CVE (Common Vulnerabilities and Exposures), di cosa si tratta

La Common Vulnerabilities and Exposures (CVE) è uno standard internazionale che fornisce un metodo di identificazione univoco per le vulnerabilità informatiche e le esposizioni ai rischi.

Attraverso l’assegnazione di un identificativo unico, noto come numero CVE, a ciascuna vulnerabilità, il sistema CVE facilita la comunicazione e la gestione delle informazioni sulla sicurezza tra esperti, sviluppatori, e utenti finali.

Cos’è CVE
Come funziona CVE
CVE nei report di vulnerabilità
Identificazione e gestione delle vulnerabilità
Prioritizzazione delle patch
Monitoraggio delle minacce grazie a CVE

Creato nel 1999 dall’organizzazione di ricerca MITRE Corporation, il sistema CVE promuove la trasparenza e l’efficienza nella divulgazione delle vulnerabilità, consentendo un approccio coordinato e tempestivo alla loro mitigazione. Le CVEs sono cruciali per identificare, catalogare e risolvere vulnerabilità in software, hardware e altri sistemi informatici, svolgendo un ruolo chiave nella protezione dei sistemi informatici da minacce e attacchi.

Cos’è CVE

Il sistema CVE (Common Vulnerabilities and Exposures) rappresenta una convenzione globale adottata per l’identificazione standardizzata delle vulnerabilità di sicurezza nei sistemi informatici. Questa iniziativa assegna un codice unico, il numero CVE, a ogni vulnerabilità scoperta, consentendo un riconoscimento univoco tra gli addetti ai lavori nel campo della sicurezza informatica.
Il fine è di facilitare la condivisione di informazioni critiche relative alla sicurezza, migliorare la comprensione dei rischi da parte degli stakeholder e guidare efficacemente l’implementazione di soluzioni correttive alle vulnerabilità. L’introduzione del sistema CVE ha standardizzato il modo in cui l’industria tratta le vulnerabilità, offrendo una base comune per il confronto, l’analisi e la remediation delle minacce alla sicurezza informatica.
Dalla sua nascita ad oggi, il programma CVE ha continuato a crescere e a evolversi per diventare uno standard ampiamente accettato e utilizzato nella comunità della sicurezza informatica.

Molte organizzazioni e gruppi di interesse nella sicurezza informatica partecipano attivamente al processo delle CVE:

fornitori di software
ricercatori di sicurezza
organizzazioni governative
gruppi di standardizzazione
organizzazioni di sicurezza informatica.

La collaborazione tra queste entità è fondamentale per garantire che il sistema CVE rimanga aggiornato e accurato nel catalogare le vulnerabilità informatiche.

Come funziona CVE

Vediamo come funzionano le CVE suddividendo il processo in tre punti chiave:

Assegnazione dei numeri CVE

La prima fase nel funzionamento delle CVE coinvolge l’assegnazione di un numero CVE univoco a ogni vulnerabilità identificata.

Questa assegnazione è responsabilità del CVE Numbering Authority (CNA), che è un’organizzazione autorizzata a generare questi identificatori.
I CNAs includono grandi aziende tecnologiche, organizzazioni governative e organismi di sicurezza. Quando viene scoperta una nuova vulnerabilità, l’organizzazione o il ricercatore di sicurezza responsabile può richiedere un numero CVE all’ente CNA appropriato. Questo processo garantisce che ogni vulnerabilità venga identificata in modo univoco, indipendentemente dalla lingua o dalla terminologia utilizzata.

Descrizione dettagliata delle voci CVE

Una volta assegnato un numero CVE, viene creata una voce CVE che contiene una descrizione dettagliata della vulnerabilità.
All’interno del database di CVE, ciascuna vulnerabilità viene analizzata in una sezione apposita che ne presenta:

CVE-id
Descrizione tecnica della vulnerabilità
Riferimenti per il lettore in grado di aiutarlo a distinguere tra le vulnerabilità
Assegnazione CNA (CVE Number Authority)
Data in cui è stato assegnato l’identificativo alla CVE
Lo stato in cui riversa la CVE: se si tratta di una vulnerabilità nota con possibili soluzioni o meno.

Queste voci sono accessibili pubblicamente attraverso il sistema CVE list che consente a professionisti della sicurezza, sviluppatori e organizzazioni di rimanere aggiornati sulle vulnerabilità note e di prendere le misure necessarie per mitigare i rischi.

CVE nei report di vulnerabilità

Le voci CVE sono strumenti chiave nei rapporti di vulnerabilità.
Quando un’organizzazione scopre la presenza di una vulnerabilità nei propri sistemi o software magari attraverso l’attività di Vulnerability Assessment, all’interno della documentazione post analisi si fa riferimento al numero CVE assegnato alla falla di sicurezza per identificare in modo chiaro e univoco la natura del problema. Questo fa sì che chi dovrà poi lavorare alla rimozione della vulnerabilità attraverso attività di patching potrà farlo senza correre il rischio di sbagliare processo.

