Nel mese di agosto del 2022, l’unità di ricerca e analisi di Sophos, Sophos X-Ops, ha pubblicato un white paper sugli attaccanti multipli, ovvero gli avversari che prendono di mira più volte le stesse organizzazioni. Una delle nostre raccomandazioni principali emerse da questa ricerca era quella di prevenire gli attacchi ripetuti dando “priorità ai bug peggiori”, ovvero patchando le vulnerabilità critiche o di alto profilo che potrebbero colpire gli stack software specifici degli utenti. Sebbene riteniamo che questo sia ancora un buon consiglio, definire le priorità è una questione complessa. Come si fa a sapere quali bug sono i peggiori? E come si fa a dare priorità alla bonifica, considerando che le risorse sono più o meno le stesse, ma il numero di CVE pubblicati ogni anno continua ad aumentare, passando da 18.325 nel 2020, a 25.277 nel 2022, a 29.065 nel 2023? Inoltre, secondo una recente ricerca, la capacità media di bonifica delle organizzazioni è pari al 15% delle vulnerabilità aperte in un dato mese.
Un approccio comune è quello di dare priorità alle patch in base alla gravità (o al rischio, una distinzione che chiariremo più avanti) utilizzando i punteggi CVSS. Il Common Vulnerabilities Scoring System (CVSS) di FIRST è stato sviluppato molti anni fa e fornisce una classificazione numerica della gravità delle vulnerabilità compresa tra 0,0 e 10,0. Questo sistema è ampiamente utilizzato non solo per definire le priorità, ma anche per scopi obbligatori in alcuni settori e governi, tra cui la Payment Card Industry (PCI) e parti del governo federale degli Stati Uniti.
Il funzionamento è ingannevolmente semplice. Si inseriscono i dettagli di una vulnerabilità e si ottiene un numero che ne indica il livello: basso, medio, alto o critico. Fin qui tutto chiaro: si eliminano i bug che non interessano, ci si concentra sulla correzione delle vulnerabilità critiche e alte e si correggono quelle medie e basse o si accetta il rischio. Tutto è su una scala da 0 a 10, quindi in teoria è facile da gestire.
Tuttavia, le sfumature sono molte di più. In questo articolo, il primo di una serie di due parti, daremo un’occhiata a ciò che accade sotto il coperchio del CVSS e spiegheremo perché non è necessariamente utile per la definizione delle priorità. Nella seconda parte, discuteremo alcuni schemi alternativi che possono fornire un quadro più completo del rischio e aiutare nella definizione delle priorità.
Prima di iniziare, una nota importante. In questo articolo, tratteremo alcuni problemi relativi a CVSS, ma siamo consapevoli che la creazione e il mantenimento di un framework di questo tipo è un lavoro duro e, in un certo senso, ingrato. CVSS è oggetto di numerose critiche, alcune delle quali riguardano problemi intrinseci al concetto stesso di CVSS e altre il modo in cui le organizzazioni utilizzano il framework. Tuttavia, è importante sottolineare che CVSS non è uno strumento commerciale a pagamento. È stato reso gratuito per le organizzazioni che possono utilizzarlo come meglio credono, con l’intento di fornire una guida utile e pratica alla gravità delle vulnerabilità e quindi di aiutare le organizzazioni a migliorare la loro risposta alle vulnerabilità pubblicate. Continua a subire miglioramenti, spesso in risposta a feedback esterni. La motivazione che ci ha spinto a scrivere questi articoli non è in alcun modo quella di denigrare il programma CVSS o i suoi sviluppatori e manutentori, ma di fornire un ulteriore contesto e una guida al CVSS e al suo utilizzo, in particolare per quanto riguarda la definizione delle priorità di rimedio, e di contribuire a una discussione più ampia sulla gestione delle vulnerabilità.
Continua a leggere.
Lascia un commento