Common Vulnerabilities and Exposures (CVE) è un sistema standard per l'identificazione e la pubblicazione delle vulnerabilità della sicurezza informatica. Il suo scopo principale è facilitare la condivisione e la distribuzione dei dati sulle vulnerabilità per consentire migliori strategie di difesa e promuovere la collaborazione all’interno della comunità della sicurezza informatica.
Storia e genesi della CVE
Il concetto di CVE è nato alla fine degli anni '90 nella comunità della sicurezza informatica, principalmente come iniziativa della MITRE Corporation. Il sistema è stato lanciato nel settembre 1999 con la prima lista CVE, un database di identificatori standardizzati per le vulnerabilità note della sicurezza informatica.
Lo scopo originale del CVE era fornire un linguaggio comune per discutere e condividere informazioni sulle vulnerabilità. Prima dell'introduzione del CVE, fornitori e ricercatori diversi utilizzavano nomi e descrizioni diversi per le stesse vulnerabilità, creando confusione e problemi di comunicazione.
Comprendere il CVE
Ogni voce CVE include un numero identificativo, una descrizione e almeno un riferimento pubblico. Il numero di identificazione segue un formato specifico: CVE-YYYY-NNNNN, dove "YYYY" è l'anno in cui è stato assegnato l'ID CVE o la vulnerabilità è stata resa pubblica, e "NNNNN" è un numero univoco per quella vulnerabilità.
Il sistema CVE non fornisce alcuna informazione sulla gravità o sul rischio associato a una particolare vulnerabilità. Tuttavia, fornisce una base di riferimento attorno alla quale altre organizzazioni, come il National Vulnerability Database (NVD), possono allegare metadati aggiuntivi, come punteggi di rischio o indici di sfruttabilità.
Struttura interna e funzionalità del CVE
Il sistema CVE funziona assegnando un identificatore univoco a ogni vulnerabilità conosciuta. Questo identificatore aiuta i professionisti della sicurezza a fare riferimento a una vulnerabilità specifica utilizzando un linguaggio comune, il che aiuta negli sforzi di mitigazione.
Gli ID CVE sono richiesti e assegnati dalle Autorità di numerazione CVE (CNA). Le CNA sono organizzazioni di tutto il mondo che hanno collaborato con il programma CVE per assegnare ID CVE alle vulnerabilità che interessano i prodotti all'interno del loro ambito distinto e concordato.
L'elenco CVE, mantenuto dal MITRE, viene quindi aggiornato con queste nuove voci. I database delle vulnerabilità, come NVD, estraggono dati dall'elenco CVE per creare elenchi di vulnerabilità più dettagliati.
Caratteristiche principali del CVE
- Identificatori standardizzati: Ogni ID CVE si riferisce a una vulnerabilità univoca, il che evita confusione durante la discussione o la condivisione di informazioni sulle vulnerabilità.
- Database accessibile pubblicamente: L’elenco CVE è liberamente disponibile al pubblico, favorendo la trasparenza e la collaborazione.
- Adozione diffusa: Gli ID CVE sono ampiamente utilizzati dai fornitori e dai ricercatori di sicurezza informatica in tutto il mondo, rendendoli uno standard riconosciuto a livello globale.
- Linguaggio comune: L’uso di un identificatore comune aiuta a migliorare il coordinamento e la collaborazione in materia di sicurezza informatica fornendo un modo standard per discutere le vulnerabilità individuali.
Tipi di CVE
Non esiste una classificazione formale dei tipi CVE di per sé, ma le vulnerabilità possono essere classificate in base a diversi criteri, come l'area in cui incidono (ad esempio, memoria, sistema operativo, applicazione), come possono essere sfruttate (ad esempio, remoto, locale ) e l'impatto che hanno (ad esempio, perdita di dati, arresto anomalo del sistema).
Ad esempio, esaminando come sfruttare le vulnerabilità, possiamo avere:
| Vettore di sfruttamento | Descrizione |
|---|---|
| Locale | L'aggressore necessita dell'accesso fisico o dei privilegi dell'utente locale per sfruttare la vulnerabilità |
| Adiacente | L'aggressore deve avere accesso alla stessa rete del sistema bersaglio per sfruttare la vulnerabilità |
| A distanza | L'aggressore può sfruttare la vulnerabilità da tutta Internet |
I CVE vengono utilizzati dai professionisti della sicurezza informatica per identificare le vulnerabilità, valutarne l’impatto e ideare strategie di mitigazione. Tuttavia, questo sistema non è privo di sfide. In particolare, il sistema CVE può essere lento nell’assegnare identificatori alle nuove vulnerabilità, causando una lacuna nella copertura. Inoltre, poiché CVE non fornisce informazioni sulla gravità o sui rischi, le organizzazioni devono fare affidamento su altre risorse per questi dati.
Per affrontare questi problemi, la comunità della sicurezza informatica ha sviluppato strumenti e risorse complementari. Ad esempio, il National Vulnerability Database fornisce punteggi di gravità e metadati aggiuntivi per ciascun CVE, mentre organizzazioni come CERT/CC e Zero Day Initiative spesso assegnano identificatori temporanei alle nuove vulnerabilità prima che venga assegnato un ID CVE.
Confronto con termini simili
| Termine | Descrizione | Confronto con CVE |
|---|---|---|
| CVSS | Il Common Vulnerability Scoring System (CVSS) fornisce un modo per catturare le principali caratteristiche di una vulnerabilità e produrre un punteggio numerico che ne rappresenta la gravità. | Mentre CVE identifica le vulnerabilità, CVSS assegna loro un punteggio in base alla loro gravità. |
| CWE | Common Weakness Enumeration (CWE) è un elenco sviluppato dalla comunità dei comuni punti deboli della sicurezza software. Serve come linguaggio comune per descrivere queste debolezze. | Mentre CVE identifica vulnerabilità specifiche, CWE descrive i tipi di punti deboli della sicurezza che potrebbero portare a vulnerabilità. |
Prospettive future e tecnologie legate alla CVE
Poiché le minacce alla sicurezza informatica continuano ad evolversi, anche il sistema CVE dovrà adattarsi. I futuri miglioramenti al sistema CVE potrebbero includere il rilevamento e la segnalazione automatizzati delle vulnerabilità, ambiti ampliati per le CNA e l’integrazione con tecnologie di intelligenza artificiale (AI) e machine learning (ML) per l’analisi predittiva.
Server proxy e CVE
I server proxy, come quelli forniti da OneProxy, possono essere sia obiettivi che strumenti nel contesto di CVE. Come obiettivi, le vulnerabilità nel software del server proxy possono ricevere i propri ID CVE se presentano un rischio per la sicurezza. Come strumenti, i server proxy possono essere configurati per mitigare l'impatto di alcune vulnerabilità, ad esempio filtrando il traffico dannoso relativo a un CVE noto.
