Jump to section

Cos'è un elenco CVE?

Pubblicato 25 novembre 2021
Copia URL

Panoramica

Un elenco CVE (Common Vulnerabilities and Exposures) è un database pubblico che raccoglie le vulnerabilità nella sicurezza informatica. Quando si fa riferimento a un CVE, si intende in genere una falla di sicurezza a cui è stato assegnato un numero identificativo (ID) CVE.

Gli avvisi di sicurezza emessi da fornitori e ricercatori fanno quasi sempre riferimento ad almeno un ID CVE. I CVE aiutano i professionisti IT a coordinare le iniziative per assegnare le priorità e risolvere le vulnerabilità, con l'obiettivo di rendere i sistemi informatici più sicuri.

Incrementa la sicurezza del cloud ibrido

È troppo lungo, non ho tempo di leggerlo

Se non ti va di leggere l'articolo, guarda questo breve video sui CVE.

Come funziona un sistema CVE?

Il programma è supervisionato da MITRE Corporation e supportato dall'Agenzia per la sicurezza informatica e delle infrastrutture (CISA) che fa capo al Dipartimento della sicurezza interna degli Stati Uniti.

Le voci incluse nell'elenco CVE sono concise e non contengono dati tecnici o informazioni sui rischi, sulla loro portata o sulle possibili correzioni. Queste informazioni sono contenute in altri database, ad esempio l'U.S. National Vulnerability Database (NVD), il CERT/CC Vulnerability Notes Database e altri elenchi gestiti e aggiornati da fornitori e altre organizzazioni.

Nell'ambito dei diversi sistemi, gli ID CVE forniscono agli utenti un modo affidabile per individuare le vulnerabilità uniche e coordinare lo sviluppo di strumenti e soluzioni per la sicurezza. MITRE Corporation mantiene l'elenco dei CVE, ma spesso una falla nella sicurezza che diventa una voce di quell'elenco è stata inviata da membri o da organizzazioni della community open source.

Informazioni sugli identificativi CVE

Gli identificativi CVE vengono assegnati da un'autorità di numerazione CVE (CNA, CVE Numbering Authority). Esistono circa 100 CNA, che rappresentano i principali fornitori IT, tra cui Red Hat, IBM, Cisco, Oracle e Microsoft, oltre a società assicurative ed enti di ricerca. I CVE possono essere pubblicati direttamente dal MITRE.

Alle CNA vengono assegnati blocchi di CVE, che verranno poi abbinati alle nuove falle non appena vengono rilevate. Ogni anno vengono pubblicati migliaia di ID CVE. A un unico prodotto complesso come un sistema operativo possono essere assegnati centinaia di CVE.

Le segnalazioni dei CVE possono provenire da chiunque: fornitori, ricercatori e perfino utenti esperti possono rilevare una falla e portarla all'attenzione degli interessati. Molti fornitori offrono ricompense per l'individuazione dei bug, con l'obiettivo di promuovere la divulgazione responsabile dei problemi di sicurezza. Se individui una vulnerabilità in un software open source è bene sottoporla alla community.

Le informazioni sulle falle di sicurezza giungono quindi, tramite vari percorsi, a una CNA, la quale abbina le informazioni a un ID CVE, redige una breve descrizione e include dei riferimenti. A questo punto la nuova voce CVE viene pubblicata sul sito web CVE.

Spesso, un ID CVE viene assegnato prima che un avviso di sicurezza venga reso pubblico. È comune tra i fornitori mantenere segreti i difetti di sicurezza fino a quando non viene sviluppata e testata una correzione. Ciò riduce le opportunità per gli aggressori di sfruttare le falle che non dispongono ancora di patch.

Quando viene resa pubblica, una voce CVE include l'ID CVE (nel formato "CVE-2019-1234567"), una breve descrizione della vulnerabilità o dell'esposizione e i riferimenti, ad esempio link a report o advisory di vulnerabilità.

Quali falle sono incluse negli elenchi CVE?

Gli ID CVE sono assegnati a falle che soddisfano uno specifico set di criteri che includono:

1. Correggibili in modo indipendente.

La falla può essere corretta in modo indipendente da qualsiasi altro bug.

2. Riconosciute dal fornitore del prodotto O documentate.

Il fornitore del software o dell'hardware conferma il bug e il suo potenziale impatto negativo sullo sicurezza. Oppure, chi segnala la falla deve condividere un report sulla vulnerabilità che dimostra l'impatto negativo del bug e accerta la violazione dei criteri di sicurezza del sistema interessato.

3. Con impatto su un codebase.

Alle falle che incidono su più di un prodotto vengono assegnati CVE distinti. In presenza di librerie, protocolli o standard condivisi, alla falla viene assegnato un unico CVE soltanto nel caso in cui sia impossibile utilizzare il codice condiviso senza dare seguito a vulnerabilità. In caso contrario, a ogni codice o prodotto interessato dalla falla viene assegnato un CVE univoco.

Adattato da https://cve.mitre.org/cve/cna/rules.html#Section_4_1_qualifications

Ricevi aggiornamenti sulla sicurezza IT.

Cos'è il Common Vulnerability Scoring System (CVSS)?

