|
Il '''Common Vulnerability Scoring System''' ('''CVSS''') è unouna [[norma tecnica]] [[Standard aperto|aperta]] per valutare la gravità delle [[Vulnerabilità informatica|vulnerabilità di sicurezza]] [[Sicurezzadi informatica|sicurezza delun [[sistema informatico]] . CVSS tentaassegna diun assegnare punteggipunteggio di gravità alle vulnerabilità, consentendo a chi si occupa di rispondere all'emergenza di darestabilire la priorità alledi risposte e alle risorse in base allaal livello di minaccia. I punteggi vengono calcolati in base acon una formula che dipende da diverse [[Metrica software|metriche]] che approssimano la facilità e l'impatto di un exploit. IIl punteggipunteggio vannoè espresso in una scala da 0 a 10, dove 10 èindica il livello di vulnerabilità più grave. Sebbene molti utilizzino solo il punteggio di base CVSS per determinare la gravità, esistono anche punteggi temporali e ambientali, per tenere conto rispettivamente della disponibilità di mitigazioni e della diffusione dei sistemi vulnerabili all'interno di un'organizzazione.
L'attuale versione di CVSS (CVSSv3CVSSv4.10) è stata rilasciata a giugnonovembre 20192023. <ref name="cvss3cvss4.10">{{Cita web|url=https://www.first.org/cvss/v3v4-10/|titolo=Common Vulnerability Scoring System Version 34.10}}</ref>
== Storia ==
La ricerca del [[Consiglio consultivo nazionale per le infrastrutture|National Infrastructure Advisory Council]] (NIAC) nel 2003/2004 ha portato al lancio della versione 1 (CVSSv1) nel febbraio 2005, con l'obiettivo di essere "progettato per fornire livelli di gravità aperti e standard universali delle vulnerabilità del software". Questa bozza iniziale non era stata soggetta a [[peer review]] o revisione da parte di altre organizzazioni. Nell'aprile 2005, NIAC ha selezionato il Forum of Incident Response and Security Teams (FIRST) per occuparsi dello sviluppo futuro del CVSS. <ref name="cvssv1">{{Cita web|url=https://www.first.org/cvss/v1|titolo=Common Vulnerability Scoring System v1 Archive}}</ref>
Il feedback dei fornitori che utilizzano CVSSv1 in produzione ha suggeritoindicato che c'erano "problemi significativi con lanella bozza iniziale di CVSS"., così, nell'aprile 2005 è cominciato il lavoro sulla versione 2 di CVSS (CVSSv2), conlanciata lanella versionesua revisione finale lanciata nel giugno 2007. <ref name="cvssv2">{{Cita web|url=https://www.first.org/cvss/v2/history|titolo=CVSS-SIG Version 2 History}}</ref>
Ulteriori feedback hanno portato all'inizio del lavoro sulla versione 3 di CVSS nel 2012, che si è concluso con il rilascio di CVSSv3.0 a giugno 2015. <ref name="cvss3.0">{{Cita web|url=https://www.first.org/cvss/v3-0/|titolo=Common Vulnerability Scoring System version 3.0}}</ref>
== Terminologia ==
Viene generato un punteggio numerico per ciascuno di questi gruppi di metriche. Una stringa vettoriale (o semplicemente "vettore" in CVSSv2), rappresenta i valori di tutte le metriche come un blocco di testo.
== VersioneCriticità della versione 2 ==
La documentazione completa per CVSSv2 è disponibile da FIRST. <ref name="cvssv2_specs">{{Cita web|url=https://www.first.org/cvss/v2/guide|titolo=A Complete Guide to the Common Vulnerability Scoring System (v2.0)}}</ref> Di seguito viene fornita una sintesi.
=== Metriche di base ===
==== Accesso al vettore ====
Il vettore di accesso (AV) mostra come può essere sfruttata una vulnerabilità.
