{"id":29856,"date":"2025-08-04T15:47:47","date_gmt":"2025-08-04T13:47:47","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29856"},"modified":"2025-08-04T15:47:47","modified_gmt":"2025-08-04T13:47:47","slug":"cvss-rbvm-vulnerability-management","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/cvss-rbvm-vulnerability-management\/29856\/","title":{"rendered":"Da CVSS a RBVM: assegnazione delle priorit\u00e0 alle vulnerabilit\u00e0 eseguita correttamente"},"content":{"rendered":"

Quando si incontra per la prima volta il CVSS (Common Vulnerability Scoring System), \u00e8 facile pensare che si tratti dello strumento perfetto per il triage e l\u2019assegnazione delle priorit\u00e0 alle vulnerabilit\u00e0. Un punteggio pi\u00f9 alto indica una vulnerabilit\u00e0 pi\u00f9 critica, giusto? In realt\u00e0, questo approccio non funziona. Ogni anno assistiamo a un numero crescente di vulnerabilit\u00e0 con punteggi CVSS elevati. I team di sicurezza non riescono a correggerle tutte in tempo, ma la stragrande maggioranza di questi difetti non viene mai effettivamente sfruttata negli attacchi nel mondo reale. Nel frattempo, gli autori degli attacchi sfruttano costantemente vulnerabilit\u00e0 meno appariscenti con punteggi pi\u00f9 bassi. Ci sono anche altre insidie nascoste, che vanno da problemi puramente tecnici, come punteggi CVSS contrastanti, a problemi concettuali, come la mancanza di contesto aziendale.<\/p>\n

Non si tratta necessariamente di carenze del CVSS stesso. Si evidenzia invece la necessit\u00e0 di utilizzare lo strumento correttamente, nell\u2019ambito di un processo di gestione delle vulnerabilit\u00e0 pi\u00f9 sofisticato e completo.<\/p>\n

Discrepanze CVSS<\/h2>\n

Hai mai notato come la stessa vulnerabilit\u00e0 possa avere punteggi di gravit\u00e0 diversi a seconda dell\u2019origine disponibile? Un punteggio del ricercatore sulla cybersecurity che l\u2019ha trovato, un altro del fornitore del software vulnerabile e ancora un altro di un database nazionale delle vulnerabilit\u00e0? Non \u00e8 sempre e solo un semplice errore. A volte diversi esperti possono non essere d\u2019accordo sul contesto dello sfruttamento. Potrebbero avere idee diverse sui privilegi con cui viene eseguita un\u2019applicazione vulnerabile o sulla connessione a Internet. Un fornitore potrebbe ad esempio basare la propria valutazione sulle best practice consigliate, mentre un ricercatore della sicurezza potrebbe considerare il modo in cui le applicazioni sono configurate tipicamente nelle organizzazioni reali. Un ricercatore potrebbe valutare la complessit\u00e0 dell\u2019exploit come alta, mentre un altro ritenerla bassa. Non \u00e8 un evento raro. Uno studio di Vulncheck<\/a> del 2023 ha rilevato che il 20% delle vulnerabilit\u00e0 nel National Vulnerability Database (NVD) aveva due punteggi CVSS3 da fonti diverse e il 56% di questi punteggi accoppiati era in conflitto.<\/p>\n

Errori comuni durante l\u2019utilizzo di CVSS<\/h2>\n

Da oltre un decennio FIRST<\/a> sostiene l\u2019applicazione metodologicamente corretta del CVSS. Tuttavia, le organizzazioni che utilizzano le classificazioni CVSS nei processi di gestione delle vulnerabilit\u00e0 continuano a commettere errori tipici:<\/p>\n

    \n
  1. Utilizzare il punteggio di base CVSS come indicatore di rischio primario. CVSS misura la gravit\u00e0 di una vulnerabilit\u00e0, non quando verr\u00e0 sfruttata o il potenziale impatto del relativo sfruttamento sull\u2019organizzazione sotto attacco. Talvolta una vulnerabilit\u00e0 critica \u00e8 innocua nell\u2019ambiente di un\u2019azienda specifica perch\u00e9 risiede in sistemi insignificanti e isolati. Al contrario, un attacco ransomware su larga scala potrebbe iniziare con una vulnerabilit\u00e0 relativa alla fuga di informazioni apparentemente innocua con un punteggio CVSS di 6.<\/li>\n
  2. Utilizzare il punteggio di base CVSS senza adattamenti di Minaccia\/Temporali e Ambientali. La disponibilit\u00e0 di patch, exploit pubblici e misure compensative influenza in modo significativo il modo e l\u2019urgenza di affrontare una vulnerabilit\u00e0.<\/li>\n
  3. Concentrarsi solo sulle vulnerabilit\u00e0 al di sopra di un determinato punteggio. Questo approccio \u00e8 talvolta imposto dal governo o dalle autorit\u00e0 di regolamentazione del settore (\u201ccorreggere le vulnerabilit\u00e0 con un punteggio CVSS superiore a 8 entro un mese\u201d). Di conseguenza, i team di cybersecurity devono far fronte a un carico di lavoro in continua crescita che, in realt\u00e0, non rende la loro infrastruttura pi\u00f9 sicura. Il numero di vulnerabilit\u00e0 con punteggi CVSS elevati identificate ogni anno \u00e8 in rapido aumento negli ultimi 10 anni<\/a>.<\/li>\n
  4. Utilizzo di CVSS per valutare la probabilit\u00e0 di sfruttamento. Queste metriche sono scarsamente correlate: solo il 17% delle vulnerabilit\u00e0 critiche<\/a> viene sfruttato negli attacchi.<\/li>\n
  5. Utilizzo solo della valutazione CVSS. La stringa vettoriale standardizzata \u00e8 stata introdotta in CVSS in modo che chi difende potesse comprendere i dettagli di una vulnerabilit\u00e0 e calcolarne in modo indipendente l\u2019importanza all\u2019interno della propria organizzazione. CVSS 4.0 \u00e8 stato specificamente rivisto per tenere conto in modo pi\u00f9 facile del contesto aziendale utilizzando metriche aggiuntive. Qualsiasi sforzo di gestione della vulnerabilit\u00e0 basato esclusivamente su una classificazione numerica sar\u00e0 in gran parte inefficace.<\/li>\n
  6. Ignorare ulteriori fonti di informazione. Fare affidamento su un singolo database delle vulnerabilit\u00e0 e analizzare solo CVSS non \u00e8 sufficiente. L\u2019assenza di dati su patch, proof of concept funzionanti e casi di sfruttamento nel mondo reale rende difficile decidere come affrontare le vulnerabilit\u00e0.<\/li>\n<\/ol>\n

    Cosa non dice CVSS in merito a una vulnerabilit\u00e0<\/h2>\n

    CVSS \u00e8 lo standard del settore per descrivere la gravit\u00e0 di una vulnerabilit\u00e0, le condizioni in cui pu\u00f2 essere sfruttata e il potenziale impatto su un sistema vulnerabile. Tuttavia, al di l\u00e0 di questa descrizione (e del punteggio di base CVSS), c\u2019\u00e8 molto che non copre:<\/p>\n