Prioritizzazione delle Vulnerabilità: Oltre i Punteggi CVSS

Perché il solo CVSS non è sufficiente

Il CVSS misura la gravità intrinseca di una vulnerabilità, ovvero quanto potrebbe essere grave nel peggiore dei casi. Non misura la probabilità di sfruttamento, se esiste un exploit pubblico, cosa fa l'asset interessato o se i controlli compensativi riducono il rischio. Una vulnerabilità con un punteggio CVSS di 9.8 senza exploit pubblico in un sistema esclusivamente interno è meno urgente di una vulnerabilità con un punteggio CVSS di 7.5 con un exploit kit attivo che prende di mira i sistemi di pagamento esposti a Internet.

EPSS: Sistema di Punteggio di Previsione dello Sfruttamento

L'EPSS prevede la probabilità che una vulnerabilità venga sfruttata in natura entro i prossimi 30 giorni, in base ai dati di sfruttamento reali. Un punteggio EPSS di 0.97 significa una probabilità di sfruttamento del 97%. Combinato con il CVSS, l'EPSS aiuta a distinguere tra la gravità teorica e il rischio pratico. I CVE con un CVSS elevato ma un EPSS basso possono spesso essere declassati. I CVE con un CVSS moderato ma un EPSS elevato dovrebbero essere accelerati.

SSVC: Categorizzazione delle Vulnerabilità Specifica per gli Stakeholder

SSVC, sviluppato da CISA e Carnegie Mellon, sostituisce i punteggi numerici con alberi decisionali. Valuta lo stato di sfruttamento (nessuno, PoC, attivo), l'impatto tecnico (parziale, totale), la prevalenza della missione (minima, supporto, essenziale) e produce un'azione raccomandata: Monitora, Monitora*, Attendi o Agisci. SSVC produce risultati più concreti rispetto ai punteggi numerici.

Prioritizzazione Contestuale

La prioritizzazione più efficace aggiunge il tuo specifico contesto aziendale: cosa fa il sistema interessato? Quali dati contiene? È esposto a Internet o esclusivamente interno? Sono in atto controlli compensativi? Qual è il raggio d'azione in caso di compromissione? Questa analisi contestuale è dove il test manuale degli esperti di Penetrify aggiunge il massimo valore: i tester valutano i risultati nel contesto del tuo specifico ambiente, producendo valutazioni di gravità che riflettono il rischio aziendale effettivo piuttosto che punteggi teorici.

Un Flusso di Lavoro Pratico di Prioritizzazione

Passo 1: Filtra per EPSS > 0.1 (vulnerabilità con una probabilità di sfruttamento significativa). Passo 2: Classifica in base alla criticità degli asset (esposti a Internet, dati sensibili, generatori di entrate). Passo 3: Verifica la presenza di controlli compensativi che riducono il rischio effettivo. Passo 4: Applica l'albero decisionale SSVC per l'azione raccomandata. Passo 5: Assegna tempistiche di correzione in base alla priorità risultante. Questo flusso di lavoro riduce i tuoi 847 risultati ai 30-50 che richiedono realmente un'attenzione immediata.

In Sintesi

Il CVSS è un punto di partenza, non un framework di prioritizzazione. Applica l'EPSS per la probabilità di sfruttamento, SSVC per decisioni concrete e l'analisi contestuale per la rilevanza aziendale. I tester esperti di Penetrify forniscono la prioritizzazione contestuale che il punteggio automatizzato non può fornire, perché sapere che esiste una vulnerabilità conta meno che sapere se è importante per la tua azienda.

Domande Frequenti

Cos'è l'EPSS?

L'Exploit Prediction Scoring System (Sistema di Punteggio di Previsione dello Sfruttamento) prevede la probabilità che una vulnerabilità venga sfruttata in natura entro 30 giorni. Utilizza dati di sfruttamento reali per distinguere tra gravità teorica e rischio pratico.

Dovrei smettere di usare il CVSS?

No, continua a utilizzare il CVSS come base di riferimento, ma non utilizzarlo come unica metrica di prioritizzazione. Aggiungi l'EPSS per la probabilità di sfruttamento e l'analisi contestuale per la rilevanza aziendale.