Che cos'è il Common Vulnerability Scoring System (CVSS)?

Il Common Vulnerability Scoring System (CVSS) è un framework ampiamente utilizzato per classificare e valutare le vulnerabilità del software.
 

Con questo framework aperto le organizzazioni possono calcolare un punteggio CVSS, un punteggio numerico che rappresenta la gravità di una vulnerabilità. Le caratteristiche di una vulnerabilità che ha contribuito al punteggio CVSS sono rappresentate in una catena di testo nota come stringa vettoriale CVSS.

A partire dal 2005, ci sono state diverse versioni del CVSS. La versione più recente, CVSS v4.0, è stata rilasciata nel 2022. Il framework è gestito dal gruppo non profit FIRST.org, Inc., noto anche come Forum of Incident Response and Security Teams.

Il CVSS è uno strumento importante per la gestione delle vulnerabilità, ovvero il continuo processo di rilevamento, definizione delle priorità e risoluzione delle vulnerabilità nella sicurezza dell'infrastruttura IT e del software di un'organizzazione. Identificare e risolvere gli errori e i punti deboli della cybersecurity, come configurazioni errate del firewall e bug privi di patch, è d'importanza critica per garantire la piena funzionalità dell'infrastruttura e del software IT.

Le azioni per la risoluzione possono includere:

• Correzione: garantire che una vulnerabilità non possa più essere sfruttata.
  
  
• Mitigazione: rendere una vulnerabilità più difficile da attaccare, riducendone al contempo il potenziale impatto se ciò dovesse avvenire.
  
  
• Accettazione: lasciare presente una vulnerabilità se è improbabile che venga attaccata o se causerebbe comunque pochi danni.

Data la complessità dei sistemi IT odierni e la grande quantità di vulnerabilità e minacce informatiche, determinare quali problemi affrontare e risolvere per primi può essere difficile per i responsabili IT.

È qui che il CVSS si dimostra estremamente utile, poiché offre ai responsabili IT un approccio sistematico alla valutazione della gravità di una vulnerabilità, aiutandoli a prendere decisioni sulla definizione delle priorità e sulla pianificazione della risoluzione delle vulnerabilità nei sistemi interessati.¹

I punteggi CVSS possono essere incorporati nelle valutazioni del rischio tuttavia, secondo First.org, una valutazione CVSS da sola non dovrebbe essere utilizzata al posto di una valutazione completa del rischio. Le guide per gli utenti considerano una completa una valutazione se include anche fattori che esulano dall'ambito del CVSS.²

Il CVSS è nato come progetto di ricerca commissionato dal National Infrastructure Advisory Council (NIAC) nel 2003. All'epoca, il panorama delle valutazioni delle vulnerabilità del software era frammentato: i fornitori di sicurezza informatica e i gruppi non profit utilizzavano procedure e metriche diverse, dando vita a una serie di sistemi di punteggio unici e spesso proprietari e incompatibili tra loro.³ Questa incongruenza ha reso difficile la collaborazione tra i team di sicurezza di diverse organizzazioni.⁴

I ricercatori del NIAC hanno creato il CVSS per standardizzare le valutazioni delle vulnerabilità. Il CVSS è stato progettato come un sistema aperto che potesse essere personalizzato e adottato da diversi sistemi e ambienti IT.⁵

CVSS v4.0 è costituito da 4 gruppi di metriche.⁶

• Base
• Minaccia
• Ambientale
• Supplementari

Questi gruppi di metriche rappresentano caratteristiche e qualità diverse delle vulnerabilità del software. Secondo il framework CVSS v4.0, i gruppi possono essere descritti come segue:

Le metriche Base rappresentano le qualità intrinseche delle vulnerabilità che sono costanti in tutti gli ambienti degli utenti e nel tempo. Le metriche Base appartengono a due categorie: sfruttabilità e impatto.

