Barracuda full logo

La nuova metrica NIST LEV: Cosa devi sapere

Argomenti:
25 giu 2025
|
Doug Bonderud

L'aumento delle segnalazioni di vulnerabilità e un arretrato crescente di vulnerabilità critiche e esposizioni (CVE) cospirano per mettere a rischio le aziende. Il nuovo metric LEV Likely Exploited Vulnerabilities (NIST) può aiutare. Ecco come.

Lo stato della sicurezza informatica CVE

Il programma CVE del NIST traccia sia le vulnerabilità storiche che quelle emergenti per aiutare le aziende a ridurre il loro rischio di sicurezza informatica. Tuttavia, secondo un recente aggiornamento del NIST, l'agenzia sta restando indietro nel processare e classificare i nuovi CVE. In parte, questo arretrato deriva dall'aumento dei volumi di segnalazioni. Nel 2024, le segnalazioni di CVE sono aumentate del 32%, e il NIST afferma che "il tasso di segnalazioni continuerà ad aumentare nel 2025."

I processi manuali abbinati a una carenza di professionisti qualificati influiscono anche sull'arretrato. Sebbene NIST preveda di aumentare l'efficienza esaminando i processi interni e automatizzando le attività ove possibile, l'arretrato di CVE probabilmente peggiorerà prima di migliorare.

Ciò crea una sfida per le aziende che si affidano ai dati CVE per informare le pratiche di sicurezza informatica. Con i criminali informatici che esplorano costantemente nuovi modi per sfruttare i sistemi comunemente utilizzati, i ritardi nella segnalazione e nell'analisi creano una lacuna nella sicurezza. Applicazioni e API di cui le aziende si fidano possono presentare rischi non rilevati, dando agli attaccanti più tempo per agire senza intervento di sicurezza.

Vicino ma non del tutto: KEV e EPSS

Con i rapporti CVE in ritardo, altri programmi come il catalogo delle Vulnerabilità Note Sfruttate (KEV) e il Sistema di Punteggio di Previsione degli Sfruttamenti (EPSS) offrono modi per ridurre il rischio.

Comprensione KEV

L'elenco KEV è gestito da CISA. Contiene oltre 1.300 vulnerabilità che sono state sfruttate in natura. Di conseguenza, è una fonte comunemente utilizzata di informazioni sulla sicurezza perché aiuta i team a comprendere meglio da dove proviene il rischio e come possono rispondere efficacemente. Tuttavia, dato il numero enorme di vulnerabilità elencate, difendersi contro l'intero catalogo non è possibile. Invece, i team devono determinare quali vulnerabilità comportano il maggior rischio e adottare azioni mirate per prevenire il compromesso.

Esplorazione EPSS

EPSS è stato sviluppato nel 2018 da professionisti della sicurezza nel Forum of Incident Response and Security Teams (FIRST). Questo sistema di punteggio considera diversi fattori, tra cui la presenza di exploit pubblicamente disponibili, la complessità dei processi di exploit, la popolarità del codice vulnerabile e i dati reali raccolti da fonti come sistemi di rilevamento intrusioni (IDS) o honeypots.

Utilizzando questi dati, EPSS prevede la probabilità che una vulnerabilità venga sfruttata in un determinato intervallo di tempo, che è tipicamente di 30 giorni. Inoltre, il modello suggerisce quando il rischio è massimo e minimo durante questo periodo di 30 giorni. La versione più recente di EPSS è stata rilasciata a marzo 2025.

Entrambi i programmi aiutano a ridurre il rischio di compromissione, ma presentano anche degli avvertimenti. Mentre KEV segnala circa 1.300 vulnerabilità, queste preoccupazioni di sicurezza non comportano rischi uguali. Come notato da un recente pezzo di Security Week, l'analisi di 25 bug KEV che impattano le applicazioni cloud-native ha rilevato che 10 erano tecnicamente inesploitabili o richiedevano condizioni estremamente specifiche per essere eseguiti. Di conseguenza, non rappresentano minacce immediate o attuabili. Per sfruttare al meglio i dati KEV, i team di sicurezza informatica devono considerare il contesto delle vulnerabilità, qualcosa che richiede tempo e distoglie l'attenzione da altre pratiche di sicurezza.

Nel frattempo, EPSS aiuta le aziende a comprendere meglio il rischio di minaccia prevedendo la probabilità di compromissione in-the-wild, tipicamente su un periodo di 30 giorni. La sfida qui? Gli scenari di sicurezza informatica possono cambiare significativamente in 30 giorni, rendendo EPSS utile per la pianificazione a lungo termine ma meno applicabile nelle operazioni quotidiane.

Come LEV può aiutare a livellare il campo di gioco

LEV offre un nuovo approccio alla gestione delle vulnerabilità, che si concentra sul calcolo della probabilità che un bug sia già stato sfruttato da attori di minaccia, anche se questo sfruttamento non è stato osservato.

LEV stesso è una formula che fornisce aggiornamenti giornalieri di:

  1. Le probabilità che un CVE sia già stato sfruttato
  2. Le probabilità che un CVE venga sfruttato.

Ecco la formula:

NIST LEV formula

Fonte: NIST

Con LEV, i team di sicurezza informatica ricevono dati tra cui:

  • Nome CVE, data e descrizione
  • Probabilità di sfruttamento passato
  • Punteggio EPSS massimo per le finestre di 30 giorni selezionate
  • Data del punteggio EPSS massimo in ciascuna di queste finestre
  • Un elenco di software o codice interessato descritto utilizzando Common Product Enumeration (CPE)

Secondo il whitepaper NIST LEV : "Questi risultati possono essere utilizzati per misurare la proporzione attesa di CVE che sono state sfruttate e la completezza degli elenchi KEV. Questi risultati possono anche migliorare la prioritizzazione della remediation delle vulnerabilità basata su KEV e EPSS."

Conquistare il compromesso: Uno sforzo collaborativo

LEV è un nuovo potente strumento nell'arsenale di sicurezza informatica del NIST, ma non è una soluzione miracolosa. Sebbene maggiori informazioni sulle implicazioni nel mondo reale degli CVE esistenti aiutino a ridurre il rischio di compromissione, LEV è più efficace se abbinato ad altri asset come EPSS e KEV, e combinato con strumenti avanzati di sicurezza informatica come rilevamento delle minacce AI multimodale.

Gli sforzi collaborativi danno alle aziende informazioni critiche su ciò che è già accaduto, su ciò che sta accadendo in questo momento e su ciò che è probabile che accada nei prossimi giorni o settimane. Il risultato è un approccio più proattivo alla sicurezza informatica che aiuta a frustrare gli sforzi degli attaccanti e a fermare la compromissione prima che inizi.

Rimani un passo avanti agli aggressori con la cybersecurity gestita 24/7
Doug Bonderud

Doug Bonderud è uno scrittore pluripremiato con il talento di colmare il divario tra complessità e conversazione nei settori della tecnologia, dell'innovazione e della condizione umana.

Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.