Redazione RHC : 13 Settembre 2022 08:00
I sistemi di gestione delle vulnerabilità basati sul Common Vulnerability Scoring System (CVSS) possono essere difettosi. Secondo un nuovo rapporto di Flashpoint, metà delle vulnerabilità critiche potrebbe essere valutata erroneamente.
Negli ultimi 10 anni, una media del 51,5% di tutte le vulnerabilità note con un punteggio di 10,0 non è stata identificata attraverso la metrica del CVSS. Ciò significa che le organizzazioni possono dare la priorità ai bug che in realtà non soddisfano un punteggio di 10,0. Ciò sottolinea ulteriormente che i punteggi CVSS non dovrebbero essere la base dei sistemi di gestione delle vulnerabilità.
Flashpoint ha analizzato 11.860 vulnerabilità nei primi 6 mesi del 2022 e ha rilevato che i servizi CVE/NVD non sono riusciti a etichettare il 27,3% di esse. Pertanto, alcune carenze possono essere sopravvalutate come misura precauzionale.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I team di sicurezza informatica possono massimizzare le risorse e ridurre il proprio carico di lavoro dell’82% concentrandosi sulla correzione delle vulnerabilità ad alta gravità.
Le vulnerabilità critiche sono quelle che richiedono un’azione immediata. Se il modello CVSS fuorvia i professionisti, si concentreranno sui compiti sbagliati e andranno incontro ai veri incidenti di sicurezza.
Molti esperti di sicurezza hanno notato per anni carenze nel CVSS, soprattutto quando viene utilizzato per valutare le vulnerabilità ICS.
Tuttavia, il rischio di errore non sempre corrisponde al rischio reale per una organizzazione. Il punteggio CVSS può darti un’idea di quali problemi potrebbe avere una particolare vulnerabilità. La valutazione non fornisce informazioni sul fatto che questo bug sia stato sfruttato attivamente. Potrebbe essere stato utilizzato negli attacchi prima di essere scoperto, quindi ha la massima priorità per essere risolto.
Ciò non significa che il punteggio CVSS non abbia valore. È importante valutare l’impatto di una vulnerabilità nel contesto di un’organizzazione: a cosa può portare e se è facile da sfruttare. La valutazione è solo un indicatore e non può sostituire una corretta gestione del rischio.
Flashpoint ritiene che i professionisti della sicurezza possano ridurre significativamente il proprio carico di lavoro concentrandosi prima sulle vulnerabilità pericolose e critiche che richiedono un’azione urgente.
Invece di fare affidamento sui punteggi CVSS, i professionisti dovrebbero dare la priorità alle esigenze aziendali per ridurre gli arretrati, che sono in costante aumento con gli aggiornamenti di sicurezza giornalieri.
Sebbene la correzione delle falle di sicurezza più pericolose sia spesso la prima priorità, i programmi di ricompense dei bug e i test di penetrazione regolari possono migliorare l’efficacia della gestione delle vulnerabilità.
La gestione delle patch può essere utile poiché la divulgazione delle vulnerabilità in genere ispira molti PoC Proof of Concept disponibili pubblicamente che possono essere sfruttati da vari aggressori al di fuori degli APT.
Risolvere una vulnerabilità può essere un problema per i professionisti della sicurezza, in quanto non equivale a fare clic su un pulsante per aggiornare. Questo processo può richiedere settimane o addirittura mesi.
La conformità a volte può creare un falso senso di sicurezza, tuttavia, il software obsoleto rappresenta un serio rischio per le organizzazioni ed è spesso la causa principale di massicci attacchi informatici.
RedazioneUna falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema...
Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...
Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...
Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...
