Cosa sono i CVSS?
I CVSS, ovvero Common Vulnerability Scoring System, sono una misura standardizzata utilizzata per valutare la gravità e l’impatto di un vulnerabilità o di un errore nel sistema informatico. La creazione dei CVSS è stata intrapresa dalla Cyber Security and Infrastructure Security Agency (CISA), un’agenzia del governo degli Stati Uniti, con lo scopo di fornire una struttura comune e facile da comprendere per le valutazioni delle vulnerabilità.
Come funziona il sistema dei CVSS?
Il sistema dei CVSS utilizza un punteggio numerico che rappresenta la gravità della vulnerabilità. Il punteggio è calcolato considerando tre fattori principali:
1. AV (Attacking Vector): indica la modalità di attacco necessaria per sfruttare la vulnerabilità, come ad esempio un exploit di buffer o una scansione del sistema.
2. A4 (Impact on the system): rappresenta l’impatto della vulnerabilità sul sistema, considerando fattori come la capacità di danni, il numero di utenti colpiti e la potenziale capacità di ripresa.
3. C (Confidentiality): indica la gravità dell’intrusione nella confidentialità del sistema, considerando fattori come la quantità di dati accessibili e la possibilità di utilizzare i dati per scopi non autorizzati.
Il punteggio totale è calcolato sommando questi tre valori. Il punteggio può variare da 0 a 10, con 0 indicando una vulnerabilità molto bassa e 10 indicando una vulnerabilità estremamente alta.
Esempi di punteggi dei CVSS
- CVSS base: il punteggio base rappresenta la gravità della vulnerabilità in assenza di fattori aggiuntivi. Ad esempio, se un sistema ha una vulnerabilità con AV=P (attacco remoto) e A4=5 (impatto sul sistema medio), il punteggio base sarebbe 7.
- CVSS evolutivo: il punteggio evolutivo prende in considerazione fattori aggiuntivi come la priorità del rischio, il numero di utenti colpiti e la possibilità di ripresa. Ad esempio, se la stessa vulnerabilità ha un AV=P e A4=5, ma è classificata come “alta” di priorità, il punteggio evolutivo sarebbe 9.
Importanza dei CVSS
La standardizzazione del sistema dei CVSS rappresenta un passo importante verso una comunicazione più efficace e coerente tra gli organizzatori di sistemi informatici, i responsabili della sicurezza informatica e le autorità competenti. I CVSS permettono di:
- Migliorare la comunicazione: fornendo una struttura comune per le valutazioni delle vulnerabilità, i CVSS consentono di garantire che tutti i partiti coinvolti abbiano un linguaggio comune.
- Fornire una misura standardizzata: i CVSS forniscono una misura standardizzata della gravità e dell’impatto di una vulnerabilità, consentendo alle autorità competenti di prendere decisioni più informate.
- Sviluppare strategie di sicurezza: la conoscenza dei CVSS aiuta gli organizzatori di sistemi informatici a sviluppare strategie di sicurezza più efficaci, al fine di ridurre il rischio di attacchi malintenzionati.
