punteggi CVSS per comunicare la gravità delle vulnerabilità riscontrate nei loro prodotti. CVSS può anche essere utilizzato dalle organizzazioni, per dare priorità alle risposte all’interno dei loro ambienti.

Perché si adotta CVSS?

Storicamente, i fornitori hanno usato i propri metodi per valutare le vulnerabilità del software, spesso senza dare dettagli su come venivano calcolati i propri punteggi. Questo ha creato un enigma per gli amministratori di sistema: dovrebbero correggere prima una vulnerabilità con una gravità alta o una con una valutazione di gravità di cinque?

Per affrontare questo problema, CVSS semplifica la generazione di punteggi coerenti che riflettono la gravità e gli effetti delle vulnerabilità in un ambiente IT. CVSS fornisce anche quanto segue:

  • Stabilisce un framework aperto grazie a cui tutti hanno pieno accesso ai parametri CVSS utilizzati per generare punteggi, fornendo a tutti una chiara comprensione della logica e delle differenze dietro qualsiasi punteggio di vulnerabilità. Ciò rende più facile per i team di sicurezza valutare l’effetto delle vulnerabilità sui loro sistemi e dare la priorità a quali vulnerabilità correggere per prime.
  • Mitiga le vulnerabilità nello sviluppo. Gli sviluppatori di software possono utilizzare i punteggi CVSS per dare priorità ai test di sicurezza e garantire che le vulnerabilità note e gravi vengano rimosse o mitigate durante lo sviluppo.
  • Soddisfa gli standard di sicurezza. CVSS può aiutare le organizzazioni a soddisfare i requisiti di sicurezza di vari standard. Ad esempio, la presenza di vulnerabilità non patchate con un punteggio CVSS di quattro o superiore ha un effetto negativo sulla conformità allo standard di sicurezza dei dati del settore delle carte di pagamento.
  • Promuove una comunicazione coerente e trasparente. L’obiettivo dello sviluppo del CVSS è incoraggiare una comunicazione chiara e coerente. Fornisce alle organizzazioni un modo trasparente e standardizzato per comunicare la gravità delle vulnerabilità, consentendo loro di dare la priorità a quelle più importanti.

Storia di CVSS

Negli Stati Uniti, il National Infrastructure Advisory Council (NIAC) ha introdotto per la prima volta CVSS nel 2005, per semplificare la generazione di punteggi coerenti che potrebbero riflettere accuratamente i rischi e le vulnerabilità di sicurezza esistenti in uno specifico ambiente IT. FIRST oggi sponsorizza e sostiene il CVSS Special Interest Group (SIG), che è composto da varie organizzazioni e individui che aiutano a promuoverlo e perfezionarlo.

Il CVSS SIG ha fornito la maggior parte della ricerca e del feedback sulla progettazione iniziale di CVSS e ha contribuito a testare e perfezionare le formule utilizzate nelle versioni successive.

Versioni CVSS

CVSS v2 è stato rilasciato nel 2007 ed è stato visto come un miglioramento significativo rispetto alla versione originale. Aveva meno incongruenze, forniva ulteriore granularità e rifletteva in modo più accurato le vere proprietà delle vulnerabilità IT, nonostante l’ampia varietà di sistemi e tipi vulnerabili.

CVSS 3.0, rilasciato nel giugno 2015, ha introdotto modifiche al punteggio che riflettevano più accuratamente la realtà delle vulnerabilità incontrate in natura. Ad esempio, l’aggiornamento ha introdotto cambiamenti come i privilegi necessari per sfruttare con successo una vulnerabilità e le opportunità che offre a un cyberattacker che la utilizza con successo.

La versione 3.1 di CVSS è stata rilasciata nel giugno 2019. Le modifiche in questa versione si sono concentrate sul chiarimento e sul miglioramento dello standard. Questa versione non crea nuove metriche CVSS o valori metrici e non apporta modifiche importanti alle formule.

