Punteggio di gravità CRA: CVSS, EPSS e KEV

Il Regolamento sulla ciberresilienza dell'UE (Regolamento (UE) 2024/2847) impone ai fabbricanti di rimediare le vulnerabilità "senza indugio" (Allegato I Parte II, lettera 2)) e di segnalare quelle attivamente sfruttate entro 24 ore (Articolo 14(1)), ma non nomina alcun sistema di scoring. CVSS, EPSS e il catalogo CISA KEV sono gli strumenti di settore utilizzati per adempiere tali obblighi. Questa pagina illustra cosa misura ciascuno, come combinarli in una prioritizzazione difendibile e come lo scoring si connette alla segnalazione ai sensi dell'Articolo 14 e alla divulgazione coordinata delle vulnerabilità.

Sintesi

  • Il Regolamento sulla ciberresilienza non impone alcun sistema di scoring. L'Allegato I Parte II, lettera 2) richiede la rimediazione "senza indugio" ma lascia ai fabbricanti la misurazione operativa.
  • CVSS misura la gravità intrinseca su una scala da 0 a 10: caratteristiche della vulnerabilità indipendenti dall'osservazione di sfruttamento in circolazione.
  • EPSS misura la probabilità di sfruttamento su una scala da 0 a 1: probabilità di sfruttamento osservato nei successivi 30 giorni, calcolata dal FIRST EPSS Special Interest Group.
  • CISA KEV è il segnale binario "attivamente sfruttata" che informa più direttamente le decisioni di segnalazione ai sensi dell'Articolo 14(1), sebbene l'Articolo 14(1) sia più ampio della sola inclusione nel KEV.
  • CVSS, EPSS e KEV combinati offrono una matrice di prioritizzazione difendibile; nessun segnale singolo è sufficiente da solo.
  • I trigger di segnalazione dell'Articolo 14 sono fattuali, non determinati dai punteggi. Lo sfruttamento attivo e l'incidente grave sono determinati ai sensi delle definizioni giuridiche, con i punteggi come prove a supporto.
0-10
Intervallo CVSS
gravità intrinseca
0-1
Probabilità EPSS
probabilità di sfruttamento a 30 giorni
24h
Allerta precoce SRP Articolo 14
attivamente sfruttata
€15M / 2.5%
Sanzione Articolo 64
il valore più elevato

I quattro numeri che inquadrano le decisioni di gravità CRA: gravità intrinseca, probabilità di sfruttamento, il contatore di segnalazione e il tetto delle sanzioni.

Cosa dice il Regolamento sulla ciberresilienza riguardo allo scoring

Leggendo il Regolamento direttamente non si trova alcun riferimento a CVSS, EPSS o a qualsiasi altro sistema di scoring nominato. Il testo operativo rilevante è nell'Allegato I Parte II, che elenca i requisiti di gestione delle vulnerabilità che ogni fabbricante deve rispettare per tutta la durata del periodo di supporto:

  • La lettera 2) richiede ai fabbricanti di "trattare e rimediare le vulnerabilità senza indugio, anche fornendo aggiornamenti di sicurezza".
  • La lettera 4) richiede che, una volta disponibile un aggiornamento di sicurezza, i fabbricanti condividano informazioni sulla vulnerabilità corretta "tra cui una descrizione delle vulnerabilità, le informazioni che consentono agli utenti di identificare il prodotto con elementi digitali interessato, gli impatti delle vulnerabilità, la loro gravità e informazioni chiare e accessibili che aiutano gli utenti a rimediare alle vulnerabilità".

L'Articolo 13(8) colloca tali obblighi sotto un dovere di gestione "efficace" per tutto il periodo di supporto. La formula "senza indugio" dell'Allegato I Parte II, lettera 2) e "senza indugio ingiustificato" dell'Articolo 14 fissano lo standard temporale. Nessuna delle due espressioni corrisponde a un numero fisso di giorni. Entrambe sono soggette all'interpretazione delle autorità di sorveglianza del mercato e, in ultima istanza, dei tribunali nazionali.

Lo scoring è il modo in cui i fabbricanti dimostrano tale interpretazione negli audit e nelle indagini. Un fabbricante in grado di esibire una politica di gravità documentata, un sistema di tracciamento che registra CVSS e EPSS al momento dell'acquisizione, SLA legati alle fasce di gravità e timestamp di rimediazione conformi a quegli SLA dispone di una posizione "senza indugio" difendibile. Un fabbricante che non lo è, no.

Per il più ampio regime di gestione dell'Allegato I Parte II, si consulti la gestione delle vulnerabilità. Per le cadenze di segnalazione dell'Articolo 14, si consulti la segnalazione delle vulnerabilità.

