4 metodi per classificare le vulnerabilità del proprio sistema informativo

Scoprite come evitare i falsi allarmi e mettere in ordine di importanza le vulnerabilità

Classificare le vulnerabilità per poter distribuire con metodo la loro risoluzione è una procedura molto importante nella gestione della Sicurezza IT.

Ogni anno vengono pubblicate più di 20.000 vulnerabilità nella base pubblica dei dati delle CVE ; sono in media quasi 50 nuove vulnerabilità al giorno.

Ognuna di queste vulnerabilità può interessare tutto o una parte del proprio sistema informativo aziendale: ad esempio una vulnerabilità riguarderà una versione specifica di java, un’altra i sistemi windows che non dispongono degli aggiornamenti di sicurezza più recenti oppure potrebbe riguardare apparecchiature di rete in configurazioni specifiche.

L’attività di ricerca delle vulnerabilità in un sistema informativo genera quindi un carico di lavoro significativo per i team di sicurezza, ma può essere automatizzata utilizzando uno strumento come uno scanner delle vulnerabilità.

Purtroppo l’elenco delle vulnerabilità individuate dopo una ricerca automatizzata è sempre molto lungo e può scoraggiare i team IT che debbono occuparsene quotidianamente. Negli elenchi si trovano spesso vulnerabilità di basso impatto o che riguardano per il proprio sistema IT risorse periferiche, di scarsa rilevanza.


In questo articolo vi racconteremo diversi metodi per assegnare priorità alle vulnerabilità, con o senza l’aiuto di strumenti software, per aiutare i team ad affrontare la gestione delle vulnerabilità e più in generale la postura di sicurezza in modo più efficace e sereno.

Assegnazione della priorità alle vulnerabilità con 4 metodi basati su: rischio reale, rischio teorico, soluzioni disponibili o minaccia.

I quattro metodo sono:

  1. Assegnare la priorità alle vulnerabilità secondo il rischio reale, con il punteggio CVSS completo
  2. Assegnare la priorità alle vulnerabilità secondo il rischio teorico, con il punteggio EPSS
  3. Assegnare la priorità alle vulnerabilità in funzione delle soluzioni disponibili
  4. Assegnare la priorità alle vulnerabilità in funzione delle minacce dei cybercriminali con il metodo MITRE ATT&CK

Vediamoli nel dettaglio

1.Assegnare la priorità alle vulnerabilità secondo il rischio reale, con il punteggio CVSS completo

Il CVSS-Common Vulnerability Scoring System è un metodo di valutazione delle vulnerabilità che contribuisce alla creazione del glossario CVE- Common Vulnerabilities and Exposures. Quest’ultimo assegna a ogni nuova vulnerabilità un punteggio tra 0 e 10, dove 0 indica una vulnerabilità lieve e 10 una vulnerabilità molto pericolosa.

Ogni CVE pubblicata nel database del MITRE viene analizzata dal NIST (National Institute of Standards and Technology) per attribuire un punteggio CVSS; dopo la CVE viene pubblicata insieme al suo punteggio nel database NVD (National Database Vulnerability).
Mentre la maggior parte dei professionisti della sicurezza informatica consulta regolarmente il database NVD e lavora con i punteggi CVSS forniti, molti utilizzano i punteggi CVSS ottenuti “così come sono” e non li valutano in base alla propria organizzazione (principalmente a causa della mancanza di tempo o di strumenti adeguati).
Il punteggio CVSS da solo infatti non prende in considerazione il contesto aziendale; nella sue formulazione di base è solo un componente del più articolato metodo CVSS che consente di proiettare il punteggio sull’organizzazione considerata.

Il punteggio CVSS, nella sua versione 3.1, propone di calcolare la gravità di una CVE a partire da tre componenti:
a) Il punteggio CVSS di base, pubblicato dal NVD per ogni CVE;
b) Il punteggio CVSS temporale, che si evolve in base all’interesse degli hacker per ogni CVE;
c) Il punteggio ambientale, che tiene conto del contesto aziendale di ogni asset per calcolare un punteggio adeguato.

