Il numero che decide le tue notti insonni
Chiunque si occupi di sicurezza informatica, dal sysadmin al CISO, ha avuto lo stesso riflesso: vedere un CVE score di 9.8 e sentire l'adrenalina salire. È il classico segnale d'allarme che spinge a correre verso i server per applicare una patch, spesso senza nemmeno sapere cosa stia succedendo esattamente sotto il cofano.
Ma ecco il punto. Un numero, per quanto preciso sembri, non è tutta la storia.
Il punteggio che leggiamo accanto a un CVE (Common Vulnerabilities and Exposures) è quasi sempre basato sullo standard CVSS (Common Vulnerability Scoring System). È un tentativo di rendere oggettiva la pericolosità di un bug, ma l'oggettività in sicurezza è un concetto scivoloso. Un punteggio alto indica un potenziale devastante, non necessariamente un rischio immediato per il tuo specifico ambiente.
Come nasce un CVE score?
Il calcolo non è un lancio di dadi. Si basa su diverse metriche che pesano la vulnerabilità in base a quanto è facile sfruttarla e quanto danno può fare. La parte più conosciuta è il Base Score.
Qui entrano in gioco fattori come l'Attack Vector. Se un attaccante può colpire il tuo sistema dall'altra parte del mondo via internet, il punteggio schizza verso l'alto. Se invece deve avere accesso fisico alla macchina o essere già loggato con privilegi amministrativi, il numero scende drasticamente.
Poi c'è la complessità dell'attacco. Alcuni exploit richiedono una precisione chirurgica e condizioni temporali perfette. Altri sono semplici script che chiunque può scaricare da GitHub e lanciare con un click. Più è facile, più il punteggio sale.
Un dettaglio non da poco: l'impatto sulla triade CIA (Confidentiality, Integrity, Availability). Se una vulnerabilità permette di leggere dati segreti, modificare database o buttare giù un intero servizio, il CVE score rifletterà questa gravità.
La trappola del "Punteggio Alto"
Molte aziende commettono l'errore di patchare tutto ciò che è sopra il 7.0 in ordine cronologico. È una strategia inefficiente. Perché?
Perché ignorano le metriche temporali e ambientali. Immagina una vulnerabilità con un punteggio critico, ma che colpisce un servizio che nel tuo network è isolato dietro tre firewall e non ha accesso a dati sensibili. Quel 9.8 diventa, nei fatti, un rischio molto più basso rispetto a un 6.5 che colpisce il tuo server email principale esposto al web.
Proprio così. Il contesto batte il numero.
Per questo motivo è fondamentale distinguere tra severità e rischio. La severità è intrinseca al bug (il CVE score), il rischio è ciò che accade quando quella severità incontra la tua specifica configurazione di rete.
CVSS v3.1 vs v4.0: cosa cambia?
Il mondo della sicurezza evolve e lo standard CVSS pure. La versione 4.0 ha cercato di correggere alcune rigidità delle versioni precedenti, rendendo l'analisi più granulare.
La novità principale riguarda la capacità di valutare meglio l'impatto sulle operazioni aziendali. Non si guarda più solo se il sistema "cade", ma come questo influenzi il business. È un passaggio logico: alla fine della giornata, ciò che conta non è il crash di un processo, ma se l'azienda può ancora fatturare o se i dati dei clienti sono al sicuro.
- Precisione: Meno ambiguità nell'assegnazione dei valori.
- Flessibilità: Migliore gestione delle vulnerabilità che richiedono interazioni utente complesse.
- Focus sul rischio reale: Maggiore enfasi sull'impatto operativo.
Se state ancora usando calcolatori obsoleti, state guardando il mondo con lenti appannate.
Strategie per gestire i CVE senza impazzire
Gestire centinaia di vulnerabilità è impossibile se non si ha un metodo. Il primo passo è smettere di guardare solo il CVE score e iniziare a incrociarlo con altre fonti. Una delle più autorevoli è l'EPSS (Exploit Prediction Scoring System).
Mentre il CVSS ti dice quanto sarebbe grave l'attacco, l'EPSS ti dice quanto è probabile che quell'attacco avvenga nei prossimi 30 giorni basandosi sull'attività reale osservata nel wild.
Un CVE con score 7.0 ma con un'alta probabilità di exploit (EPSS alto) deve essere patchato prima di un 9.0 che non ha ancora alcun exploit pubblico conosciuto. Sembra controintuitivo, ma è l'unico modo per ottimizzare le risorse del team IT.
Il ruolo dei calcolatori di vulnerabilità
Per chi lavora sul campo, avere uno strumento rapido per ricalcolare il punteggio in base al proprio ambiente è vitale. Non puoi limitarti a leggere il report della vendor; devi poter dire: "Sì, questo bug è critico, ma nel mio caso l'Attack Vector è locale, quindi il mio score reale scende a 5.2".
Usare un calcolatore dedicato permette di trasformare un dato generico in un'intelligenza azionabile. Significa poter giustificare al management perché state ignorando un "Critical" per concentrarvi su un "Medium" che però apre la porta principale della vostra infrastruttura.
È una questione di priorità, non di numeri.
L'errore più comune: l'ossessione per lo zero
C'è chi pensa che l'unico obiettivo sia portare il numero di vulnerabilità critiche a zero. Spoiler: non succederà mai.
Il software è scritto da umani, e gli umani sbagliano. L'obiettivo non è l'assenza di bug, ma la gestione consapevole del rischio. Accettare che esisteranno sempre CVE con punteggi alti, ma sapere esattamente quali di questi possono effettivamente fare male al tuo business, è il vero segno di una strategia di sicurezza matura.
Invece di rincorrere ogni singolo aggiornamento in preda al panico, create una matrice. Incrociate il CVE score con la criticità dell'asset. Se l'asset è vitale e lo score è alto: patch immediata. Se l'asset è marginale e lo score è medio: pianificate l'aggiornamento nel prossimo ciclo di manutenzione.
Semplice, lineare, efficace.
Guardare oltre il numero
In definitiva, il punteggio di un CVE è una bussola, non una mappa dettagliata. Ti indica la direzione del pericolo, ma non ti dice dove sono le trappole nel tuo giardino specifico.
Imparate a leggere tra le righe dei report di sicurezza. Analizzate i vettori d'attacco, verificate se esistono mitigazioni temporanee (workaround) e, soprattutto, non lasciate che un numero decida da solo la vostra roadmap tecnica.
La sicurezza informatica è l'arte di gestire l'incertezza. E un CVE score, per quanto utile, rimane solo un pezzo del puzzle.