Logo Intuity
Contatti

Impact vs Prediction

Share article

Nel campo della sicurezza informatica, valutare adeguatamente il livello di criticità di una vulnerabilità è fondamentale per pianificare in modo efficace e tempestivo l’applicazione delle opportune contromisure, riducendo la probabilità che un attacco informatico vada a buone fine proteggendo, di conseguenza, l’organizzazione.

Uno degli strumenti più utilizzati per questo scopo è il Vulnerability Assessment e Penetration Test (VAPT), grazie al quale vengono esaminati servizi, sistemi e applicazioni. Ogni vulnerabilità rilevata viene studiata per capire se e come potrebbe essere sfruttata da un attore malevolo alterando il comportamento atteso del sistema a suo beneficio.

L’obiettivo principale di queste attività è quindi quello di identificare e correggere le debolezze infrastrutturali e applicative prima che possano essere sfruttate da attaccanti reali. In particolare, il Vulnerability Assessment si concentra sull’identificazione delle vulnerabilità, mentre il Penetration Test verifica la possibilità di sfruttarle.

Entrambi questi approcci sono quindi essenziali per garantire la sicurezza e la protezione dei sistemi informatici.

Il Common Vulnerability Scoring System (CVSS)

Molto spesso gli amministratori dei sistemi non hanno tempo e risorse sufficienti per correggere tutte le vulnerabilità che di volta in volta emergono dai test. C’è la necessità, per tanto, di un metodo per identificare i problemi più urgenti da mitigare. Il Common Vulnerability Scoring System (CVSS) è lo standard utilizzato per assegnare un valore numerico alla gravità di una vulnerabilità rilevata. Questo aiuta a capire quali vulnerabilità sono più critiche e richiedono un intervento prioritario.

Questo consolidato sistema di categorizzazione, oggi arrivato alla versione 4.0, si basa su diversi valori che approssimano la facilità di esecuzione e l’impatto derivato dallo sfruttamento di una vulnerabilità. Quest’ultimo valutato sulla base di tre metriche:

  • Confidentiality Score
  • Integrity Score
  • Availability Score

Per l’IT Security Team, questi punteggi rispondono alla domanda:

“Se una vulnerabilità viene sfruttata, quali sono gli impatti sulla riservatezza, integrità e disponibilità dei dati nel sistema attaccato?”

Il CVSS aiuta quindi a misurare i danni potenziali di un attacco, ma non fornisce alcuna informazione utile sulla probabilità che l’attacco avvenga. Tuttavia, alcuni valori usati nel calcolo del CVSS considerano la facilità con cui una vulnerabilità può essere sfruttata, influenzando il punteggio finale.

È qui che entra in gioco l’EPSS.

L’Exploit Prediction Scoring System (EPSS)

L’Exploit Prediction Scoring System (EPSS) offre una prospettiva diversa sulla valutazione del rischio.

L’EPSS stima la probabilità che una vulnerabilità venga sfruttata entro 30 giorni dalla generazione del valore. Utilizza dati provenienti da varie fonti, come rapporti di sicurezza di diversi vendor, dati pubblicati da ricercatori e hacker etici e osservazioni del targeting della vulnerabilità “in the wild”.

Il modello EPSS è complesso e considera molte variabili che misurano il rischio reale che una data vulnerabilità possa essere effettivamente sfruttata.

Il risultato è un punteggio che va da 0 a 1 (0% a 100% di probabilità di sfruttamento). Per un amministratore di sistema, la domanda a cui risponde l’EPSS è:

Qual è la probabilità che una vulnerabilità presente nel mio ambiente venga sfruttata nei prossimi 30 giorni?”

Calcolando quindi sia il CVSS che l’EPSS, possiamo avere una visione più chiara del rischio associato a ciascuna vulnerabilità e stabilire le priorità per le correzioni. Ad esempio, un attacco molto grave ma poco probabile (alto CVSS, basso EPSS) potrebbe avere la stessa priorità di un attacco meno grave ma molto probabile (basso CVSS, alto EPSS).

Conclusioni

In conclusione, sia il CVSS che l’EPSS sono strumenti importanti per valutare e gestire le vulnerabilità informatiche. Il CVSS si concentra sull’impatto delle vulnerabilità, mentre l’EPSS valuta la probabilità che queste vengano sfruttate nel mondo reale.

Unire questi due approcci consente di orientare in modo efficace le azioni di remediation derivanti dai risultati delle attività di Vulnerability Assessment & Penetration Test, aiutando a stabilire le priorità per correggere i problemi individuati. Per questo motivo, abbiamo deciso di integrare entrambe queste metriche fondamentali in tutti i nostri report.

È altrettanto importante sottolineare che entrambe le metriche, l’EPSS in modo particolare, fanno riferimento ad una vulnerabilità analizzata in un dato momento. La medesima vulnerabilità può assumere valori diversi se testata successivamente in conseguenza del mutare delle condizioni di contesto: è stato pubblicato un exploit che prima non c’era, sono stati modificati parametri sul sistema.

Diego Cavestro, VA/PT Team Leader