Per misurare la scala di gravità di una vulnerabilità esistono diversi metodi. Uno è il Common Vulnerability Scoring System (CVSS), un insieme di standard open per l'assegnazione di un punteggio a una vulnerabilità, che ne classifica la gravità. I punteggi CVSS sono utilizzati da NVD, CERT e altri per valutare l'impatto delle vulnerabilità. I punteggi vanno da 0,0 a 10,0 e i numeri più alti rappresentano un livello di gravità più elevato. Esistono inoltre sistemi di classificazione proprietari creati da numerosi fornitori di servizi di sicurezza.

Tre conclusioni 

Analizza i tuoi deployment. Il fatto che esista un CVE non significa che uno specifico ambiente e deployment possano essere compromessi. Sfrutta ogni CVE per capire se ha valore per l'ambiente in questione verificando che sia applicabile (in tutto o in parte) al sistema operativo, all'applicazione, ai moduli e alle configurazioni del tuo specifico ambiente.

Adotta processi di gestione delle vulnerabilità.La gestione della vulnerabilità consiste in un processo ripetibile mirato a identificare, classificare, assegnare le priorità e mitigare le vulnerabilità. Nel complesso, significa comprendere i rischi che gravano sulla tua organizzazione in modo da assegnare le giuste priorità alle principali vulnerabilità che devono essere risolte.

Divulga le informazioni. I CVE hanno impatto sui sistemi della tua organizzazione sia per le vulnerabilità in sé, sia per i tempi di fermo conseguenti alla loro risoluzione. Per questo è importante comunicare e coordinarsi con i clienti interni, nonché condividere le vulnerabilità con l'eventuale reparto di gestione centralizzata del rischio della tua azienda.

Contributo di Red Hat agli elenchi CVE

In quanto contributore leader al software open source, Red Hat è attivamente coinvolta nelle iniziative delle community che si occupano di sicurezza. Red Hat è una CVE Numbering Authority (CNA) e utilizza gli ID CVE per tenere traccia delle vulnerabilità di sicurezza. Red Hat Security gestisce un database degli aggiornamenti di sicurezza aperto e aggiornato di frequente, in cui puoi eseguire ricerche usando l'identificativo CVE.

Esplora il database CVE di Red Hat

Che cos'è l'API Security Data di Red Hat?

Red Hat Product Security fornisce l'accesso ai dati di sicurezza non elaborati sulla sua pagina Security Data e in un formato utilizzabile con l'API Security Data.

Oltre ai report di sicurezza e alle metriche prodotte da Red Hat, i clienti possono utilizzare questi dati non elaborati per produrre metriche su misura per il proprio contesto.

I dati forniti dall'API Security Data includono definizioni Open Vulnerability and Assessment Language (OVAL), documenti Common Vulnerability Reporting Framework (CVRF) e dati CVE. I dati sono disponibili in formato XML o JSON.

Accedi alla documentazione dell'API Security Data di Red Hat

Scopri di più sull'approccio di Red Hat alla sicurezza e alla conformità

Keep reading

ARTICOLO

Cos'è la metodologia DevSecOps?

Per sfruttare tutta l'agilità e la reattività di un approccio DevOps, occorre tenere conto anche di un altro elemento cruciale dell'intero ciclo di vita delle tue applicazioni: la sicurezza IT.

ARTICOLO

La sicurezza nel cloud

I problemi di sicurezza hanno un impatto sia sui sistemi IT tradizionali che su quelli cloud. Scopri perché la sicurezza nel cloud è differente.

ARTICOLO

Cosa si intende con SOAR?

L'acronimo SOAR indica 3 capacità chiave utilizzate dai team che si occupano di sicurezza: gestione dei casi e dei flussi di lavoro, automazione delle attività e sistema centralizzato di accesso, query e condivisione dei dati di intelligence sulle minacce.

Scopri di più sulla sicurezza

Prodotti

Red Hat Certificate System

Un framework di sicurezza progettato per gestire le identità utente e garantire la privacy delle comunicazioni.

Red Hat Advanced Cluster Security Kubernetes

Una soluzione, Kubernetes native ed enterprise ready, per la sicurezza dei container che permette di creare, distribuire ed eseguire applicazioni cloud native in modo più sicuro.

Red Hat Insights

Un servizio di analisi predittiva per identificare e contrastare le minacce a sicurezza, prestazioni e disponibilità della tua infrastruttura Red Hat.

Red Hat Advanced Cluster Management Kubernetes

Una soluzione che permette di controllare cluster e applicazioni Kubernetes da una singola console dotata di criteri di sicurezza integrati.

Articoli correlati

Risorse

Ebook

Semplifica il tuo centro operativo di sicurezza

Ebook

Incrementa la sicurezza del cloud ibrido

Continua a leggere

WHITE PAPER

Un approccio multilivello alla sicurezza di Kubernetes e dei container

PANORAMICA

Come adottare una soluzione DevSecOps esaustiva

PANORAMICA

Global Tech Outlook 2022: un report di Red Hat

SCHEDA TECNICA

5 modi per implementare una metodologia DevSecOps efficace utilizzando l'automazione dell'IT

EBOOK

Più sicurezza e conformità

EBOOK

Report sullo stato della sicurezza di Kubernetes 2023

EBOOK

Red Hat Insights: analisi predittiva per Red Hat Enterprise Linux

CHECKLIST

Principali considerazioni su conformità e sicurezza per innovare l'ambiente IT"

CHECKLIST

Sei modi per rafforzare la tua piattaforma IT

SINTESI

Migliorare la compliance informatica con l'automazione dell'infrastruttura