La versione più recente è 4.0 che è stata rilasciata il 1° novembre 2023 e fornisce vari miglioramenti, tra cui i seguenti:

  • granularità più fine nelle metriche di base.
  • rimozione dell’ambiguità del punteggio a valle.
  • semplificazione delle metriche delle minacce e miglioramento dell’effetto di punteggio.
  • attributi supplementari per la risposta alle vulnerabilità.
  • applicabilità aggiuntiva alla tecnologia operativa, ai sistemi di controllo industriale e ai dispositivi internet of things.

Metriche di vulnerabilità

I punteggi CVSS sono calcolati utilizzando una formula composta da metriche basate sulla vulnerabilità. Un punteggio CVSS è derivato dai punteggi in questi tre gruppi metrici: Base, Temporale e Ambientale. I punteggi vanno da 0 a 10, con zero che rappresenta il meno grave e 10 che rappresenta il più grave.

Insieme, questi gruppi metrici coprono le diverse caratteristiche di una vulnerabilità, incluso il suo effetto e la resistenza ambientale nel tempo.

Metriche di base

Il punteggio base è la metrica su cui le imprese fanno più affidamento. Si occupa delle caratteristiche intrinseche di una vulnerabilità, cioè quelle che non cambiano nel tempo o a causa dell’ambiente di un utente. Le classifiche di gravità pubblica, come quelle trovate nel National Institute of Standards and Technology (NIST) e nel National Vulnerability Database, riguardano esclusivamente i punteggi CVSS di base.

È composto dai seguenti due set di metriche:

Metriche di sfruttabilità, che includono quanto segue:

  • Vettore di attacco.
  • Complessità dell’attacco.
  • Privilegi richiesti.
  • Interazione con l’utente.
  • Metriche di impatto, che includono quanto segue:
  • Impatto sulla riservatezza.
  • Impatto sull’integrità.
  • Impatto sulla disponibilità.

Metriche temporali

Il punteggio temporale misura gli aspetti della vulnerabilità in base al suo stato attuale. Rappresenta le proprietà di una vulnerabilità che possono cambiare nel tempo, come il rilascio di una patch ufficiale.

Il punteggio temporale include anche la metrica Report Confidence, che misura quanto segue:

  • Il grado di fiducia nell’esistenza della vulnerabilità.
  • La credibilità dei dettagli tecnici noti che dimostrano che una vulnerabilità è sia reale che sfruttabile.

Queste metriche possono diminuire o aumentare il punteggio base, per esempio se diventa disponibile una patch o una soluzione alternativa o il fornitore convalida una vulnerabilità.

I valori temporali includono quanto segue:

  • Sfrutta la maturità del codice.
  • Livello di bonifica.
  • Segnala la fiducia.

Metriche ambientali

Le metriche ambientali del sistema CVSS consentono a un’organizzazione di perfezionare il punteggio Base per riflettere il proprio ambiente misurando la gravità della vulnerabilità. Questo punteggio può essere regolato per il suo effetto sui singoli sistemi.

Le metriche ambientali forniscono un contesto reale per le vulnerabilità all’interno di un’organizzazione considerando i seguenti fattori:

  • Criticità aziendale dell’asset.
  • Identificazione dei controlli di mitigazione.
  • Uso del bene in questione.

L’elenco delle categorie di metriche ambientali è costituito da quanto segue:

  • Potenziale danno collaterale.
  • Distribuzione target.
  • Requisito di riservatezza.
  • Requisito di integrità.
  • Requisito di disponibilità.

