Gestione delle Vulnerabilità: CVE e lo standard CVSS

Il processo di gestione delle vulnerabilità prevede la loro identificazione e trattamento. Il Common Vulnerabilities and
Exposures, o CVE è un dizionario pubblico di vulnerabilità e falle di sicurezza già note progettato per raccoglierle e
identificarle in maniera standardizzata. Conoscendo questo identificatore comune è possibile accedere in modo rapido e
preciso alle informazioni sul problema tra più fonti di informazioni compatibili con CVE. Tuttavia, CVE non riporta alcuna
valutazione delle vulnerabilità elencate e, fin dal 2004, si è sviluppato indipendentemente il Common Vulnerability Scoring
System, o CVSS come lo standard di riferimento nell’industria per la valutazione delle vulnerabilità. Nonostante
l’indipendenza dei due progetti il CVSS può essere utilizzato per valutare le vulnerabilità elencate nel CVE.
L’utilizzo corretto di CVSS da parte dell’assessor richiede:
• La capacità di interpretare correttamente la vulnerabilità e di identificare ulteriori fonti di informazioni per chiarire
la sua descrizione;
• La capacità di estrarre dalla descrizione elementi chiave su vettori di attacco, complessità, ed impatto;
• La capacità di mappare correttamente le caratteristiche della vulnerabilità nello standard.
Il seminario ha come obiettivo quello di fornire i concetti e le definizioni di base contenuti in CVE e CVSS in modo da
fornire una solida base di conoscenza per gestire efficacemente le situazioni di rischio a cui è soggetta la propria
Organizzazione. Saranno presentati esempi pratici ed effettuati esercizi di gruppo.

Seminario svolto nell’ambito del Progetto SI – Sicurezza Informatica,  AVVISO PUBBLICO N.
3/PAC/2017 Piano di Azione e Coesione approvato con Decisione C(2016)1417 del 03/03/2016 Azioni aggiuntive per il rafforzamento dei corsi di studio innovativi erogati dalle Università pugliesi – Regione Puglia, a Taranto, presso la sede distaccata del Dipartimento di Informatica.