CVSS: gravità intrinseca

Il Common Vulnerability Scoring System, mantenuto dal FIRST CVSS Special Interest Group, assegna a una vulnerabilità un punteggio da 0.0 a 10.0. È il punteggio di gravità intrinseca dominante nel settore e il punteggio che la maggior parte delle voci CVE pubblica.

CVSS prevede tre tipi di punteggio:

Punteggio base

Cattura le caratteristiche della vulnerabilità che non cambiano nel tempo o tra i deployment: vettore di attacco, complessità, privilegi richiesti, interazione dell'utente, ambito e impatto su riservatezza, integrità e disponibilità. È ciò che la maggior parte delle voci CVE pubblica e ciò che si intende con "il punteggio CVSS".

Punteggio temporale

Adegua il Punteggio base a fattori variabili nel tempo: maturità del codice di exploit, livello di rimediazione, attendibilità della segnalazione. Raramente presente nelle voci CVE pubbliche.

Punteggio ambientale

Adegua il Punteggio base al contesto del proprio deployment: criticità dell'asset, controlli compensativi, impatto reale nel proprio ambiente. È il punteggio che un fabbricante dovrebbe calcolare per il proprio prodotto.

CVSS v4.0 è stato pubblicato da FIRST nel novembre 2023. Perfeziona la v3.1 con metriche sui requisiti di attacco più granulari e metriche supplementari per sicurezza funzionale, automatizzabilità, recupero e densità di valore. L'adozione è graduale: la maggior parte dei feed CVE pubblica ancora la v3.1 e il supporto degli strumenti per la v4.0 è disomogeneo. Ingerire entrambe le versioni ove disponibili e non trattare la transizione come una revisione della baseline del backlog.

CVSS da solo è insufficiente. La ricerca empirica mostra costantemente che la maggior parte delle vulnerabilità classificate "alta" o "critica" da CVSS non viene mai osservata come sfruttata. Una coda gestita esclusivamente da CVSS brucia capacità ingegneristica su rischi teorici mentre lo sfruttamento reale rimane senza risposta.

EPSS: probabilità di sfruttamento

L'Exploit Prediction Scoring System, anch'esso mantenuto da FIRST tramite il suo EPSS SIG, stima la probabilità che un CVE venga sfruttato in circolazione nei successivi 30 giorni. EPSS pubblica una probabilità tra 0 e 1 e un rango percentile rispetto a tutti i CVE.

EPSS è calcolato da un modello di machine learning che ingerisce attributi CVE (metriche CVSS, CWE, vendor e prodotto interessati, anzianità) e segnali pubblici (disponibilità di PoC, telemetria di sfruttamento dei partner contributori, menzioni di threat intelligence). I punteggi vengono aggiornati quotidianamente. Un nuovo CVE senza PoC pubblico in genere ottiene un punteggio inferiore a 0.05; uno con un PoC weaponizzato può superare 0.5 in pochi giorni.

Anche EPSS da solo è insufficiente. Un EPSS basso oggi non è una garanzia per il futuro: quando un ricercatore pubblica un exploit funzionante, il punteggio si muove. EPSS deve essere rivalutato continuamente, non solo al momento dell'acquisizione.

CISA KEV: sfruttamento confermato

Il catalogo Known Exploited Vulnerabilities, mantenuto dall'agenzia statunitense per la sicurezza delle infrastrutture e della cibersicurezza, è un elenco binario che indica se una vulnerabilità è attualmente sfruttata. Un CVE è o non è presente nel catalogo. CISA aggiunge un CVE quando dispone di prove attendibili di sfruttamento attivo contro qualsiasi bersaglio.

KEV è una fonte governativa statunitense, ma è il catalogo pubblico più autorevole di sfruttamento confermato disponibile per i difensori non appartenenti alla comunità dell'intelligence. I fabbricanti europei lo utilizzano ampiamente poiché oggi non esiste un catalogo ENISA equivalente.

Ai fini dell'Articolo 14(1), l'inclusione nel KEV è un forte segnale che una vulnerabilità è "attivamente sfruttata" nel senso del Regolamento. Non è l'unico segnale: l'Articolo 14(1) è più ampio e si attiva per qualsiasi vulnerabilità attivamente sfruttata, incluse quelle rilevate tramite segnalazioni di clienti, telemetria interna o threat intelligence non ancora pervenuta a CISA. Una vulnerabilità sfruttata contro i propri clienti ma non ancora presente nel KEV attiva comunque l'Articolo 14(1). La determinazione ai sensi dell'Articolo 14(1) è fattuale, non basata su elenchi.

