Il numero che decide le tue priorità

Ti capita mai di aprire un report di sicurezza e trovarti davanti a una lista infinita di vulnerabilità, ognuna accompagnata da un numero? Quel numero è lo score CVE.

Per chi non fosse aggiornato, il Common Vulnerabilities and Exposures (CVE) è essenzialmente un dizionario pubblico di falle di sicurezza. Ma sapere che esiste un buco nel software non basta. Serve capire quanto sia pericoloso.

È qui che entra in gioco il CVSS (Common Vulnerability Scoring System). Non è una formula magica, ma un metodo standardizzato per assegnare un valore numerico al rischio.

In parole povere: ci dice se dobbiamo correre a installare la patch adesso o se possiamo aspettare il prossimo ciclo di manutenzione.

Come si calcola davvero lo score CVE?

Molti pensano che il punteggio sia un numero assegnato a caso da un analista. Sbagliato.

Il CVSS si basa su diverse metriche, divise in gruppi. Il primo è il Base Score. Questo valore rappresenta le qualità intrinseche della vulnerabilità, indipendentemente dall'ambiente in cui si trova il software.

Per calcolarlo si guardano fattori come:

  • Vettore di attacco: L'hacker deve essere seduto alla tua scrivania (accesso fisico) o può colpire da un altro continente via internet?
  • Complessità dell'attacco: Basta premere un tasto o serve una laurea in crittografia e tre giorni di tentativi?
  • Privilegi richiesti: L'attaccante deve essere già loggato come amministratore o può entrare "dalla strada" senza credenziali?
  • Interazione dell'utente: Serve che l'utente clicchi su un link sospetto (phishing) o l'exploit avviene in totale autonomia?

Un dettaglio non da poco.

Se una vulnerabilità permette l'esecuzione di codice remoto (RCE) senza richiedere privilegi e con complessità bassa, lo score schizzerà verso il 10.0. Se invece serve l'accesso fisico alla macchina e i permessi di root, il punteggio crollerà.

La scala dei valori: da Low a Critical

Il risultato finale è un numero da 0.0 a 10.0. Ma cosa significano concretamente questi numeri per chi gestisce l'infrastruttura?

Low (0.1 - 3.9): Vulnerabilità che hanno un impatto minimo. Spesso sono bug informativi o falle che richiedono condizioni così specifiche da essere quasi impossibili da sfruttare nel mondo reale.

Medium (4.0 - 6.9): Qui le cose si fanno interessanti. Sono falle che possono causare danni, ma solitamente hanno dei limiti. Magari permettono di leggere file riservati ma non di prendere il controllo totale del server.

High (7.0 - 8.9): Allarme rosso. Queste vulnerabilità sono pericolose e spesso facilmente sfruttabili. Se vedi uno score in questa fascia, la patch va applicata il prima possibile.

Critical (9.0 - 10.0): Emergenza assoluta. Parliamo di falle che permettono il controllo totale del sistema, l'estrazione massiva di dati o il blocco completo dei servizi. Qui non si dorme finché il problema non è risolto.

Proprio così.

Il trucco che molti ignorano: Base vs Temporal vs Environmental

Ecco dove molti amministratori di sistema sbagliano. Si fidano ciecamente del Base Score che leggono online. Ma il punteggio base è teorico.

Esiste infatti lo Temporal Score. Questo valore cambia nel tempo. Perché? Perché se per una vulnerabilità con score 9.8 viene rilasciato un exploit pubblico e funzionante su GitHub, il rischio reale aumenta. Al contrario, se l'editore rilascia una patch ufficiale, il rischio di essere colpiti (se si aggiorna) diminuisce.

Ancora più importante è l'Environmental Score.

Immagina di avere una vulnerabilità critica su un server che non è connesso a internet e che sta in una stanza blindata. Lo score 10.0 ha ancora senso? Probabilmente no. Nel tuo contesto specifico, il rischio è bassissimo. Al contrario, una vulnerabilità "Medium" sul tuo database dei clienti principale è molto più grave di una "Critical" su un PC di test isolato.

Il segreto della cybersecurity non è risolvere tutto, ma risolvere le cose giuste nel momento giusto.

Perché non puoi fidarti solo del numero

Lo score CVE è uno strumento potentissimo, ma ha dei limiti. Il primo è la soggettività nella valutazione iniziale.

A volte diverse organizzazioni assegnano punteggi differenti alla stessa falla. Succede perché l'interpretazione di "complessità dell'attacco" può variare tra un analista e l'altro.

Inoltre, il CVSS misura la gravità, non il rischio.

C'è una differenza sottile ma fondamentale. La gravità è "cosa succede se vengo colpito". Il rischio è "qual è la probabilità che io venga colpito moltiplicata per l'impatto".

Se hai un sistema legacy che non può essere aggiornato, lo score CVE ti dice quanto sei esposto, ma non ti dice come proteggerti senza patch. In quei casi, devi implementare misure di mitigazione (come firewall o segmentazione della rete) per abbassare artificialmente il rischio, anche se il punteggio CVSS rimane invariato.

Come gestire l'overload di vulnerabilità

Se gestisci un parco macchine ampio, ti troverai con migliaia di CVE. È umanamente impossibile chiuderle tutte subito.

La strategia vincente? Crea una matrice di priorità.

Non guardare solo lo score cve. Incrocia il dato con la criticità dell'asset. Un server che espone dati sensibili all'esterno avrà sempre la precedenza su qualsiasi altra macchina, a prescindere dal fatto che la vulnerabilità sia 7.5 o 9.0.

Un altro consiglio: automatizza il monitoraggio.

Usare calcolatori CVSS aggiornati e feed di sicurezza in tempo reale permette di non essere sorpresi da un exploit "Zero Day". Quando una nuova CVE appare, devi poter capire in pochi secondi se colpisce la tua versione specifica di software o se è solo rumore di fondo.

L'evoluzione del sistema: dal CVSS v3 al v4

Il mondo della sicurezza evolve e il modo di calcolare i punteggi pure. La versione 4.0 del CVSS ha introdotto miglioramenti significativi per rendere lo score più preciso, specialmente per quanto riguarda l'impatto sulle operazioni di business (OT) e non solo sull'IT classico.

La nuova versione cerca di eliminare alcune ambiguità della v3.1, rendendo più chiaro il concetto di "interazione dell'utente" e raffinando le metriche di impatto.

Se stai ancora usando parametri di dieci anni fa, è ora di aggiornare il tuo approccio.

In fondo, lo score CVE non è che una bussola. Ti indica la direzione del pericolo, ma spetta a te decidere come navigare per evitare l'incidente.