Redazione RHC : 13 Settembre 2022 08:00
I sistemi di gestione delle vulnerabilità basati sul Common Vulnerability Scoring System (CVSS) possono essere difettosi. Secondo un nuovo rapporto di Flashpoint, metà delle vulnerabilità critiche potrebbe essere valutata erroneamente.
Negli ultimi 10 anni, una media del 51,5% di tutte le vulnerabilità note con un punteggio di 10,0 non è stata identificata attraverso la metrica del CVSS. Ciò significa che le organizzazioni possono dare la priorità ai bug che in realtà non soddisfano un punteggio di 10,0. Ciò sottolinea ulteriormente che i punteggi CVSS non dovrebbero essere la base dei sistemi di gestione delle vulnerabilità.
Flashpoint ha analizzato 11.860 vulnerabilità nei primi 6 mesi del 2022 e ha rilevato che i servizi CVE/NVD non sono riusciti a etichettare il 27,3% di esse. Pertanto, alcune carenze possono essere sopravvalutate come misura precauzionale.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I team di sicurezza informatica possono massimizzare le risorse e ridurre il proprio carico di lavoro dell’82% concentrandosi sulla correzione delle vulnerabilità ad alta gravità.
Le vulnerabilità critiche sono quelle che richiedono un’azione immediata. Se il modello CVSS fuorvia i professionisti, si concentreranno sui compiti sbagliati e andranno incontro ai veri incidenti di sicurezza.
Molti esperti di sicurezza hanno notato per anni carenze nel CVSS, soprattutto quando viene utilizzato per valutare le vulnerabilità ICS.
Tuttavia, il rischio di errore non sempre corrisponde al rischio reale per una organizzazione. Il punteggio CVSS può darti un’idea di quali problemi potrebbe avere una particolare vulnerabilità. La valutazione non fornisce informazioni sul fatto che questo bug sia stato sfruttato attivamente. Potrebbe essere stato utilizzato negli attacchi prima di essere scoperto, quindi ha la massima priorità per essere risolto.
Ciò non significa che il punteggio CVSS non abbia valore. È importante valutare l’impatto di una vulnerabilità nel contesto di un’organizzazione: a cosa può portare e se è facile da sfruttare. La valutazione è solo un indicatore e non può sostituire una corretta gestione del rischio.
Flashpoint ritiene che i professionisti della sicurezza possano ridurre significativamente il proprio carico di lavoro concentrandosi prima sulle vulnerabilità pericolose e critiche che richiedono un’azione urgente.
Invece di fare affidamento sui punteggi CVSS, i professionisti dovrebbero dare la priorità alle esigenze aziendali per ridurre gli arretrati, che sono in costante aumento con gli aggiornamenti di sicurezza giornalieri.
Sebbene la correzione delle falle di sicurezza più pericolose sia spesso la prima priorità, i programmi di ricompense dei bug e i test di penetrazione regolari possono migliorare l’efficacia della gestione delle vulnerabilità.
La gestione delle patch può essere utile poiché la divulgazione delle vulnerabilità in genere ispira molti PoC Proof of Concept disponibili pubblicamente che possono essere sfruttati da vari aggressori al di fuori degli APT.
Risolvere una vulnerabilità può essere un problema per i professionisti della sicurezza, in quanto non equivale a fare clic su un pulsante per aggiornare. Questo processo può richiedere settimane o addirittura mesi.
La conformità a volte può creare un falso senso di sicurezza, tuttavia, il software obsoleto rappresenta un serio rischio per le organizzazioni ed è spesso la causa principale di massicci attacchi informatici.
RedazioneIl colosso della tecnologia ha annunciato la creazione di un nuovo team di sviluppo per un’intelligenza artificiale “sovrumana” che supererà in accuratezza gli esperti umani nelle diagnosi medi...
Nel 2025, gli utenti fanno ancora molto affidamento sulle password di base per proteggere i propri account. Uno studio di Comparitech, basato sull’analisi di oltre 2 miliardi di password reali trape...
Numerosi apprezzamenti stanno arrivando per Elon Musk, che continua a guidare con destrezza le molteplici attività del suo impero, tra cui Tesla, SpaceX, xAI e Starlink, mantenendo salda la sua posiz...
Tre ex dipendenti di DigitalMint, che hanno indagato sugli incidenti ransomware e negoziato con i gruppi di ransomware, sono accusati di aver hackerato le reti di cinque aziende americane. Secondo il ...
Cisco ha reso noto recentemente di aver scoperto una nuova tipologia di attacco informatico mirato a compromettere i dispositivi che operano con i software Cisco Secure Firewall Adaptive Security Appl...