Combinare CVSS, EPSS e KEV in una matrice di prioritizzazione CRA

Nessun segnale singolo è sufficiente. L'approccio difendibile consiste nel combinare tutti e tre i segnali e nel legare gli SLA di rimediazione alla fascia combinata. Il diagramma seguente illustra il motivo: un CVSS-9.8 senza sfruttamento osservato comporta un rischio reale inferiore rispetto a un CVSS-7 con EPSS 0.95 e inserimento nel KEV, anche se il primo appare peggiore in una coda basata solo su CVSS.

Piano di prioritizzazione CVSS per EPSS con overlay KEV Un piano bidimensionale con CVSS sull'asse orizzontale (da 0 a 10) e EPSS sull'asse verticale (da 0 a 1). Sei zone di priorità colorano il piano: Emergenza in alto a destra quando CVSS è pari o superiore a 9 e EPSS supera 0.5, Alta in tre zone più ampie (EPSS elevato con CVSS medio, CVSS elevato con EPSS medio e la striscia superiore destra CVSS-più-EPSS), Media per CVSS da 4 a 6.9 con EPSS basso, Bassa per CVSS inferiore a 4. I CVE inseriti nel KEV vengono escalati a Emergenza indipendentemente dalla posizione. Quattro CVE campione numerati illustrano che un CVSS-9.8 con EPSS 0.01 si colloca nella fascia Alta per sola gravità intrinseca, mentre un CVSS-7.5 con EPSS 0.95 e KEV si colloca nella fascia Emergenza nonostante il CVSS inferiore. Perché un segnale solo non basta: piano CVSS × EPSS con overlay KEV Emergenza Alta Alta Alta Media Bassa 0 4 7 9 10 Punteggio base CVSS (gravità intrinseca) 0.0 0.5 1.0 EPSS (prob. sfruttamento 30 giorni) A B C D CVE campione nel grafico A. CVSS 9.8 / EPSS 0.01. Fascia Alta per gravità intrinseca, nessuno sfruttamento osservato. B. CVSS 7.5 / EPSS 0.95 / inserito nel KEV (★). Emergenza: il KEV scala sempre indipendentemente da CVSS o EPSS. C. CVSS 5.5 / EPSS 0.7. Alta per EPSS, gravità intrinseca medio-bassa. D. CVSS 4.0 / EPSS 0.05. Media.
Prioritizzazione a due segnali: CVSS cattura la gravità intrinseca, EPSS cattura la probabilità di sfruttamento osservato, KEV è l'overlay binario attivamente-sfruttata. CVE-A (CVSS alto, EPSS quasi zero) e CVE-B (CVSS medio, inserito nel KEV) risultano invertiti in priorità rispetto a una coda basata solo su CVSS.
Fascia Combinazione di segnali SLA di rimediazione Implicazione CRA
Emergenza CVSS Critica (9.0+) E (inserita nel KEV O EPSS > 0.5) Giorni, non settimane Candidata alla segnalazione ai sensi dell'Articolo 14(1) se lo sfruttamento riguarda il proprio prodotto
Alta CVSS Alta (7.0-8.9) O EPSS > 0.5 30 giorni La posizione "senza indugio" è a rischio oltre 30 giorni
Media CVSS Media (4.0-6.9), EPSS < 0.5, non inserita nel KEV 90 giorni Difendibile ai sensi dell'Allegato I Parte II, lettera 2) con documentazione
Bassa CVSS Bassa (< 4.0) Prossimo ciclo di rilascio regolare Documentare il rinvio nel registro di gestione delle vulnerabilità

La matrice è la politica del fabbricante, non un requisito del Regolamento sulla ciberresilienza. Redigerla per iscritto offre alle autorità di sorveglianza del mercato una base documentata e ripetibile per le decisioni di rimediazione che esamineranno dopo che una vulnerabilità grave diventa pubblica. Le autorità non accetteranno "abbiamo corretto quando ci è capitato" come difesa ai sensi dell'Allegato I Parte II, lettera 2); accetteranno "la nostra politica classifica ogni CVE all'acquisizione, questo CVE è rientrato nella fascia Alta, abbiamo rilasciato entro lo SLA di 30 giorni, ecco i timestamp".

