Redazione RHC : 10 Aprile 2023 09:37
L’obiettivo principale della sicurezza informatica è la gestione delle vulnerabilità. Nel raggiungere questo obiettivo, la CVE aiuta gli specialisti, che sono parte integrante della comunità della sicurezza delle informazioni.
Sicuramente, se sei un lettore di RHC avrai già sentito questo acronimo, ma nello specifico, cosa significa?
In questo articolo, esamineremo la definizione e la storia del CVE e come questo indicatore viene utilizzato dai criminali informatici e dagli hacker etici.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’abbreviazione CVE sta per Common Vulnerabilities and Exposures ed è un database di vulnerabilità di sicurezza delle informazioni comunemente note. Il sistema è attivamente supportato dai centri di ricerca e sviluppo finanziati a livello federale (FFRDC) gestiti dalla MITRE Corporation.
Poiché MITRE è un’organizzazione senza scopo di lucro, il CVE è finanziato dalla National Cyber Security Division (NCSD) degli Stati Uniti D’America.
Le vulnerabilità sono difetti di sistema che creano punti deboli all’interno di una infrastruttura informatica che possono essere sfruttati da un malintenzionato.
Le vulnerabilità possono derivare da qualsiasi cosa, dal software senza patch a una porta USB non protetta. Le vulnerabilità potrebbero consentire a un utente malintenzionato di:
Un semplice errore consente un attacco informatico a un’organizzazione. Ciò può includere il furto di dati sensibili, che vengono poi venduti nel dark web.
La maggior parte degli incidenti informatici sono causati da bug di sicurezza e successivi exploit divenuti pubblici.
Il concetto originale del database CVE ha avuto origine in un white paper del 1999 intitolato “Towards a Common Enumeration of Vulnerabilities”, scritto da Steven M. Christie e David E. Mann della MITRE Corporation.
Christie e Mann hanno riunito un gruppo di lavoro di 19 specialisti e hanno compilato un elenco di CVE iniziale di 321 voci.
Nel settembre 1999 il registro è diventato pubblicamente disponibile. Dal lancio del CVE nel 1999, diverse società di sicurezza delle informazioni si sono aggiunte all’elenco delle vulnerabilità. A dicembre 2000, 29 organizzazioni partecipavano all’iniziativa con 43 bug di sicurezza.
CVE è stato utilizzato come punto di partenza per il NIST National Vulnerability Database (NVD).
Il CVE si espande con ogni organizzazione che entra a far parte di MITRE come collaboratore. Un elenco completo dei partner può essere trovato su CVE.org .
Tutti i CVE sono difetti di sicurezza, ma non tutti i difetti sono CVE.
Un difetto è dichiarato da un CVE quando soddisfa tre criteri specifici:
A parte il MITRE, la numerazione delle CVE può essere anche “battezzata” da altre realtà che vengono chiamate CVE Numbering Authorities (CNA).
A ciascuna vulnerabilità CVE viene assegnato un numero (CVE Identifier o CVE ID) da una delle 222 (ad oggi) CVE Numbering Authorities (CNA) di 34 paesi.
Secondo il MITRE, le CNA sono rappresentate da organizzazioni che vanno da fornitori di software e progetti open source a fornitori di servizi di ricerca di bug e gruppi di ricerca.
Tutte queste organizzazioni hanno il diritto di assegnare identificatori CVE e pubblicarne i record come parte del programma CVE. Nel corso degli anni, aziende di vari settori hanno aderito al programma CNA. I requisiti per l’ingresso sono minimi e non richiedono un contratto o un contributo monetario.
Lo standard internazionale per gli identificatori CVE è CVE-xxxx-yyyyy. [xxxx] — anno in cui è stata scoperta la vulnerabilità. [yyyyy] è il numero di serie assegnato dai rispettivi CNA.
Migliaia di nuove vulnerabilità vengono pubblicate ogni anno da quando il programma è stato fondato nel 1999.
Al momento in cui scriviamo, ci sono già 178.569 voci nell’elenco CVE. Questo ha una media di 7.763 vulnerabilità e impatti all’anno.
Degli oltre 178.000 CVE, più della metà è di proprietà dei primi 50 fornitori di software in tutto il mondo. Ad esempio, Microsoft e Oracle hanno segnalato oltre 6.000 difetti nei loro prodotti.
Il database CVE è stato creato per facilitare lo scambio di informazioni sulle vulnerabilità note tra le organizzazioni.
Gli identificatori CVE consentono al professionista della sicurezza informatica di trovare facilmente informazioni sui difetti in diverse fonti autorevoli utilizzando lo stesso identificatore di vulnerabilità.
Inoltre, CVE fornisce una solida base per consentire a un’azienda di comprendere la necessità di investire in una maggiore sicurezza. Un’organizzazione può ottenere rapidamente informazioni accurate su un particolare exploit da più fonti certificate, consentendole di assegnare correttamente la priorità di riparazione.
Una volta che una vulnerabilità diventa di dominio pubblico, un criminale informatico ha tutti il tempo per sfruttarla in scopi dannosi. Un utente malintenzionato può sfruttare un bug prima che venga corretto dal fornitore del software.
La condivisione delle informazioni nella comunità della sicurezza informatica è un modo affidabile per ridurre il numero di attacchi informatici e introdurre nuove soluzioni di sicurezza informatica.
Il CVE è un elemento necessario nel percorso verso il miglioramento dei prodotti e il mantenimento della protezione degli utenti e delle aziende globali e si basa su etica e trasparenza.
Se hai un mano uno 0-day, pensa sempre a questo.
RedazioneCentinaia di milioni di utenti di smartphone hanno dovuto affrontare il blocco dei siti web pornografici e l’obbligo di verifica dell’età. Nel Regno Unito è in vigore la verifica obbligatoria de...
Dalle fragilità del WEP ai progressi del WPA3, la sicurezza delle reti Wi-Fi ha compiuto un lungo percorso. Oggi, le reti autodifensive rappresentano la nuova frontiera: sistemi intelligenti capaci d...
Siamo ossessionati da firewall e crittografia. Investiamo miliardi in fortezze digitali, ma le statistiche sono inesorabili: la maggior parte degli attacchi cyber non inizia con un difetto nel codice,...
Un raro ritrovamento risalente ai primi giorni di Unix potrebbe riportare i ricercatori alle origini stesse del sistema operativo. Un nastro magnetico etichettato “UNIX Original From Bell Labs V4 (V...
Il 9 novembre ha segnato il 21° anniversario di Firefox 1.0. Nel 2004, è stata la prima versione stabile del nuovo browser di Mozilla, che si è subito posizionato come un’alternativa semplice e s...