Identificazione e gestione delle vulnerabilità

Le aziende utilizzano le CVE come riferimento per identificare e gestire le vulnerabilità nei propri sistemi.
Quando viene scoperta una nuova vulnerabilità, questa viene assegnata a una CVE specifica, che fornisce una descrizione dettagliata della vulnerabilità e delle relative informazioni. Questo aiuta a comprendere meglio la natura del problema e a pianificare le azioni correttive necessarie.

Prioritizzazione delle patch

Le CVE consentono alle aziende di stabilire priorità nella correzione delle vulnerabilità.
Le vulnerabilità vengono valutate in base alla loro gravità e all’impatto potenziale sui sistemi aziendali.

Questa classificazione le aiuta a determinare quali patch applicare prima, assicurando che le risorse siano allocate in modo efficiente per ridurre i rischi di sicurezza.

Monitoraggio delle minacce

Le aziende utilizzano i database CVE per monitorare le minacce in evoluzione.
Questo permette loro di rimanere aggiornate sulle nuove vulnerabilità, sulle minacce emergenti e adottare una strategia proattiva per la sicurezza informatica.

Educazione e formazione

Le CVE sono utilizzate per l’educazione e la formazione del personale aziendale.
Gli addetti alla sicurezza informatica possono utilizzare le CVE per illustrare le potenziali minacce e le contromisure necessarie al personale non tecnico.
Questo aiuta a sensibilizzare l’intero staff aziendale sulla sicurezza informatica.

Ma quali sono gli strumenti ed i servizi che sfruttano le CVE nello specifico?

Database delle CVE: esistono database online che mantengono un elenco completo di tutte le CVE note. Questi forniscono dettagli sulle vulnerabilità inclusi descrizioni, gravità e informazioni sulle patch disponibili. Le aziende li utilizzano per tenere traccia delle vulnerabilità rilevanti per i loro sistemi.
Scanner di vulnerabilità: gli scanner di vulnerabilità utilizzano le CVE per identificare le vulnerabilità nei sistemi aziendali. Questi strumenti scansionano i sistemi in cerca di problemi noti associati alle CVE e forniscono un rapporto dettagliato sulle vulnerabilità rilevate.
Piattaforme di gestione delle patch: le piattaforme di gestione delle patch utilizzano le informazioni delle CVE per automatizzare il processo di applicazione delle correzioni. Queste piattaforme consentono alle aziende di pianificare, distribuire e monitorare le patch in modo efficiente per garantire la sicurezza dei sistemi.
Servizi di Intelligence sulla minaccia: i servizi di intelligence sulla minaccia si basano sulle informazioni delle CVE per fornire un’analisi approfondita sulle minacce informatiche. Questi aiutano le aziende a comprendere meglio il panorama delle minacce e a prendere decisioni informate sulla sicurezza.

Conclusioni

Il sistema CVE ha però delle risorse limitate per la gestione e l’assegnazione dei numeri CVE.
Questo può portare a ritardi nell’assegnazione di CVE a nuove vulnerabilità, il che potrebbe compromettere la tempestiva divulgazione delle informazioni sulla sicurezza.

Le informazioni sulle vulnerabilità possono essere inoltre frammentate in diverse fonti e database, rendendo difficile per gli utenti finali e gli amministratori di sistema accedere a una panoramica completa delle minacce. Nonostante gli sforzi per standardizzare le voci CVE, possono sorgere ambiguità e confusione nella descrizione delle vulnerabilità.

Una delle sfide principali è che il sistema CVE è focalizzato sull’identificazione e la catalogazione delle vulnerabilità, ma non gestisce direttamente la loro correzione. Ciò significa che le vulnerabilità possono rimanere irrisolte per lungo tempo dopo essere state identificate, mettendo a rischio i sistemi e i dati.

Gli sviluppatori delle applicazioni e dei sistemi spesso non rispondono rapidamente alle CVE o non rilasciano patch tempestive per risolvere le vulnerabilità. Questo può lasciare gli utenti esposti a rischi di sicurezza per lunghi periodi.

Le minacce informatiche evolvono costantemente e il sistema CVE potrebbe dover affrontare nuove sfide nel tenere il passo con le vulnerabilità emergenti.
Ciò richiede un costante adattamento del sistema CVE e delle pratiche di gestione delle vulnerabilità.

In definitiva, le CVE hanno svolto un ruolo fondamentale nella divulgazione e nella gestione delle vulnerabilità informatiche, ma affrontano sfide continue nella loro evoluzione e nella loro capacità di garantire la sicurezza informatica.

Autore articolo
Gli ultimi articoli

Ilaria Della Queva

Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.