Classificare le vulnerabilità - metriche

I tre componenti del punteggio CSVV secondo FIRST (Forum of Incident Response and Security Teams)

Metrica di base

Vedi sopra

Metrica temporale

Classificare le vulnerabilità - metrica temporale

La metrica temporale del punteggio CVSS si basa essenzialmente sull’attributo di maturità dei tipi di attacchi (exploit) disponibili, denominato nello standard « Exploit Code Maturity ».
Sono quattro gli stati possibili dell’attributo:
Unproven, per indicare che al momento non è stato ancora identificato alcun metodo di attacco;
Proof-of-Concept, per identificare che sono stati pubblicati i metodi di attacco che ne dimostrano la fattibilità, ma resta difficile utilizzarli;
Functional, per indicare che sono stati pubblicati metodi di attacco abbastanza facili da utilizzare;
High, per indicare che sono stati rilasciati dei metodi di attacco da utilizzare «chiavi in mano».
Questo attributo può anche risultare non identificato, con il valore « Not Defined ». In questo caso, la vulnerabilità sarà da valutare di default come se l’attributo fosse al livello peggiore, ovvero High.
Le metriche Remediation Level e Report Confidence devono essere ignorate poiché le vulnerabilità NVD sono tutte note per essere attendibili e molto spesso esiste una patch o una remediation disponibile. Queste metriche avrebbero quindi quasi sempre lo stesso valore per tutti i CVE e quindi sono poco utilizzate.


Metrica ambientale

Classificare le vulnerabilità - metrica ambientale

La metrica ambientale del punteggio CVSS si basa su 4 attributi:

  • Confidentiality Requirement, che permette di indicare le esigenze di asset in merito alla Riservatezza;
  • Integrity Requirement, che permette di indicare le esigenze di un asset in merito all’Integrità;
  • Availability Requirement, che permette di indicare le esigenze di un asset in merito alla Disponibilità;
  • Modified Base Metrics, che permette di limitare determinati attributi di una CVE su uno specifico asset.

Ogni requisito, o «Requirement», può assumere i valori «Low », « Medium » o « High », cioè Basso, Medio o Alto.

Le metriche “Modified Base Metrics” consentono invece di modificare e limitare tutti gli attributi di base del punteggio di una CVE in base alle caratteristiche specifiche dell’ambiente.

Le necessità legate alla Riservatezza, Integrità e Disponibilità degli asset permettono di modificare il punteggio di una CVE adattandolo secondo il conflitto tra l’impatto della CVE e i vincoli degli asett. Per esempio, una CVE che colpisce severamente l’integrità avrà un punteggio più basso su una risorsa i cui requisiti riguardano principalmente la disponibilità, ma riceverà un punteggio più alto su una risorsa il cui requisito di integrità è stato impostato su alto.

Il punteggio CVSS completo permette di dare una priorità alle vulnerabilità in funzione della loro reale pericolosità e del loro impatto aziendale.

L’utilizzo completo delle metriche del punteggio CVSS (Punteggio Base + Punteggio Temporale + Punteggio Ambientale) permette di passare da un punteggio singolo per CVE a un punteggio singolo per ciascuna coppia « CVE + asset del sistema informatico».

E’ sufficiente quindi definire una soglia di interesse per ciascun asset e filtrare solo le CVE il cui punteggio contestualizzato superi la soglia definita.

Maggiori dettagli sono disponibili nel documento specifico. Cyberwatch Vulnerability Manager automatizza questo processo, individuando le vulnerabilità prioritarie di ogni asset ed aiuta a risolverle.

CVE prioritarie
Esempio di grafico di diversi asset con più CVE il cui punteggio contestualizzato supera una determinata soglia

2. Assegnare la priorità alle vulnerabilità secondo il rischio teorico, con il punteggio EPSS

Il punteggio EPSS (Exploit Prediction Scoring System) è un punteggio che va dallo 0% al 100%, stabilito dal FIRST (stessa organizzazione del punteggio CVSS).
Lo scopo di questo punteggio è di prevedere lo sfruttamento di una vulnerabilità in base alla sua descrizione, alle tecnologie coinvolte e al suo vettore CVSS.
In particolare, questo punteggio ha lo scopo di evidenziare le vulnerabilità le cui dinamiche di sfruttamento meritano l’interesse dei professionisti della sicurezza informatica: laddove il CVSS attribuisce a un numero molto elevato di vulnerabilità un punteggio identico, l’EPSS evidenzierà solo alcuni CVE, come mostrato nel grafico sotto.

Classificare le vulnerabilità - punteggio EPSS
Distribuzione dei punteggi EPSS dal 12 luglio al 11 agosto 2022

Punteggi EPSS alti sono abbastanza rari da consentire l’esecuzione di nuovi tipi di calcoli: ad esempio, diventa rilevante calcolare la somma dei punteggi EPSS delle CVE di ciascun asset per evidenziare gli asset più facili da attaccare.

Tuttavia, il punteggio EPSS non tiene in considerazione il contesto aziendale di ciascun asset.
Risulta quindi un metodo complementare al punteggio CVSS, che non intende quindi sostituire. Cyberwatch Vulnerability Manager integra il punteggio EPSS nei suoi dati e consente di assegnare la priorità ai risultati in base a questo valore.

