Immagina di svegliarti lunedì mattina e trovare una notifica di sicurezza: è stata pubblicata una nuova CVE con un punteggio CVSS di 9.8. Panico? Forse. Ma la domanda corretta non è "quanto è alto il numero", bensì "cosa significa questo numero per la mia infrastruttura specifica".

Spesso si confondono i due termini, trattandoli come sinonimi o come un unico blocco di informazioni. Non lo sono.

Il CVE è l'identità, il CVSS è il termometro

Partiamo dalle basi per non fare confusione. Il Common Vulnerabilities and Exposures (CVE) è essenzialmente un dizionario. È un elenco di vulnerabilità informatiche pubblicamente note. Quando leggi "CVE-2023-XXXX", stai guardando un codice identificativo univoco. Serve a far sì che tutti — dal vendor del software all'analista di sicurezza in Giappone — parlino della stessa identica falla.

Senza il CVE, saremmo nel caos. Ognuno darebbe un nome diverso allo stesso bug, rendendo impossibile tracciare le patch.

Il CVSS (Common Vulnerability Scoring System), invece, entra in gioco dopo. È il sistema di misurazione. Se il CVE ci dice cosa è rotto, il CVSS cerca di dirci quanto sia grave il danno potenziale.

Un dettaglio non da poco: il CVSS non è un valore assoluto scolpito nella pietra, ma il risultato di una serie di metriche che pesano diversi fattori di rischio.

Come nasce un punteggio CVSS?

Non è un numero tirato a sorte. Per arrivare a quel 7.5 o 10.0, gli analisti valutano diverse variabili divise in gruppi. Il più noto è il Base Score.

Qui si guarda all'attacco: è necessario l'accesso fisico al server? Basta un pacchetto inviato via rete? Serve che l'utente faccia clic su un link o che sia autenticato con privilegi di amministratore? Più l'attacco è "facile" da eseguire (bassa complessità e nessun requisito di privilegio), più il punteggio schizza verso l'alto.

Poi c'è l'impatto. Si misura su tre assi: Riservatezza, Integrità e Disponibilità. Se un hacker può leggere tutti i tuoi dati (riservatezza), modificarli a piacimento (integrità) o buttare giù il sistema (disponibilità), siamo di fronte a una vulnerabilità critica.

Proprio così. Semplice, in teoria.

Il grande errore: fidarsi solo del Base Score

Qui è dove molti amministratori di sistema sbagliano. Guardano il punteggio base riportato nel database NVD (National Vulnerability Database) e decidono l'ordine delle patch in base a quello. Errore fatale.

Il Base Score rappresenta il rischio in un ambiente "ideale" o peggiore possibile. Ma tu non vivi in un ambiente ideale.

Esistono altre due metriche che spesso vengono ignorate, ma che cambiano tutto:

  • Temporal Score: Considera se esiste già un exploit pubblico (un codice pronto all'uso per attaccare) o se il vendor ha rilasciato una patch ufficiale. Una vulnerabilità 9.8 senza exploit disponibile è meno urgente di una 7.0 che sta venendo sfruttata in tutto il mondo in questo momento.
  • Environmental Score: Questa è la parte più importante. È l'unica metrica che puoi calcolare tu. Ti permette di adattare il punteggio al tuo contesto. Se quella vulnerabilità critica colpisce un server che è isolato da ogni rete e non contiene dati sensibili, il rischio reale per te crolla drasticamente.

In pratica, il CVSS ambientale trasforma un dato generico in un'informazione strategica.

Perché usare un calcolatore CVSS?

Fare questi calcoli a mano è noioso e prono a errori. Ecco perché strumenti come quelli disponibili su cve.it sono fondamentali. Ti permettono di inserire i parametri della tua infrastruttura e vedere come il punteggio cambia in tempo reale.

Non si tratta di "abbassare il punteggio" per sentirsi più sicuri, ma di dare una priorità razionale al lavoro di manutenzione. Nessuno ha il tempo di patchare tutto istantaneamente. Devi sapere dove colpire per primo.

La trappola del "10.0"

C'è un certo feticismo verso il punteggio 10.0. Quando appare, scatta l'allarme rosso in ogni ufficio IT. Ma attenzione: una vulnerabilità con punteggio 10 che richiede un accesso fisico al dispositivo (molto raro in certi contesti) è meno pericolosa di un 8.5 che permette l'esecuzione remota di codice senza autenticazione via web.

L'analisi del rischio non è matematica pura, è contesto.

Ricorda: il numero è un indicatore, non una sentenza.

Come integrare CVE e CVSS nel tuo flusso di lavoro

Se vuoi davvero gestire la sicurezza in modo professionale, smetti di rincorrere ogni singola notifica. Crea un processo.

Prima di tutto, mappa i tuoi asset. Se non sai quali versioni di software stai usando, non puoi sapere se una CVE ti riguarda. Poi, quando emerge una nuova vulnerabilità, usa il codice CVE per trovare i dettagli tecnici e il punteggio CVSS base per avere un'idea della gravità.

A questo punto, applica il filtro ambientale: "Questo sistema è esposto a internet? Contiene dati critici? Esistono mitigazioni già attive (come un firewall o un WAF)?"

Solo dopo questi passaggi puoi decidere se patchare entro l'ora, entro la settimana o ignorare il problema perché il rischio è irrilevante.

Il futuro della misurazione: verso il CVSS v4.0

Il sistema evolve. La versione più recente del CVSS cerca di correggere alcune imprecisioni delle versioni precedenti, rendendo la valutazione ancora più granulare e meno soggetta a interpretazioni ambigue.

L'obiettivo è ridurre i "falsi allarmi" e dare agli esperti di sicurezza strumenti più precisi per comunicare il rischio al management. Perché, diciamocelo, spiegare a un CEO che bisogna spendere migliaia di euro in ore uomo per una patch è molto più facile se puoi mostrare un calcolo del rischio basato su dati reali e non su una sensazione.

In definitiva, padroneggiare il legame tra CVE e CVSS significa smettere di giocare a "acchiappa la falla" e iniziare a gestire la sicurezza in modo proattivo. Meno stress, più efficacia.