Come funziona il punteggio CVSS

Un punteggio CVSS può essere compreso tra 0 e 10, con 10 che è il più grave. I seguenti punti sono coinvolti nel calcolo di un punteggio CVSS:

  • Vari sottogruppi di punteggio sono combinati per produrre il punteggio CVSS.
  • Il punteggio Base è obbligatorio, mentre il punteggio Temporal è facoltativo ed entrambi sono forniti dal fornitore o dall’analista.
  • L’utente finale calcola il punteggio del gruppo ambientale, che è anch’esso facoltativo.
  • L’unico requisito per categorizzare una vulnerabilità con un punteggio CVSS è il completamento dei componenti del punteggio Base: il sotto-punteggio Exploitability, il sotto-punteggio Impact e il sotto-punteggio Scope. Questi punteggi vengono utilizzati per calcolare il punteggio base complessivo utilizzando una formula che pesa ogni sotto-punteggio.
  • Il punteggio temporale viene calcolato moltiplicando il punteggio base per le tre metriche all’interno della metrica temporale.
  • Il punteggio ambientale è un calcolo più complesso. L’utente finale ricalcola i punteggi Base e Temporali utilizzando le cinque metriche ambientali per fornire una valutazione più accurata della gravità di una vulnerabilità.

CVSS contro CVE

Common Vulnerabilities and Exposures (CVE) è un catalogo di minacce alla sicurezza note e ogni voce in quel catalogo ha un punteggio CVSS corrispondente. Divide le minacce in due categorie: vulnerabilità ed esposizioni. Il catalogo, sponsorizzato dal DHS, è progettato per standardizzare il modo in cui viene identificata ogni vulnerabilità o esposizione conosciuta.

Mentre CVE è un elenco di tutte le vulnerabilità divulgate, CVSS è un punteggio complessivo assegnato a una vulnerabilità. Ogni voce CVE include un identificatore univoco, come elencato nel NIST National Vulnerability Database.

Calcolatori di CVSS

Un calcolatore CVSS è necessario per calcolare i punteggi temporali e ambientali per l’ambiente di un’organizzazione. FIRST, NIST e Cisco forniscono calcolatori CVSS gratuiti.

Per esempio, il calcolatore CVSS v3.1 di FIRST fornisce un punteggio per ogni metrica di base, temporale e ambientale. Per utilizzare la calcolatrice, l’utente finale seleziona un’opzione da ogni categoria fornita. Ad esempio, il punteggio base viene calcolato utilizzando metriche come le seguenti:

  • Vettore di attacco: rete, adiacente, locale o fisico.
  • Complessità dell’attacco: bassa o alta.
  • Privilegi richiesti: Nessuno, basso o alto.
  • Interazione con l’utente: Nessuna o obbligatoria.
  • Ambito: Invariato o modificato.
  • Riservatezza: Nessuna, bassa o alta.
  • Integrità: Nessuna, bassa o alta.
  • Disponibilità: Nessuna, bassa o alta.

Limitazioni del CVSS

CVSS è prezioso nella standardizzazione delle valutazioni della vulnerabilità. Tuttavia, ha alcune limitazioni, tra cui le seguenti:

  • Soggettività. I punteggi CVSS possono fluttuare in base al particolare contesto e ambiente utilizzato per la valutazione di una vulnerabilità. Ciò può comportare modelli di punteggio soggettivi e irregolari.
  • Portata limitata. CVSS non fornisce una valutazione approfondita del potenziale effetto delle vulnerabilità su un’organizzazione. Ad esempio, potrebbe non tenere conto di cose come l’importanza delle risorse per le operazioni aziendali, se sono in atto alcuni tipi di controlli sulla sicurezza informatica e come viene specificamente utilizzato l’elemento in questione.
  • Complessità. Mentre CVSS fornisce un metodo standardizzato e oggettivo per valutare la gravità delle vulnerabilità, può essere complicato e richiedere una comprensione approfondita dei fattori di punteggio e delle loro implicazioni.
  • Possibilità di sviste. Poiché i punteggi CVSS possono essere trovati in diversi database accessibili al pubblico, molti team di sicurezza iniziano esaminando queste fonti quando determinano quali vulnerabilità dare la priorità e come risolverle. Tuttavia, fare affidamento esclusivamente su queste fonti trascura gli exploit del mondo reale e le opzioni di mitigazione disponibili, che possono portare a trascurazioni significative.

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 3