Esempio di distribuzione della somma dei punteggi EPSS per un insieme di asset

3. Assegnare la priorità alle vulnerabilità in funzione delle soluzioni disponibili

Nella sua opera “Les Shadoks”, Jacques Rouxel ha affermato che “se non c’è soluzione, non esiste il problema”. La filosofia alla base di questa frase è molto spesso applicata anche alla sicurezza informatica: se una vulnerabilità non ha una soluzione semplice per affrontarla, che senso ha spenderci risorse quando ci sono già molte vulnerabilità molto gravi per le quali esistono soluzioni semplici?

A seconda delle risorse umane e finanziarie disponibili in ciascuna organizzazione, la definizione delle priorità non implicherà più l’analisi dei rischi, ma piuttosto l’analisi delle soluzioni: quale soluzione semplice affronterà la maggior parte dei problemi?

Questo approccio ha il pregio di essere motivante, perché produce una drastica riduzione del numero di vulnerabilità da affrontare nel sistema informativo in tempi rapidi.

Per implementarlo non è necessario un punteggio CVSS né un punteggio EPSS: basta studiare quale patch esistente corrisponde al numero maggiore di asset nell’infrastruttura IT. Il caso classico riguarda Windows: il tasso di rilascio mensile degli aggiornamenti di sicurezza (KB) per tutti i sistemi Windows distribuiti rende facile l’applicazione di questa tecnica di prioritizzazione. La conclusione è quindi che bisogna investire le energie sull’applicazione dei KB Microsoft del mese. Cyberwatch Vulnerability Manager consente anche di stabilire l’elenco delle azioni che avranno il maggiore impatto in termini di numero di vulnerabilità corrette.

Il grafico di esempio mostra che la soluzione più impattante sarà la distribuzione della patch KB5015811 sui Windows Server 2019

4. Assegnare la priorità alle vulnerabilità in funzione delle minacce dei cybercriminali con il metodo MITRE ATT&CK

Il metodo MITRE ATT&CK, creato dal MITRE, permette di calcolare i metodi di attacco che possono essere utilizzati su un sistema informativo.
Questi metodi vengono inseriti in una tabella di 14 colonne, 188 tecniche e 379 sotto-tecniche grazie all’aiuto di strumenti come il MITRE ATT&CK Navigator.
Con Cyberwatch partendo da un insieme di CVE presenti sul sistema informativo è possibile calcolare il MITRE ATT&CK.
Il MITRE ATT&CK permette di sovrapporre i metodi di attacco di un sistema informatico studiato con una o più minacce di cybercriminali.
Quanto più i metodi di attacco che possono essere utilizzati su un sistema sono sovrapposti dalle minacce, tanto più il sistema informativo è in pericolo.
Cyberwatch Vulnerability Manager permette di generare la matrice MITRE ATT&CK di un sistema informatico e di sovrapporlo alle cyberminacce preconfigurate (ad esempio Gamaredon, Ryuk, APT31,…) per verificarne la potenziale vulnerabilità.

Esempio di calcolo della matrice MITRE ATT&CK per un sistema informatico e della sua postura rispetto alla minaccia Gamaredon

Quale metodo adottare allora per dare una corretta priorità alle vulnerabilità?

Nessun metodo per classificare le vulnerabilità agisce come una bacchetta magica: ogni metodo di definizione delle priorità ha vantaggi e svantaggi.
Ad esempio, il punteggio CVSS ha il pregio di essere riconosciuto dall’intera comunità della cybersicurezza e di tenere conto del contesto di business degli asset, ma non tiene conto degli aspetti legati all’uso combinato di più vulnerabilità.
Al contrario, il metodo MITRE ATT&CK consente di tenere conto dell’uso combinato di più vulnerabilità su un sistema informativo, ma è ancora troppo recente e talvolta considerato troppo avanzato per alcune organizzazioni.
La chiave non è quindi scegliere un metodo miracoloso, ma piuttosto scegliere il metodo adatto alle necessità aziendali e non esitare a cambiarlo quando l’ecosistema lo richiede: utilizzare di base il CVSS è una buona idea, ma utilizzare l’ EPSS puntuale o la definizione delle priorità in base alle soluzioni per motivare i team o anche il MITRE ATT&CK durante situazioni di tensione a livello internazionale, sono tutte scelte che possono aiutare i CISO ad andare avanti in modo costruttivo nella gestione quotidiana delle vulnerabilità.

Automatizzate la definizione della classificazione delle vulnerabilità con Cyberwatch Vulnerability Manager

Cyberwtach permette di automatizzare il calcolo contestuale dei punteggi, di tenere conto del punteggio EPSS nelle analisi del rischio, di stabilire un elenco di azioni correttive di impatto e di mappare il MITRE ATT&CK.

Per saperne di più, richiedeteci una dimostrazione tramite il form dedicato spuntando le caselle Cyberwatch VM e CM.

Articolo originale francese di Maxime ALAY-EDDINE di Cyberwatch