Redazione RHC : 10 Aprile 2023 09:37
L’obiettivo principale della sicurezza informatica è la gestione delle vulnerabilità. Nel raggiungere questo obiettivo, la CVE aiuta gli specialisti, che sono parte integrante della comunità della sicurezza delle informazioni.
Sicuramente, se sei un lettore di RHC avrai già sentito questo acronimo, ma nello specifico, cosa significa?
In questo articolo, esamineremo la definizione e la storia del CVE e come questo indicatore viene utilizzato dai criminali informatici e dagli hacker etici.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
L’abbreviazione CVE sta per Common Vulnerabilities and Exposures ed è un database di vulnerabilità di sicurezza delle informazioni comunemente note. Il sistema è attivamente supportato dai centri di ricerca e sviluppo finanziati a livello federale (FFRDC) gestiti dalla MITRE Corporation.
Poiché MITRE è un’organizzazione senza scopo di lucro, il CVE è finanziato dalla National Cyber Security Division (NCSD) degli Stati Uniti D’America.
Le vulnerabilità sono difetti di sistema che creano punti deboli all’interno di una infrastruttura informatica che possono essere sfruttati da un malintenzionato.
Le vulnerabilità possono derivare da qualsiasi cosa, dal software senza patch a una porta USB non protetta. Le vulnerabilità potrebbero consentire a un utente malintenzionato di:
Un semplice errore consente un attacco informatico a un’organizzazione. Ciò può includere il furto di dati sensibili, che vengono poi venduti nel dark web.
La maggior parte degli incidenti informatici sono causati da bug di sicurezza e successivi exploit divenuti pubblici.
Il concetto originale del database CVE ha avuto origine in un white paper del 1999 intitolato “Towards a Common Enumeration of Vulnerabilities”, scritto da Steven M. Christie e David E. Mann della MITRE Corporation.
Christie e Mann hanno riunito un gruppo di lavoro di 19 specialisti e hanno compilato un elenco di CVE iniziale di 321 voci.
Nel settembre 1999 il registro è diventato pubblicamente disponibile. Dal lancio del CVE nel 1999, diverse società di sicurezza delle informazioni si sono aggiunte all’elenco delle vulnerabilità. A dicembre 2000, 29 organizzazioni partecipavano all’iniziativa con 43 bug di sicurezza.
CVE è stato utilizzato come punto di partenza per il NIST National Vulnerability Database (NVD).
Il CVE si espande con ogni organizzazione che entra a far parte di MITRE come collaboratore. Un elenco completo dei partner può essere trovato su CVE.org .
Tutti i CVE sono difetti di sicurezza, ma non tutti i difetti sono CVE.
Un difetto è dichiarato da un CVE quando soddisfa tre criteri specifici:
A parte il MITRE, la numerazione delle CVE può essere anche “battezzata” da altre realtà che vengono chiamate CVE Numbering Authorities (CNA).
A ciascuna vulnerabilità CVE viene assegnato un numero (CVE Identifier o CVE ID) da una delle 222 (ad oggi) CVE Numbering Authorities (CNA) di 34 paesi.
Secondo il MITRE, le CNA sono rappresentate da organizzazioni che vanno da fornitori di software e progetti open source a fornitori di servizi di ricerca di bug e gruppi di ricerca.
Tutte queste organizzazioni hanno il diritto di assegnare identificatori CVE e pubblicarne i record come parte del programma CVE. Nel corso degli anni, aziende di vari settori hanno aderito al programma CNA. I requisiti per l’ingresso sono minimi e non richiedono un contratto o un contributo monetario.
Lo standard internazionale per gli identificatori CVE è CVE-xxxx-yyyyy. [xxxx] — anno in cui è stata scoperta la vulnerabilità. [yyyyy] è il numero di serie assegnato dai rispettivi CNA.
Migliaia di nuove vulnerabilità vengono pubblicate ogni anno da quando il programma è stato fondato nel 1999.
Al momento in cui scriviamo, ci sono già 178.569 voci nell’elenco CVE. Questo ha una media di 7.763 vulnerabilità e impatti all’anno.
Degli oltre 178.000 CVE, più della metà è di proprietà dei primi 50 fornitori di software in tutto il mondo. Ad esempio, Microsoft e Oracle hanno segnalato oltre 6.000 difetti nei loro prodotti.
Il database CVE è stato creato per facilitare lo scambio di informazioni sulle vulnerabilità note tra le organizzazioni.
Gli identificatori CVE consentono al professionista della sicurezza informatica di trovare facilmente informazioni sui difetti in diverse fonti autorevoli utilizzando lo stesso identificatore di vulnerabilità.
Inoltre, CVE fornisce una solida base per consentire a un’azienda di comprendere la necessità di investire in una maggiore sicurezza. Un’organizzazione può ottenere rapidamente informazioni accurate su un particolare exploit da più fonti certificate, consentendole di assegnare correttamente la priorità di riparazione.
Una volta che una vulnerabilità diventa di dominio pubblico, un criminale informatico ha tutti il tempo per sfruttarla in scopi dannosi. Un utente malintenzionato può sfruttare un bug prima che venga corretto dal fornitore del software.
La condivisione delle informazioni nella comunità della sicurezza informatica è un modo affidabile per ridurre il numero di attacchi informatici e introdurre nuove soluzioni di sicurezza informatica.
Il CVE è un elemento necessario nel percorso verso il miglioramento dei prodotti e il mantenimento della protezione degli utenti e delle aziende globali e si basa su etica e trasparenza.
Se hai un mano uno 0-day, pensa sempre a questo.