L’Europa si dota (finalmente!) del suo database delle vulnerabilità

La notizia del mancato rinnovo del finanziamento al MITRE per il database CVE ha sollecitato l’Unione Europea a dotarsi, finalmente, di un proprio database delle vulnerabilità: l’EUVD.

Tra i tanti effetti della seconda presidenza Trump alla guida degli USA c’è stato una serie di massicci de-finanziamenti ad alcune istituzioni cruciali per il mondo cyber. Una di queste è la MITRE, che gestisce il noto database CVECommon Vulnerabilities and Exposures-, che ha scatenato non poche preoccupazioni ad analisti e SOC di mezzo mondo: il database CVE, che raccoglie le vulnerabilità individuate nel software, è una fonte preziosissima di informazioni per prevenire e correggere i problemi di sicurezza nei sistemi e piattaforme informatiche. Per fortuna il finanziamento è stato qualche giorno dopo riconfermato, e così –almeno per il momento!– la piattaforma CVE è salva. Tuttavia il terremoto non è passato inosservato e tra le conseguenze positive c’è stata questa forte spinta delle istituzioni Europee dedicate alla cybersecurity, ENISA in primis, che hanno immediatamente approntato una alternativa Europea a CVE: l’European Union Vulnerability Database, da pochi giorni online in beta e disponibile alla URL euvd.enisa.europa.eu.

La piattaforma europea, analogamente a quella storica di CVE, elenca le vulnerabilità individuate nei prodotti software, calcolandone sia un ID univoco (analogamente a CVE) che lo score CVSS3 (Common Vulnerability Scoring System), un sistema di calcolo ponderato secondo alcuni fattori:

Attack Vector (AV)
Attack Complexity (AC)
Privileges Required (PR)
User Interaction (UI)
Scope (S)
Confidentiality (C)
Integrity (I)
Availability (A)

che, a seconda del peso dei singoli elementi, offre uno score di severity della vulnerabilità da 0 a 10: come è facile intuire, più lo score è alto più la vulnerabilità viene considerata grave.

La piattaforma EUVD mostra in prima pagina sia le ultime vulnerabilità critiche che quelle exploitabili, mostrando lo score di EPSSExploitation Prediction Scoring System– relativo alla probabilità che una vulnerabilità possa essere sfruttata on-the-wild. Lo score EPSS mostra la probabilità, in percentuale, dello sfruttamento secondo le caratteristiche della vulnerabilità stessa che le informazioni provenienti dai vari database e gruppi che sviluppano exploit. E’ una esigenza che nasce dalla necessità di prioritizzare le operazioni di patching dei sistemi vulnerabili non tanto secondo la criticità dell’attacco espressa dal CVSSv3 quanto dalla possibilità che una certa vulnerabilità possa essere sfruttata da un threat actor.

Segnalo anche la possibilità di usare delle chiamate API per interrogare il database, pubblicamente descritte qui: euvd.enisa.europa.eu/apidoc

Concludendo, quindi, un necessario –seppur forse tardivo– passo verso la sovranità tecnologica europea di cui ultimamente si sente tanto il bisogno, anche in ambito sicurezza informatica e strategico.

Questo articolo è stato visto 70 volte (Oggi 1 visite)

Hai trovato utile questo articolo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.