Mappatura della gravità ai trigger di segnalazione dell'Articolo 14

L'Articolo 14 si divide in due flussi con gli stessi contatori a 24 ore e 72 ore ma scadenze diverse per il rapporto finale:

  • Vulnerabilità attivamente sfruttata (Articolo 14(1) e 14(2)). Allerta precoce di 24 ore, notifica di vulnerabilità a 72 ore, rapporto finale entro 14 giorni dalla disponibilità di una misura correttiva o di mitigazione.
  • Incidente grave (Articolo 14(3) e 14(4)). Allerta precoce di 24 ore, notifica dell'incidente a 72 ore, rapporto finale entro 1 mese dalla notifica delle 72 ore.

Nessun trigger corrisponde a una soglia CVSS. "Attivamente sfruttata" è una determinazione fattuale: un attore malevolo ha utilizzato la vulnerabilità contro il proprio prodotto. L'Articolo 14(5) definisce "incidente grave" quello che "incide negativamente o è in grado di incidere negativamente sulla capacità di un prodotto con elementi digitali di proteggere la disponibilità, l'autenticità, l'integrità o la riservatezza di dati o funzioni sensibili o importanti" oppure che "ha portato o è in grado di portare all'introduzione o all'esecuzione di codice malevolo in un prodotto con elementi digitali o nei sistemi informativi e di rete di un utente".

CVSS e EPSS supportano la determinazione. Una vulnerabilità CVSS-Critica con EPSS > 0.9 e un inserimento nel KEV suggerisce fortemente il campo dell'Articolo 14(1) non appena si dispone di prove che lo sfruttamento riguarda il proprio prodotto. Non sostituiscono la determinazione. Il contatore delle 24 ore decorre dal momento in cui il fabbricante viene a conoscenza dello sfruttamento attivo, non dal momento in cui il punteggio CVSS supera una soglia.

Per la cadenza completa dell'Articolo 14, si consulti la segnalazione delle vulnerabilità. Per il canale di intake a monte che spesso produce il primo segnale di sfruttamento, si consulti la divulgazione coordinata delle vulnerabilità.

Rendere operativo lo scoring nel processo di gestione delle vulnerabilità

Un processo di scoring allineato al Regolamento sulla ciberresilienza conta sei componenti concrete:

  1. Acquisire CVSS al momento della scansione. La pipeline da SBOM a CVE deve allegare i Punteggi base CVSS a ogni rilevamento al primo accertamento. Si consulti la guida SBOM per la meccanica della mappatura sottostante.
  2. Aggiornare EPSS quotidianamente. Un job notturno che ri-valuta le vulnerabilità aperte è il minimo indispensabile.
  3. Monitorare CISA KEV. Sottoscrivere il feed KEV e scalare automaticamente qualsiasi vulnerabilità aperta che entra nel catalogo.
  4. Impostare SLA per fascia nel proprio sistema di tracciamento. Le fasce e le scadenze devono essere leggibili da macchina in modo che gli elementi scaduti emergano senza triage umano.
  5. Escalare al superamento delle soglie. Quando EPSS supera 0.5 per un rilevamento aperto, quando KEV aggiunge uno dei propri CVE o quando un cliente segnala sfruttamento attivo, l'elemento passa automaticamente alla fascia di emergenza.
  6. Automatizzare la mappatura SBOM-componente-CVE. La mappatura manuale si rompe su larga scala ed è la fonte più comune di vulnerabilità mancate nelle contestazioni di audit.

L'onboarding alla Piattaforma Unica di Segnalazione ENISA è un workstream separato ma correlato. Si consulti l'onboarding ENISA SRP.

Errori comuni

  • Inseguire CVSS-9 ignorando EPSS-0.95. Una vulnerabilità CVSS-7 con EPSS 0.95 e un PoC pubblico comporta un rischio reale superiore rispetto a un CVSS-9.8 con EPSS 0.01.
  • Assumere che KEV sia completo. KEV è il miglior catalogo pubblico, ma è in ritardo. Lo sfruttamento attivo contro i propri clienti può precedere l'inserimento nel KEV di giorni o settimane.
  • Trattare CVSS come una scadenza. Un CVSS Critico non significa "correggere entro 24 ore". Significa "esaminare per primo". La scadenza proviene dall'SLA della propria politica, dall'EPSS, dallo stato nel KEV e, in ultima istanza, dallo standard "senza indugio" dell'Allegato I Parte II, lettera 2).
  • Non aggiornare i punteggi EPSS. Una vulnerabilità con EPSS 0.02 all'acquisizione e mai ri-valutata rimane nel backlog a bassa priorità mentre lo sfruttamento reale cresce fuori dalla propria visuale.
  • Ignorare i modificatori ambientali CVSS. Un Punteggio base CVSS di 9.8 contro un componente che il proprio prodotto non istanzia mai non è un 9.8 nel proprio ambiente. Documentare il Punteggio ambientale e il ragionamento.
  • Usare CVSS o EPSS come trigger dell'Articolo 14. L'Articolo 14(1) si attiva per sfruttamento attivo fattuale. Un punteggio è una prova a supporto, non la determinazione.

