Redazione RHC : 13 Settembre 2022 08:00
I sistemi di gestione delle vulnerabilità basati sul Common Vulnerability Scoring System (CVSS) possono essere difettosi. Secondo un nuovo rapporto di Flashpoint, metà delle vulnerabilità critiche potrebbe essere valutata erroneamente.
Negli ultimi 10 anni, una media del 51,5% di tutte le vulnerabilità note con un punteggio di 10,0 non è stata identificata attraverso la metrica del CVSS. Ciò significa che le organizzazioni possono dare la priorità ai bug che in realtà non soddisfano un punteggio di 10,0. Ciò sottolinea ulteriormente che i punteggi CVSS non dovrebbero essere la base dei sistemi di gestione delle vulnerabilità.
Flashpoint ha analizzato 11.860 vulnerabilità nei primi 6 mesi del 2022 e ha rilevato che i servizi CVE/NVD non sono riusciti a etichettare il 27,3% di esse. Pertanto, alcune carenze possono essere sopravvalutate come misura precauzionale.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
I team di sicurezza informatica possono massimizzare le risorse e ridurre il proprio carico di lavoro dell’82% concentrandosi sulla correzione delle vulnerabilità ad alta gravità.
Le vulnerabilità critiche sono quelle che richiedono un’azione immediata. Se il modello CVSS fuorvia i professionisti, si concentreranno sui compiti sbagliati e andranno incontro ai veri incidenti di sicurezza.
Molti esperti di sicurezza hanno notato per anni carenze nel CVSS, soprattutto quando viene utilizzato per valutare le vulnerabilità ICS.
Tuttavia, il rischio di errore non sempre corrisponde al rischio reale per una organizzazione. Il punteggio CVSS può darti un’idea di quali problemi potrebbe avere una particolare vulnerabilità. La valutazione non fornisce informazioni sul fatto che questo bug sia stato sfruttato attivamente. Potrebbe essere stato utilizzato negli attacchi prima di essere scoperto, quindi ha la massima priorità per essere risolto.
Ciò non significa che il punteggio CVSS non abbia valore. È importante valutare l’impatto di una vulnerabilità nel contesto di un’organizzazione: a cosa può portare e se è facile da sfruttare. La valutazione è solo un indicatore e non può sostituire una corretta gestione del rischio.
Flashpoint ritiene che i professionisti della sicurezza possano ridurre significativamente il proprio carico di lavoro concentrandosi prima sulle vulnerabilità pericolose e critiche che richiedono un’azione urgente.
Invece di fare affidamento sui punteggi CVSS, i professionisti dovrebbero dare la priorità alle esigenze aziendali per ridurre gli arretrati, che sono in costante aumento con gli aggiornamenti di sicurezza giornalieri.
Sebbene la correzione delle falle di sicurezza più pericolose sia spesso la prima priorità, i programmi di ricompense dei bug e i test di penetrazione regolari possono migliorare l’efficacia della gestione delle vulnerabilità.
La gestione delle patch può essere utile poiché la divulgazione delle vulnerabilità in genere ispira molti PoC Proof of Concept disponibili pubblicamente che possono essere sfruttati da vari aggressori al di fuori degli APT.
Risolvere una vulnerabilità può essere un problema per i professionisti della sicurezza, in quanto non equivale a fare clic su un pulsante per aggiornare. Questo processo può richiedere settimane o addirittura mesi.
La conformità a volte può creare un falso senso di sicurezza, tuttavia, il software obsoleto rappresenta un serio rischio per le organizzazioni ed è spesso la causa principale di massicci attacchi informatici.
RedazioneI ricercatori di Trellix hanno scoperto un insolito schema di attacco su Linux, in cui l’elemento chiave non è un allegato con contenuto dannoso, ma il nome del file all’interno del...
La recente vicenda del gruppo Facebook “Mia Moglie”, attivo dal 2019 e popolato da oltre 32.000 iscritti, mette in luce una dinamica che intreccia violazione della privacy, pornografia n...
Per i dipendenti di Google, “stare al passo con i tempi” significa non solo sviluppare l’intelligenza artificiale, ma anche essere in grado di utilizzarla ogni giorno. Negli ultim...
Advanced Security Solutions, con sede negli Emirati Arabi Uniti, è nata questo mese ed offre fino a 20 milioni di dollari per vulnerabilità zero-day ed exploit che consentirebbero a chiunque...
Un difetto critico riscontrato nel più recente modello di OpenAI, ChatGPT-5, permette a malintenzionati di aggirare le avanzate funzionalità di sicurezza attraverso l’uso di semplici ...