Le metriche di Sfruttabilità indicano la facilità con cui una vulnerabilità può essere sfruttata con successo. Esempi di metriche di Sfruttabilità includono:

• Quantità di interazione con l'utente di cui un criminale informatico necessita per attaccare una vulnerabilità
  
  
• Se un criminale può accedere a un sistema localmente o da remoto ("vettore di attacco")
  
  
• Di quale livello di privilegi necessita un criminale informatico per avere successo ("privilegi richiesti")
  
  
• Se per eseguire un attacco sono necessarie condizioni specifiche o conoscenze avanzate ("complessità dell'attacco")

Le metriche di Impatto rappresentano gli esiti del successo di un'azione che ha sfruttato la vulnerabilità, l'impatto su un sistema vulnerabile (come un'applicazione software o un sistema operativo) e gli impatti a valle su altri sistemi. Esempi di metriche di Impatto includono:

• Perdita di riservatezza, come l'accesso a informazioni riservate
  
  
• Perdita di integrità, ad esempio quando il criminale informatico modifica i dati del sistema
  
  
• Impatto sulla disponibilità, ovvero se attacco riduce le prestazioni di un sistema o nega l'accesso al sistema agli utenti legittimi

Le metriche di Minaccia rappresentano le caratteristiche della vulnerabilità che cambiano nel tempo. La maturità dell'exploit, ovvero la metrica principale in questa categoria, misura la probabilità che una vulnerabilità specifica sia attaccata.

La disponibilità dei codici di exploit, lo stato delle relative tecniche e le istanze reali degli attacchi determinano il valore metrico assegnato alle metriche di maturità dell'exploit. Tali valori includono:

• "Attaccato" (sono stati segnalati attacchi a questa vulnerabilità)
  
  
• "Proof-of-concept" (sono disponibili codici di exploit, ma non sono stati segnalati attacchi)
  
  
• “Non segnalato” (non sono noti codici di exploit proof-of-concept né tentativi di sfruttare la vulnerabilità)

Quando non sono disponibili informazioni di threat intelligence affidabili per determinare il livello di maturità dell'exploit, si utilizza un valore predefinito, ovvero "non definito".

Il gruppo di metriche Ambientali rappresenta le caratteristiche di vulnerabilità uniche per l'ambiente di un utente. Come il gruppo di metriche Base, il gruppo di metriche Ambientali include riservatezza, integrità e disponibilità. A ogni metrica viene assegnato un valore che riflette l'importanza dell'asset vulnerabile all'interno dell'organizzazione. Ciò è in contrasto con l'obiettivo intrinseco delle metriche Base.

Inoltre, attraverso il gruppo di metriche Ambientali, gli analisti possono sostituire varie metriche di base originali con metriche di base modificate se la situazione in un ambiente specifico suggerisce che sia giustificato un valore diverso.

Consideriamo uno scenario in cui la configurazione predefinita di un'applicazione richieda l'autenticazione per l'accesso, tuttavia l'ambiente in cui si trova l'applicazione non richiede l'autenticazione per gli amministratori. In questo caso, il valore di base originale per la vulnerabilità "privilegi richiesti" dell'applicazione è "alto"," il che significa che è necessario un elevato livello di privilegi per accedervi. Tuttavia, il valore modificato "privilegi richiesti" sarebbe "nessuno", perché gli aggressori potrebbero teoricamente utilizzare la vulnerabilità assumendo funzioni amministrative.

Il gruppo di metriche Supplementari fornisce informazioni aggiuntive sulle caratteristiche estrinseche delle vulnerabilità, concentrandosi su aspetti che vanno oltre la gravità tecnica. Esempi di metriche Supplementari includono:

• "Automatizzabile" (se un criminale informatico può automatizzare le fasi dell'attacco per raggiungere più obiettivi)
  
  
• "Sicurezza" (la possibilità che un essere umano possa essere ferito se viene sfruttata una vulnerabilità)
  
  
• “Recupero” (in quale misura un sistema si riprende dopo un attacco)

Le versioni del CVSS variano in base alle metriche che includono. Ad esempio, il gruppo di metriche Supplementari è un'aggiunta relativamente nuova. Le versioni precedenti del CVSS (CVSS v1, CVSS v2, CVSS v3 e CVSS v3.1) non includevano questo gruppo di metriche.

Tuttavia, le versioni precedenti del CVSS includevano altre metriche, come "confidenza nei report" e "livello di correzione", che appartenevano a un gruppo di metriche chiamato Temporali. La categoria delle metriche di Minaccia del CVSS v4.0 ha sostituito il gruppo di metriche Temporali delle versioni precedenti.

Si ritiene inoltre che il CVSS v4.0 presenti una maggiore granularità nelle sue metriche Base, il che consente una comprensione più completa delle vulnerabilità.

