Tra i tanti effetti della seconda presidenza Trump alla guida degli USA c’è stato una serie di massicci de-finanziamenti ad alcune istituzioni cruciali per il mondo cyber. Una di queste è la MITRE, che gestisce il noto database CVE –Common Vulnerabilities and Exposures-, che ha scatenato non poche preoccupazioni ad analisti e SOC di mezzo mondo: il database CVE, che raccoglie le vulnerabilità individuate nel software, è una fonte preziosissima di informazioni per prevenire e correggere i problemi di sicurezza nei sistemi e piattaforme informatiche. Per fortuna il finanziamento è stato qualche giorno dopo riconfermato, e così –almeno per il momento!– la piattaforma CVE è salva. Tuttavia il terremoto non è passato inosservato e tra le conseguenze positive c’è stata questa forte spinta delle istituzioni Europee dedicate alla cybersecurity, ENISA in primis, che hanno immediatamente approntato una alternativa Europea a CVE: l’European Union Vulnerability Database, da pochi giorni online in beta e disponibile alla URL euvd.enisa.europa.eu.

La piattaforma europea, analogamente a quella storica di CVE, elenca le vulnerabilità individuate nei prodotti software, calcolandone sia un ID univoco (analogamente a CVE) che lo score CVSS3 (Common Vulnerability Scoring System), un sistema di calcolo ponderato secondo alcuni fattori:
Attack Vector (AV)
Attack Complexity (AC)
Privileges Required (PR)
User Interaction (UI)
Scope (S)
Confidentiality (C)
Integrity (I)
Availability (A)
che, a seconda del peso dei singoli elementi, offre uno score di severity della vulnerabilità da 0 a 10: come è facile intuire, più lo score è alto più la vulnerabilità viene considerata grave.

La piattaforma EUVD mostra in prima pagina sia le ultime vulnerabilità critiche che quelle exploitabili, mostrando lo score di EPSS –Exploitation Prediction Scoring System– relativo alla probabilità che una vulnerabilità possa essere sfruttata on-the-wild. Lo score EPSS mostra la probabilità, in percentuale, dello sfruttamento secondo le caratteristiche della vulnerabilità stessa che le informazioni provenienti dai vari database e gruppi che sviluppano exploit. E’ una esigenza che nasce dalla necessità di prioritizzare le operazioni di patching dei sistemi vulnerabili non tanto secondo la criticità dell’attacco espressa dal CVSSv3 quanto dalla possibilità che una certa vulnerabilità possa essere sfruttata da un threat actor.
Segnalo anche la possibilità di usare delle chiamate API per interrogare il database, pubblicamente descritte qui: euvd.enisa.europa.eu/apidoc
Concludendo, quindi, un necessario –seppur forse tardivo– passo verso la sovranità tecnologica europea di cui ultimamente si sente tanto il bisogno, anche in ambito sicurezza informatica e strategico.