{| class="wikitable"
!Valore
! Descrizione
! Punto
|-
| Locale (L - Local)
| L'attaccante deve avere accesso fisico al sistema vulnerabile (es. [[IEEE 1394|attacchi firewire]] ) o un account locale (es. un attacco di [[privilege escalation]]).
| 0,395
|-
| Rete adiacente (A - Adjacent Network)
| L'attaccante deve avere accesso al dominio broadcast o al collision ___domain del sistema vulnerabile (es. [[ARP poisoning|ARP spoofing]], attacchi Bluetooth).
| 0,646
|-
| Rete (N - Network)
| L'interfaccia vulnerabile funziona al livello 3 o superiore dello stack di rete OSI. Questi tipi di vulnerabilità sono spesso descritti come sfruttabili da remoto (es. un buffer overflow remoto in un servizio di rete)
| 1.0
|}
==== Complessità di accesso ====
La metrica della complessità di accesso (AC) descrive quanto sia facile o difficile sfruttare la vulnerabilità scoperta.
{| class="wikitable"
!Valore
! Descrizione
! Punto
|-
| Alto (H)
| Esistono condizioni specializzate, come una [[Race condition|condizione di gara]] con una finestra stretta o un requisito per [[Ingegneria sociale|metodi di ingegneria sociale]] che sarebbero prontamente notati da persone esperte.
| 0,35
|-
| Medio (M)
| Esistono alcuni requisiti aggiuntivi per l'attacco, come un limite sull'origine dell'attacco o un requisito per l'esecuzione del sistema vulnerabile con una configurazione non comune e non predefinita.
| 0,61
|-
| Basso (L)
| Non ci sono condizioni speciali per sfruttare la vulnerabilità, come quando il sistema è disponibile per un gran numero di utenti o la configurazione vulnerabile è onnipresente.
| 0,71
|}
==== Autenticazione ====
La metrica di autenticazione (Au) descrive il numero di volte in cui un utente malintenzionato deve autenticarsi su un bersaglio per sfruttarlo. Non include (ad esempio) l'autenticazione a una rete per ottenere l'accesso. Per le vulnerabilità sfruttabili localmente, questo valore deve essere impostato su Singolo o Multiplo se è necessaria un'ulteriore autenticazione dopo l'accesso iniziale.
{| class="wikitable"
!Valore
! Descrizione
! Punto
|-
| Multiplo (M)
| Lo sfruttamento della vulnerabilità richiede che l'attaccante si autentichi due o più volte, anche se ogni volta vengono utilizzate le stesse credenziali.
| 0.45
|-
| Singolo (S)
| L'attaccante deve autenticarsi una volta per sfruttare la vulnerabilità.
| 0,56
|-
| Nessuno (N)
| Non è necessario che l'attaccante si autentichi.
| 0.704
|}
=== Criticità della versione 2 ===
Diversi fornitori e organizzazioni hanno espresso insoddisfazione per CVSSv2.
La società Risk Based Security, che gestisce il [[database delle vulnerabilità]] [[open source]], e la Open Security Foundation hanno pubblicato congiuntamente una lettera pubblica a FIRST in merito alle carenze e ai fallimenti di CVSSv2. <ref name="rbs_failures_cvssv2">{{Cita web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf|titolo=The CVSSv2 Shortcomings, Faults, and Failures Formulation|accesso=18 dicembre 2021|dataarchivio=11 marzo 2022|urlarchivio=https://web.archive.org/web/20220311015907/https://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf|urlmorto=sì}}</ref> Gli autori hanno citato una mancanza di granularità in diverse metriche che si traduce in vettori e punteggi CVSS che non distinguono correttamente le vulnerabilità di diverso tipo e profili di rischio. È stato anche notato che il sistema di punteggio CVSS richiede una conoscenza eccessiva dell'esatto impatto della vulnerabilità.
