Bug a caccia di uno standard

Ci prova il Dipartimento per la Homeland Security con l'adozione di un sistema di scoring standard per valutare il rischio nelle falle del software. Dentro Cisco e Symantec, fuori Microsoft


Washington (USA) – Lo US Department of Homeland Security ha deciso di aggiornare il suo National Vulnerability Database , presentato lo scorso agosto, con il Common Vulnerability Scoring System , ovvero un sistema standardizzato di valutazione del rischio delle vulnerabilità software. Al momento il database statunitense elenca più di 13 mila vulnerabilità , gerarchizzate in base al livello di pericolo e di presenza nella web-sfera.

“Non esiste e non esiterà mai una tecnica perfetta per dare una valutazione all’impatto delle vulnerabilità. Common Vulnerability Scoring System è solo la soluzione migliore al momento, per questo abbiamo deciso di adottarla”, ha dichiarato Peter Mell, sviluppatore presso il National Strategy to Secure Cyberspace e creatore di NVD.

Common Vulnerability Scoring System è il prodotto del lavoro di imprese del calibro di Cisco , Qualys e Symantec . Non ha ancora raggiunto un alto livello di notorietà, ma alcune aziende stanno considerando l’idea di adottarlo come sistema di riferimento.

“L’utilizzo del CVSS come sistema di valutazione delle vulnerabilità poneva un problema di analisi nei confronti dell’archivio storico. L’integrazione con NVD ha risolto il tutto”, ha spiegato Gerhard Eschelbeck, CTO di Qualys.

Nessun fornitore software sta utilizzando Common Vulnerability Scoring System. Microsoft, ad esempio, è soddisfatta della sua soluzione proprietaria ed ha più volte confermato che non ha intenzione di cambiare metodo, dato che i suoi clienti sembrano essere soddisfatti. Altri sviluppatori hanno accennato ad eventuali conseguenze di carattere legale. Se un’azienda desse ad una vulnerabilità un rating di pericolosità sotto-stimato potrebbe pagarne le conseguenze. “Sono convinto che vi siano un paio di ostacoli per l’adozione di un sistema di valutazione, ma con l’aumentare delle adesioni il tutto potrebbe essere risolto”, ha commentato Gavin Reid, leader del programma CVSS per il Forum of Incident Response and Security Teams ( FIRST ). “L’ integrazione con il National Vulnerability Database, comunque, farà da catalizzatore. In futuro il numero di imprese affiliate aumenterà considerevolmente”

NVD, gestito dal National Institute of Standards and Technology ( NIST ), è stato realizzato dal Department of Homeland Security e il suo team ogni giorno inserisce in media 16 nuove vulnerabilità ed elabora statistiche di ogni genere, comprese quelle che riguardano il carico di lavoro sostenuto dai network administrator per far fronte alle falle. In pratica i tecnici governativi individuano quotidianamente con un processo semi-automatico tutte le informazioni che servono al database centrale per elaborare in seguito una valutazione attendibile.

“Le specifiche del CVE sono solo uno degli standard adottati dal National Vulnerability Database. In sinergia viene sfruttato anche Open Vulnerability and Assessment Language ( OVAL )”, ha dichiarato Mell. “Il motivo per cui abbiamo scelto CVSS è che crediamo negli standard. Con sistemi diversi si perde di efficienza”.

Dario d’Elia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti