La metrica di valutazione della vulnerabilità CVSS è sbagliata del 50%

I sistemi di gestione delle vulnerabilità basati sul Common Vulnerability Scoring System (CVSS) possono essere difettosi. Secondo un nuovo rapporto di Flashpoint, metà delle vulnerabilità critiche potrebbe essere valutata erroneamente.

Negli ultimi 10 anni, una media del 51,5% di tutte le vulnerabilità note con un punteggio di 10,0 non è stata identificata attraverso la metrica del CVSS. Ciò significa che le organizzazioni possono dare la priorità ai bug che in realtà non soddisfano un punteggio di 10,0. Ciò sottolinea ulteriormente che i punteggi CVSS non dovrebbero essere la base dei sistemi di gestione delle vulnerabilità.

Flashpoint ha analizzato 11.860 vulnerabilità nei primi 6 mesi del 2022 e ha rilevato che i servizi CVE/NVD non sono riusciti a etichettare il 27,3% di esse. Pertanto, alcune carenze possono essere sopravvalutate come misura precauzionale.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I team di sicurezza informatica possono massimizzare le risorse e ridurre il proprio carico di lavoro dell’82% concentrandosi sulla correzione delle vulnerabilità ad alta gravità.

Perché le stime CVSS imprecise sono un grosso problema?

Le vulnerabilità critiche sono quelle che richiedono un’azione immediata. Se il modello CVSS fuorvia i professionisti, si concentreranno sui compiti sbagliati e andranno incontro ai veri incidenti di sicurezza.

Molti esperti di sicurezza hanno notato per anni carenze nel CVSS, soprattutto quando viene utilizzato per valutare le vulnerabilità ICS.

Tuttavia, il rischio di errore non sempre corrisponde al rischio reale per una organizzazione. Il punteggio CVSS può darti un’idea di quali problemi potrebbe avere una particolare vulnerabilità. La valutazione non fornisce informazioni sul fatto che questo bug sia stato sfruttato attivamente. Potrebbe essere stato utilizzato negli attacchi prima di essere scoperto, quindi ha la massima priorità per essere risolto.

Ciò non significa che il punteggio CVSS non abbia valore. È importante valutare l’impatto di una vulnerabilità nel contesto di un’organizzazione: a cosa può portare e se è facile da sfruttare. La valutazione è solo un indicatore e non può sostituire una corretta gestione del rischio.

Concentrati sulle vulnerabilità critiche

Flashpoint ritiene che i professionisti della sicurezza possano ridurre significativamente il proprio carico di lavoro concentrandosi prima sulle vulnerabilità pericolose e critiche che richiedono un’azione urgente.

Invece di fare affidamento sui punteggi CVSS, i professionisti dovrebbero dare la priorità alle esigenze aziendali per ridurre gli arretrati, che sono in costante aumento con gli aggiornamenti di sicurezza giornalieri.

Sebbene la correzione delle falle di sicurezza più pericolose sia spesso la prima priorità, i programmi di ricompense dei bug e i test di penetrazione regolari possono migliorare l’efficacia della gestione delle vulnerabilità.

Cosa significa tutto questo per la gestione delle patch?

La gestione delle patch può essere utile poiché la divulgazione delle vulnerabilità in genere ispira molti PoC Proof of Concept disponibili pubblicamente che possono essere sfruttati da vari aggressori al di fuori degli APT.

Risolvere una vulnerabilità può essere un problema per i professionisti della sicurezza, in quanto non equivale a fare clic su un pulsante per aggiornare. Questo processo può richiedere settimane o addirittura mesi.

La conformità a volte può creare un falso senso di sicurezza, tuttavia, il software obsoleto rappresenta un serio rischio per le organizzazioni ed è spesso la causa principale di massicci attacchi informatici.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.