Oracle ha introdotto il nuovo valore della metrica "Partial+" per Riservatezza, Integrità e Disponibilità, per colmare le lacune percepite nella descrizione tra Parziale e Completo nelle specifiche ufficiali CVSS. <ref name="oracle_partialplus">{{Cita web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html|titolo=Use of Common Vulnerability Scoring System (CVSS) by Oracle}}</ref>
== Versione 3 ==
Per affrontare alcune di queste criticità, nel 2012 si è avviato lo sviluppo della versione 3 di CVSS. La versione finale è stata denominata CVSS v3.0 e rilasciata nel giugno 2015. Oltre a un documento di specifica, sono stati rilasciati anche una guida per l'utente e un documento di esempi. <ref name="cvssv3.0_specs">{{Cita web|url=https://www.first.org/cvss/specification-document|titolo=Common Vulnerability Scoring System version 3.1: Specification Document}}</ref>
Diverse metriche sono state modificate, aggiunte e rimosse. Le formule numeriche sono state aggiornate per incorporare le nuove metriche pur mantenendo l'intervallo di punteggio esistente di 0-10. Sono stati definiti i livelli di gravità testuale Nessuno (0), Basso (0,1-3,9), Medio (4,0-6,9), Alto (7,0-8,9) e Critico (9,0-10,0) <ref name="cvss3.0_severities">{{Cita web|url=https://www.first.org/cvss/specification-document#i5|titolo=Metric Value Description}}</ref>, simili alle categorie NVD definite per CVSS v2 che non facevano parte di quello standard. <ref name="nist_ranges">{{Cita web|url=http://nvd.nist.gov/cvss.cfm|titolo=Vulnerability Metrics - NVD}}</ref>
=== Modifiche dalla versione 2 ===
=== Criticità della versione 3 ===
In un post sul [[blog]] nel settembre 2015, il Centro di coordinamento del [[CERT]] ha discusso dei limiti di CVSSv2 e CVSSv3.0 per l'uso nel valutare le vulnerabilità nei sistemi tecnologici emergenti come l'Internet delle cose. <ref name="cert_cvss_iot">{{Cita web|url=https://insights.sei.cmu.edu/cert/2015/09/cvss-and-the-internet-of-things.html|titolo=CVSS and the Internet of Things}}</ref>
== Versione 3.1 ==
Il 17 giugno 2019 è stato rilasciato un aggiornamento minore di CVSSCVSSv3.0 <ref name="cvss3.1">{{Cita web|url=https://www.first.org/cvss/v3-1/|titolo=Common Vulnerability Scoring System Version 3.1}}</ref>. L'obiettivo della versione 3.1 di CVSS era chiarire e migliorare lo standard CVSS versione 3.0 esistente senza introdurre nuove metriche o valori di metrica, consentendo l'adozione senza attriti del nuovo standard sia da parte dei fornitori di punteggio che dei consumatori. L'usabilità era una considerazione primaria quando si apportavano miglioramenti allo standard CVSS. Diverse modifiche apportate in CVSS v3.1 servono a migliorare la chiarezza dei concetti introdotti in CVSS v3.0, e quindi a migliorare la facilità d'uso complessiva dello standard.
FIRST ha utilizzato il contributo di esperti del settore per continuare a migliorare e perfezionare CVSS per essere sempre più applicabile alle vulnerabilità, ai prodotti e alle piattaforme sviluppate negli ultimi 15 anni e oltre. L'obiettivo principale di CVSS è fornire un modo deterministico e ripetibile per valutare la gravità di una vulnerabilità in molti gruppi diversi, consentendo ai consumatori di CVSS di utilizzare questo punteggio come input per una matrice decisionale più ampia di rischio, mitigazione specifica per il loro ambiente particolare e propensione al rischio.
Gli aggiornamenti alla specifica CVSS versione 3.1 includono il chiarimento delle definizioni e la spiegazione delle metriche di base esistenti come il vettore di attacco, i privilegi richiesti, l'ambito e i requisiti di sicurezza. È stato inoltre definito un nuovo metodo standard di estensione del CVSS, chiamato CVSS Extensions [[Framework]], che consente a un fornitore di punteggio di includere metriche e gruppi di metriche aggiuntivi mantenendo le metriche di base, temporali e ambientali ufficiali. Le metriche aggiuntive consentono a settori industriali come la privacy, la sicurezza, l'automotive, l'assistenza sanitaria, ecc., di valutare i fattori che sono al di fuori dello standard CVSS di base. Infine, il Glossario dei termini CVSS è stato ampliato e perfezionato per coprire tutti i termini utilizzati nella documentazione CVSS versione 3.1.
== Adozione ==
Le versioni di CVSS sono state adottate come metodo principale per quantificare la gravità delle vulnerabilità da un'ampia gamma di organizzazioni e aziende, tra cui:
*
*
== Note ==
<references />
[[Categoria:Sicurezza di rete]]
| 