Nel mese di agosto del 2022, l’unit\u00e0 di ricerca e analisi di Sophos, Sophos X-Ops, ha pubblicato un white paper sugli attaccanti multipli<\/a>, ovvero gli avversari che prendono di mira pi\u00f9 volte le stesse organizzazioni. Una delle nostre raccomandazioni principali emerse da questa ricerca era quella di prevenire gli attacchi ripetuti dando \u201cpriorit\u00e0 ai bug peggiori\u201d, ovvero patchando le vulnerabilit\u00e0 critiche o di alto profilo che potrebbero colpire gli stack software specifici degli utenti. Sebbene riteniamo che questo sia ancora un buon consiglio, definire le priorit\u00e0 \u00e8 una questione complessa. Come si fa a sapere quali bug sono i peggiori? E come si fa a dare priorit\u00e0 alla bonifica, considerando che le risorse sono pi\u00f9 o meno le stesse, ma il numero di CVE pubblicati ogni anno continua ad aumentare<\/a>, passando da 18.325 nel 2020, a 25.277 nel 2022, a 29.065 nel 2023? Inoltre, secondo una recente ricerca<\/a>, la capacit\u00e0 media di bonifica delle organizzazioni \u00e8 pari al 15% delle vulnerabilit\u00e0 aperte in un dato mese.<\/p>\n Un approccio comune \u00e8 quello di dare priorit\u00e0 alle patch in base alla gravit\u00e0 (o al rischio, una distinzione che chiariremo pi\u00f9 avanti) utilizzando i punteggi CVSS. Il Common Vulnerabilities Scoring System<\/a> (CVSS) di FIRST \u00e8 stato sviluppato molti anni fa e fornisce una classificazione numerica della gravit\u00e0 delle vulnerabilit\u00e0 compresa tra 0,0 e 10,0. Questo sistema \u00e8 ampiamente utilizzato non solo per definire le priorit\u00e0, ma anche per scopi obbligatori in alcuni settori e governi, tra cui la Payment Card Industry<\/a> (PCI) e parti del governo federale degli Stati Uniti<\/a>.<\/p>\n Il funzionamento \u00e8 ingannevolmente semplice. Si inseriscono i dettagli di una vulnerabilit\u00e0 e si ottiene un numero che ne indica il livello: basso, medio, alto o critico. Fin qui tutto chiaro: si eliminano i bug che non interessano, ci si concentra sulla correzione delle vulnerabilit\u00e0 critiche e alte e si correggono quelle medie e basse o si accetta il rischio. Tutto \u00e8 su una scala da 0 a 10, quindi in teoria \u00e8 facile da gestire.<\/p>\n Tuttavia, le sfumature sono molte di pi\u00f9. In questo articolo, il primo di una serie di due parti, daremo un’occhiata a ci\u00f2 che accade sotto il coperchio del CVSS e spiegheremo perch\u00e9 non \u00e8 necessariamente utile per la definizione delle priorit\u00e0. Nella seconda parte<\/a>, discuteremo alcuni schemi alternativi che possono fornire un quadro pi\u00f9 completo del rischio e aiutare nella definizione delle priorit\u00e0.<\/p>\n Prima di iniziare, una nota importante. In questo articolo, tratteremo alcuni problemi relativi a CVSS, ma siamo consapevoli che la creazione e il mantenimento di un framework di questo tipo \u00e8 un lavoro duro e, in un certo senso, ingrato. CVSS \u00e8 oggetto di numerose critiche, alcune delle quali riguardano problemi intrinseci al concetto stesso di CVSS e altre il modo in cui le organizzazioni utilizzano il framework. Tuttavia, \u00e8 importante sottolineare che CVSS non \u00e8 uno strumento commerciale a pagamento. \u00c8 stato reso gratuito per le organizzazioni che possono utilizzarlo come meglio credono, con l’intento di fornire una guida utile e pratica alla gravit\u00e0 delle vulnerabilit\u00e0 e quindi di aiutare le organizzazioni a migliorare la loro risposta alle vulnerabilit\u00e0 pubblicate. Continua a subire miglioramenti, spesso in risposta a feedback esterni. La motivazione che ci ha spinto a scrivere questi articoli non \u00e8 in alcun modo quella di denigrare il programma CVSS o i suoi sviluppatori e manutentori, ma di fornire un ulteriore contesto e una guida al CVSS e al suo utilizzo, in particolare per quanto riguarda la definizione delle priorit\u00e0 di rimedio, e di contribuire a una discussione pi\u00f9 ampia sulla gestione delle vulnerabilit\u00e0.<\/p>\n
![](\"https:\/\/news.sophos.com\/wp-content\/uploads\/2024\/12\/shutterstock_2501372697.jpg\"\/)
<\/p>\n