Accedi / Registrati Account

Sicurezza

Cos'è un elenco CVE?

Jump to section

Un elenco CVE (Common Vulnerabilities and Exposures) è un elenco di falle nella sicurezza informatica divulgato al pubblico. Quando si fa riferimento a un CVE, si intende in genere una falla di sicurezza a cui è stato assegnato un numero identificativo (ID) CVE.

Gli avvisi di sicurezza emessi da fornitori e ricercatori menzionano quasi sempre almeno un ID CVE. I CVE aiutano i professionisti IT a coordinare le iniziative per assegnare le priorità e risolvere le vulnerabilità, con l'obiettivo di rendere i sistemi informatici più sicuri.

Come funziona un sistema CVE?

Il sistema è supervisionato da MITRE Corporation e supportato dall'Agenzia per la sicurezza informatica e delle infrastrutture che fa capo al Dipartimento della sicurezza interna degli Stati Uniti.

Le voci incluse nell'elenco CVE sono concise e non contengono dati tecnici o informazioni sui rischi, sulla loro portata o sulle possibili correzioni. Queste informazioni sono contenute in altri database, ad esempio l'U.S. National Vulnerability Database (NVD), il CERT/CC Vulnerability Notes Database e altri elenchi gestiti e aggiornati da fornitori e altre organizzazioni. Data la presenza di numerosi sistemi di informazione, gli ID CVE costituiscono una modalità attendibile per distinguere una falla di sicurezza specifica dalle altre.

Informazioni sugli identificativi CVE

Gli identificativi CVE vengono assegnati da un'autorità di numerazione CVE (CNA, CVE Numbering Authority). Esistono circa 100 CNA, che rappresentano i principali fornitori IT, società assicurative ed enti di ricerca. I CVE possono essere pubblicati direttamente dal MITRE.

Alle CNA vengono assegnati blocchi di CVE, che verranno poi abbinati alle nuove falle non appena vengono rilevate. Ogni anno vengono pubblicati migliaia di ID CVE. A un unico prodotto complesso come un sistema operativo possono essere assegnati centinaia di CVE.

Le segnalazioni dei CVE possono provenire da chiunque: fornitori, ricercatori e perfino utenti esperti possono rilevare una falla e portarla all'attenzione degli interessati. Molti fornitori offrono ricompense per l'individuazione dei bug, con l'obiettivo di promuovere la divulgazione responsabile delle falle. Se individui una vulnerabilità in un software open source è bene sottoporla alla community.

Le informazioni sulle falle di sicurezza giungono quindi, tramite vari percorsi, a una CNA, la quale abbina le informazioni a un ID CVE, redige una breve descrizione e include dei riferimenti. A questo punto la voce viene pubblicata sul sito web CVE.

Spesso, un ID CVE viene assegnato prima che un avviso di sicurezza venga reso pubblico. È comune tra i fornitori mantenere segreti i difetti di sicurezza fino a quando non viene sviluppata e testata una correzione. Ciò riduce le opportunità per gli aggressori di sfruttare le falle senza patch.

Quando viene resa pubblica, una voce CVE include l'ID CVE (nel formato "CVE-2019-1234567"), una breve descrizione della vulnerabilità o dell'esposizione e i riferimenti, ad esempio link a report o advisory di vulnerabilità.

Quali falle sono incluse negli elenchi CVE?

Gli ID CVE sono assegnati a falle che soddisfano uno specifico set di criteri che includono:

1. Correggibili in modo indipendente.

La falla può essere corretta in modo indipendente da qualsiasi altro bug.

2. Riconosciute dal fornitore del prodotto O documentate.

Il fornitore del software o dell'hardware conferma il bug e il suo potenziale impatto negativo sullo sicurezza. Oppure, chi segnala la falla deve condividere un report sulla vulnerabilità che dimostra l'impatto negativo del bug e accerta la violazione dei criteri di sicurezza del sistema interessato.

3. Con impatto su un codebase.

Alle falle che incidono su più di un prodotto vengono assegnati CVE distinti. In presenza di librerie, protocolli o standard condivisi, alla falla viene assegnato un unico CVE soltanto nel caso in cui sia impossibile utilizzare il codice condiviso senza dare seguito a vulnerabilità. In caso contrario, a ogni codice o prodotto interessato dalla falla viene assegnato un CVE univoco.

Cos'è il Common Vulnerability Scoring System (CVSS)?

Per misurare la scala di gravità di una vulnerabilità esistono diversi metodi. Uno è il Common Vulnerability Scoring System (CVSS), un insieme di standard open per l'assegnazione di un punteggio a una vulnerabilità, che ne classifica la gravità. I punteggi CVSS sono utilizzati da NVD, CERT e altri per valutare l'impatto delle vulnerabilità. I punteggi vanno da 0,0 a 10,0 e i numeri più alti rappresentano un livello di gravità più elevato. Esistono inoltre sistemi di classificazione proprietari creati da numerosi fornitori di servizi di sicurezza.

Tre conclusioni 

Analizza i tuoi deployment. Il fatto che esista un CVE non significa che uno specifico ambiente e deployment possano essere compromessi. Sfrutta ogni CVE per capire se ha valore per l'ambiente in questione verificando che sia applicabile (in tutto o in parte) al sistema operativo, all'applicazione, ai moduli e alle configurazioni specifiche del tuo ambiente.

Adotta processi di gestione delle vulnerabilità. La gestione della vulnerabilità consiste in un processo ripetibile mirato a identificare, classificare, assegnare le priorità e mitigare le vulnerabilità. Nel complesso, significa comprendere i rischi che gravano sulla tua organizzazione in modo da assegnare le giuste priorità alle principali vulnerabilità che devono essere risolte.

Divulga le informazioni. I CVE hanno impatto sui sistemi della tua organizzazione sia per le vulnerabilità in sé, sia per i tempi di inattività conseguenti alla loro risoluzione. Per questo è importante comunicare e coordinarsi con i clienti interni, nonché condividere le vulnerabilità con l'eventuale reparto di gestione centralizzata del rischio della tua azienda.

Contributo di Red Hat agli elenchi CVE

In quanto contributore leader al software open source, Red Hat è attivamente coinvolta nelle iniziative delle community che si occupano di sicurezza. Red Hat è una CVE Numbering Authority (CNA) e utilizza gli ID CVE per tenere traccia delle vulnerabilità di sicurezza. Red Hat Security gestisce un database degli aggiornamenti di sicurezza aperto e aggiornato di frequente, in cui puoi eseguire ricerche usando l'identificativo CVE.

Che cos'è l'API Security Data di Red Hat?

Red Hat Product Security fornisce l'accesso ai dati di sicurezza non elaborati sulla sua pagina Security Data e in un formato utilizzabile con l'API Security Data.

Oltre ai report di sicurezza e alle metriche prodotte da Red Hat, i clienti possono utilizzare questi dati non elaborati per produrre metriche su misura per il proprio contesto.

I dati forniti dall'API Security Data includono definizioni Open Vulnerability and Assessment Language (OVAL), documenti Common Vulnerability Reporting Framework (CVRF) e dati CVE. I dati sono disponibili in formato XML o JSON.

Esplora l'infrastruttura Red Hat

Red Hat Enterprise Linux è una base stabile e versatile per eseguire il roll out di nuove applicazioni, virtualizzare ambienti e creare un cloud ibrido sicuro, il tutto con il nostro supporto pluripremiato.

Il metodo più semplice per gestire l'infrastruttura Red Hat e garantire processi IT efficienti e conformi. Crea processi e repository di contenuti attendibili con cui ottenere un ambiente sicuro e standardizzato.