I diversi tipi di punteggi CVSS riflettono i diversi gruppi di metriche considerati nella valutazione di una vulnerabilità:

• CVSS-B si riferisce ai punteggi Base
  
  
• CVSS-BE si riferisce ai punteggi Base e Ambientali
  
  
• CVSS-BT si riferisce ai punteggi Base e di Minaccia
  
  
• CVSS-BTE si riferisce ai punteggi Base, di Minaccia e Ambientali ⁷

Tutti i punteggi vanno da 0 a 10, dove 0 è il livello di gravità più basso e 10 il punteggio di gravità più alto possibile. Le metriche Supplementari non influiscono sui punteggi CVSS, ma potrebbero essere incluse nelle stringhe vettoriali CVSS v4.0.

Entità diverse potrebbero dare priorità a gruppi di metriche e punteggi diversi. Ad esempio, i fornitori di software spesso specificano i punteggi Base dei loro prodotti, mentre le organizzazioni di consumatori potrebbero fare affidamento sulle metriche di Minaccia e Ambientali per indicare il potenziale impatto di una vulnerabilità nei loro ambienti.⁸

Le stringhe vettoriali CVSS sono rappresentazioni di testo leggibili dalla macchina di un gruppo di metriche CVSS in relazione a una vulnerabilità. Le diverse abbreviazioni all'interno delle stringhe vettoriali corrispondono a valori metrici specifici e contribuiscono a contestualizzare il punteggio CVSS di quella vulnerabilità.⁹

Ad esempio, una vulnerabilità con un valore di "vettore di attacco" pari a "L" (per "locale") mostrerebbe "AV:L" nella stringa vettoriale. Se tale vulnerabilità potesse essere attaccata solo da un criminale informatico con un livello elevato di privilegi, il valore "privilegi richiesti" sarebbe "H" (per "alto") e la sua stringa vettoriale sarebbe "PR:H".

In una stringa vettoriale, ogni valore è separato da una barra ("/") e deve essere elencato in un ordine prestabilito, come specificato dal framework CVSS. I diversi valori dei gruppi di metriche Base, Minaccia e Ambientali possono essere combinati in 15 milioni di stringhe vettoriali distinte.¹⁰

Il CVSS può essere utile per valutare tipi specifici di vulnerabilità della cybersecurity che vengono spesso scoperte nelle applicazioni di AI, tra cui model poisoning, denial-of-service o divulgazione di informazioni. Tuttavia, secondo First.org, il CVSS potrebbe essere meno utile per le vulnerabilità legate all'AI che riguardano principalmente bias, etica o problemi legali. Tali vulnerabilità riguardano inferenza, inversione del modello e prompt injection.¹¹

Mentre il CVSS è un framework per la valutazione delle vulnerabilità, il CVE (Common Vulnerabilities and Exposures) è un glossario delle vulnerabilità della cybersecurity divulgate pubblicamente. Alle vulnerabilità incluse nel programma CVE vengono assegnati identificatori univoci chiamati ID CVE. Il programma è gestito dalla società non profit MITRE ed è sponsorizzato dal Dipartimento per la sicurezza interna degli Stati Uniti.

La gravità delle vulnerabilità catalogate dal programma CVE può essere valutata utilizzando il framework CVSS. Tuttavia, quando si tratta di vulnerabilità pubblicate dal CVE, le organizzazioni CVE potrebbero scegliere di rinunciare a fare i propri calcoli e di affidarsi invece ai punteggi CVSS forniti dal National Vulnerability Database (NVD). Il NVD è un repository degli standard sui dati per la gestione delle vulnerabilità del National Institute of Standards and Technology (NIST). Il NVD mantiene un database online consultabile delle vulnerabilità identificate dal CVE, abbinate a informazioni supplementari tra cui punteggi Base del CVSS e stringhe vettoriali.

Le organizzazioni possono utilizzare calcolatori online per determinare diversi tipi di punteggi CVSS, inclusi i punteggi CVSS basati sulle versioni precedenti del CVSS. I calcolatori CVSS sono disponibili sui siti CVSS e NVD . La documentazione CVSS raccomanda che le organizzazioni utilizzino l'automazione per cercare le minacce da inserire nelle metriche di Minaccia e Ambientali ai fini della valutazione del punteggio.¹²

Le organizzazioni possono anche utilizzare gli strumenti e le piattaforme di gestione delle vulnerabilità che incorporano le valutazioni CVSS. Le principali soluzioni software di valutazione delle vulnerabilità fanno riferimento ai punteggi CVSS tra diversi fattori chiave, tra cui benchmark di conformità, guide alla sicurezza dei fornitori e ricerche di settore. Tali soluzioni potrebbero includere anche funzionalità basate su AI, come il data discovery in tempo reale, che può aiutare a migliorare la risposta agli incidenti e la gestione della privacy di un'organizzazione.