Domande Frequenti

Il Regolamento sulla ciberresilienza richiede l'uso di CVSS?

No. Il Regolamento sulla ciberresilienza non nomina CVSS né alcun altro sistema di scoring. L'Allegato I Parte II, lettera 4) richiede di comunicare la "gravità" quando si divulga una vulnerabilità corretta, ma non specifica la scala. CVSS è il riferimento di settore e la scala più semplice da difendere in audit. Una scala personalizzata o alternativa che produce risultati operativi equivalenti è ammissibile se documentata e applicata in modo coerente.

EPSS è obbligatorio ai sensi del Regolamento sulla ciberresilienza?

No. EPSS non è menzionato nel Regolamento. Aiuta a dimostrare lo standard "senza indugio" dell'Allegato I Parte II, lettera 2) perché mostra che la prioritizzazione ha tenuto conto della probabilità di sfruttamento reale, non solo della gravità intrinseca. Un fabbricante che ignora la probabilità di sfruttamento e gestisce le patch esclusivamente per rango CVSS avrà difficoltà a giustificare a posteriori la lentezza nella rimediazione di un rilevamento con EPSS elevato.

In che modo lo scoring influisce sul contatore delle 24 ore dell'Articolo 14?

Non cambia il momento in cui il contatore parte. Il contatore parte nel momento in cui il fabbricante viene a conoscenza dello sfruttamento attivo, indipendentemente da CVSS. Lo scoring aiuta a selezionare quali segnali in ingresso raggiungono la soglia di consapevolezza, ma una volta che lo sfruttamento è credibilmente accertato il contatore scorre anche se il punteggio CVSS non è ancora definitivo.

È possibile utilizzare un sistema di scoring personalizzato?

Sì, a condizione che sia difendibile in audit. Uno schema che combina il contesto del threat model interno con segnali esterni è accettabile se documentato, applicato in modo coerente e produce risultati di rimediazione allineati allo standard "senza indugio" dell'Allegato I Parte II, lettera 2). Il riferimento di settore CVSS più EPSS più KEV è il percorso di minima resistenza perché ogni autorità di sorveglianza del mercato lo riconoscerà.

Il Regolamento sulla ciberresilienza sanziona un punteggio di gravità errato?

Il Regolamento sulla ciberresilienza sanziona il mancato trattamento efficace delle vulnerabilità (Allegato I Parte II) e il mancato adempimento degli obblighi di segnalazione ai sensi dell'Articolo 14. Una politica di scoring difendibile con applicazione documentata è ciò che tutela il fabbricante. Un singolo punteggio errato non costituisce una violazione; un processo assente o incoerente sì.

Si deve usare CVSS v3.1 o v4.0?

Entrambe, ove disponibili. CVSS v4.0 è stato pubblicato da FIRST nel novembre 2023 e perfeziona la v3.1 con metriche sui requisiti di attacco più granulari e metriche supplementari per sicurezza funzionale, automatizzabilità, recupero e densità di valore. L'adozione è graduale: la maggior parte dei feed CVE pubblici pubblica ancora la v3.1 e il supporto degli strumenti per la v4.0 è disomogeneo. Ingerire entrambi i segnali ove la fonte li fornisce e non trattare la transizione da v3.1 a v4.0 come una revisione della baseline del backlog.

Passi successivi per un processo di scoring difendibile ai sensi del Regolamento sulla ciberresilienza

  1. Documentare la propria politica di gravità: fasce, segnali (CVSS, EPSS, KEV), SLA per fascia, regole di escalation.
  2. Collegare l'acquisizione CVSS alla pipeline SBOM-CVE al momento della scansione. Si consulti la guida al cluster SBOM.
  3. Pianificare un job quotidiano di aggiornamento EPSS e una sottoscrizione CISA KEV con escalation automatica quando un CVE tracciato entra nel catalogo.
  4. Mappare ogni vulnerabilità aperta a una fascia oggi e assegnare responsabili per qualsiasi elemento che supera il proprio SLA.
  5. Collegare i criteri di consapevolezza dell'Articolo 14 agli stessi segnali in modo che scoring e decisioni di segnalazione non possano divergere. Si consulti la guida alla segnalazione ai sensi dell'Articolo 14.
  6. Mantenere un registro aggiornato di ogni decisione di gravità e del relativo timestamp di rimediazione, in modo che "senza indugio" sia documentato e non solo affermato.