Cerca

Italiano

Italiano

Accedi

Accedi/Registrati

Website

Sicurezza

Cos'è un elenco CVE?

Un elenco CVE (Common Vulnerabilities and Exposures) è un elenco di falle nella sicurezza informatica divulgato al pubblico. Quando si fa riferimento a un CVE, si intende in genere il numero identificativo (ID) assegnato a una falla di sicurezza.

I CVE aiutano i professionisti IT a coordinare le iniziative per assegnare le priorità e risolvere le vulnerabilità, con l'obiettivo di rendere i sistemi informatici più sicuri.

Come funziona un sistema CVE?

Il sistema è supervisionato da MITRE Corporation e supportato dall'Agenzia per la sicurezza informatica e delle infrastrutture che fa capo al Dipartimento della sicurezza interna degli Stati Uniti.

Le voci incluse nell'elenco CVE sono concise e non contengono dati tecnici o informazioni sui rischi, sulla loro portata o sulle possibili correzioni. Queste informazioni sono contenute in altri database, ad esempio l'U.S. National Vulnerability Database, il CERT/CC Vulnerability Notes Database e altri elenchi gestiti e aggiornati da fornitori e altre organizzazioni. Data la presenza di numerosi sistemi di informazione, gli ID CVE costituiscono una modalità attendibile per distinguere una falla di sicurezza specifica dalle altre.

Come vengono abbinati falle di sicurezza e ID CVE?

Gli ID CVE vengono assegnati da un'autorità di numerazione CVE (CNA, CVE Numbering Authority). Esistono circa 100 CNA, che rappresentano i principali fornitori IT, società assicurative ed enti di ricerca. I CVE possono essere pubblicati direttamente dal MITRE.

Alle CNA vengono assegnati blocchi di CVE, che verranno poi abbinati alle nuove falle non appena vengono rilevate. Ogni anno vengono pubblicati migliaia di ID CVE. A un unico prodotto complesso come un sistema operativo possono essere assegnati centinaia di CVE.

Le segnalazioni dei CVE possono provenire da chiunque: fornitori, ricercatori e perfino utenti esperti possono rilevare una falla e portarla all'attenzione degli interessati. Molti fornitori offrono ricompense per l'individuazione dei bug, con l'obiettivo di promuovere la divulgazione responsabile delle falle. Se individui una vulnerabilità in un software open source è bene sottoporla alla community.

Le informazioni sulle falle di sicurezza giungono quindi, tramite vari percorsi, a una CNA, la quale abbina le informazioni a un ID CVE, redige una breve descrizione e include dei riferimenti. A questo punto la voce viene pubblicata sul sito web CVE.

Non è detto che ciascuna delle fasi sopra indicate abbia luogo. Spesso i fornitori non comunicano le falle di sicurezza fino a quando non hanno sviluppato e testato una correzione, per ridurre in questo modo potenziali attacchi.

Quando viene resa pubblica, una voce CVE include l'ID CVE (nel formato "CVE-2019-1234567"), una breve descrizione della vulnerabilità o dell'esposizione e i riferimenti, ad esempio link a report o advisory di vulnerabilità.


Quali falle sono incluse negli elenchi CVE?

Gli ID CVE sono assegnati a falle che soddisfano uno specifico set di criteri:

1. Correggibili in modo indipendente.

La falla può essere corretta in modo indipendente da qualsiasi altro bug.

2. Riconosciute dal fornitore del prodotto.

Il fornitore del software o dell'hardware conferma il bug e il suo potenziale impatto negativo sullo sicurezza.

OPPURE

Documentate Chi segnala la falla condivide un report sulla vulnerabilità che dimostra l'impatto negativo del bug e accerta la violazione dei criteri di sicurezza del sistema interessato.

3. Con impatto su un codebase.

Alle falle che incidono su più di un prodotto vengono assegnati CVE distinti. In presenza di librerie, protocolli o standard condivisi, alla falla viene assegnato un unico CVE soltanto nel caso in cui sia impossibile utilizzare il codice condiviso senza dare seguito a vulnerabilità. In caso contrario, a ogni codice o prodotto interessato dalla falla viene assegnato un CVE univoco.


Cos'è il Common Vulnerability Scoring System (CVSS)?

Per misurare la scala di gravità di una vulnerabilità esistono diversi metodi. Uno è il Common Vulnerability Scoring System, un insieme di standard per l'assegnazione di un punteggio a una vulnerabilità, che ne classifica la gravità. I punteggi vanno da 0,0 a 10,0 e i numeri più alti rappresentano un livello di gravità più elevato. Esistono inoltre sistemi di classificazione proprietari creati da numerosi fornitori di servizi di sicurezza.

Tre suggerimenti utili 

Analizza i tuoi deployment. Il fatto che esista un CVE non significa che uno specifico ambiente e deployment possano essere compromessi. Sfrutta ogni CVE per capire se ha valore per l'ambiente in questione verificando che sia applicabile (in tutto o in parte) al sistema operativo, all'applicazione, ai moduli e alle configurazioni specifiche del tuo ambiente.

Adotta processi di gestione delle vulnerabilità. La gestione della vulnerabilità consiste in un processo ripetibile mirato a identificare, classificare, assegnare le priorità e mitigare le vulnerabilità. Nel complesso, significa comprendere i rischi che gravano sulla tua organizzazione in modo da assegnare le giuste priorità alle principali vulnerabilità che devono essere risolte.

Divulga le informazioni. I CVE hanno impatto sui sistemi della tua organizzazione sia per le vulnerabilità in sé, sia per i tempi di inattività conseguenti alla loro risoluzione. Per questo è importante comunicare e coordinarsi con i clienti interni, nonché condividere le vulnerabilità con l'eventuale reparto di gestione centralizzata del rischio della tua azienda.

Contributo di Red Hat agli elenchi CVE

In quanto contributore leader al software open source, Red Hat è attivamente coinvolto nelle iniziative delle community che si occupano di sicurezza. Red Hat è un'autorità CNA e utilizza gli ID CVE per tenere traccia delle vulnerabilità di sicurezza. Red Hat Security gestisce un database degli aggiornamenti di sicurezza aperto e aggiornato di frequente, in cui puoi eseguire ricerche usando l'identificativo CVE.

Trust Red Hat

Learn about Red Hat’s commitment to protecting customer data and privacy

Esplora l'infrastruttura Red Hat

Red Hat Enterprise Linux logo

Red Hat Enterprise Linux è una base stabile e versatile per eseguire il roll out di nuove applicazioni, virtualizzare ambienti e creare un cloud ibrido sicuro, il tutto con il nostro supporto pluripremiato.

Il metodo più semplice per gestire l'infrastruttura Red Hat e garantire processi IT efficienti e conformi. Crea processi e repository di contenuti attendibili con cui ottenere un ambiente sicuro e standardizzato.