Cos’è il Common Security Advisory Framework 2.0 e come automatizza il vulnerability management

Chi lavora nel settore della sicurezza informatica non deve necessariamente sapere cos’è il Common Security Advisory Framework (CSAF). Tuttavia, capire come funziona una piattaforma di vulnerability management può aiutare a capire come si stanno evolvendo le soluzioni di nuova generazione e quali vantaggi presenta la gestione delle vulnerabilità automatizzata. In questo articolo scopriremo cos’è il CSAF 2.0 e come questo standard può migliorare la gestione delle vulnerabilità all’interno delle aziende. 

Greenbone AG è partner ufficiale dell’Ufficio Federale Tedesco per la Sicurezza Informatica (BSI), con cui collabora nell’integrazione di tecnologie basate sullo standard CSAF 2.0, progettate per fornire raccomandazioni di sicurezza informatica automatizzate.

Cos’è il CSAF?

Il Common Security Advisory Framework (CSAF) 2.0 è uno standard aperto che rende gli avvisi di vulnerabilità leggibili dalle macchine. Grazie a questo formato, tutti gli attori della cybersecurity (dai fornitori di software e hardware fino ai governi e ai ricercatori indipendenti) sono in grado di condividere e raccogliere informazioni in modo più efficiente. A differenza dei metodi tradizionali, il CSAF consente agli utenti di centralizzare gli avvisi provenienti da un gruppo decentralizzato di provider e di automatizzare la valutazione del rischio.

Grazie al suo formato standardizzato e leggibile dalle macchine, il Common Security Advisory Framework segna un importante progresso verso la gestione automatizzata e di nuova generazione delle vulnerabilità. Questo standard aiuta i reparti IT aziendali a gestire con maggiore efficienza il , alleggerendo il loro carico di lavoro e migliorando la capacità di prendere decisioni basate sul rischio.

Il CSAF 2.0 rappresenta l’evoluzione del Common Vulnerability Reporting Framework (CVRF) e ha funzionalità ampliate che garantiscono una maggiore flessibilità.

Tra i principali punti di forza di CSAF 2.0 spiccano:

• La definizione di uno standard internazionale aperto per documenti leggibili dalle macchine, che utilizzano il linguaggio di markup JSON per riferirsi alle vulnerabilità.
• L’introduzione di un modello decentralizzato per l’aggregazione delle informazioni sulle vulnerabilità.
• La progettazione mirata a supportare la gestione automatizzata delle vulnerabilità di nuova generazione.

Il processo tradizionale di vulnerability management

Per le organizzazioni di grandi dimensioni, gestire le vulnerabilità secondo i metodi tradizionali è un incubo. Il numero di CVE rilasciate ad ogni ciclo di patch continua a crescere a un ritmo esponenziale . I reparti di sicurezza informatica devono raccogliere manualmente le informazioni sulle vulnerabilità tramite ricerche online. Questo metodo richiede un notevole impegno manuale per raccogliere, analizzare e organizzare i dati provenienti da una moltitudine di fonti e documenti spesso strutturati in formati non uniformi.

Queste fonti di solito includono:

• Database di tracciamento delle vulnerabilità, come il NIST NVD
• Istruzioni di sicurezza del fornitore del prodotto
• Consultazioni nazionali e internazionali del CERT
• Valutazioni da parte dell’autorità di numerazione CVE (CNA)
• Ricerca indipendente sulla sicurezza
• Piattaforme per le informazioni sulla sicurezza
• Database di exploit di codice

Una valutazione del rischio accurata e affidabile può essere compromessa in diversi modi nel corso di questo processo. Le raccomandazioni, persino quelle fornite dai produttori, risultano spesso incomplete e presentate in formati eterogenei e non standardizzati. Questa mancanza di uniformità ostacola un processo decisionale basato sui dati, aumentando significativamente il rischio di errori.

Analizziamo brevemente la pipeline delle informazioni sulle vulnerabilità, considerando sia la prospettiva dei produttori che quella dei consumatori:

Il processo di divulgazione delle vulnerabilità

I dataset Common Vulnerability and Exposure (CVE) pubblicati nel National Vulnerability Database (NVD) del NIST (National Institute of Standards and Technology), costituiscono l’archivio globale più centralizzato e autorevole per le informazioni sulle vulnerabilità. Di seguito è riportata una panoramica del funzionamento del processo di divulgazione delle vulnerabilità:

1. I fornitori di prodotti rilevano vulnerabilità attraverso test di sicurezza interni o segnalazioni da parte di ricercatori indipendenti. Questo avvia una politica interna di divulgazione delle vulnerabilità. In alcuni casi, i ricercatori indipendenti collaborano direttamente con una CVE Numbering Authority (CNA) per pubblicare la vulnerabilità, bypassando il coinvolgimento iniziale del fornitore del prodotto.
2. Aggregatori di vulnerabilità come il NIST NVD e i assegnano un ID di tracciamento univoco (ad esempio, un ID CVE) alla vulnerabilità segnalata e la aggiungono a un database centrale che consente agli utenti dei prodotti e a piattaforme di gestione delle vulnerabilità, , di monitorare i progressi e le eventuali correzioni.
3. Diversi stakeholder, tra cui il produttore, il NIST NVD e ricercatori indipendenti, pubblicano avvisi di sicurezza. Tali avvisi possono includere informazioni relative a patch, date di pubblicazione di patch ufficiali, elenco di prodotti interessati, , livelli di gravità e riferimenti tecnici come Common Platform Enumeration (CPE) e Common Weakness Enumeration (CWE).
4. Fornitori di informazioni sulle minacce informatiche, come Known Exploited Vulnerabilities (KEV) della CISA ed Exploit Prediction Scoring System (EPSS) di First.org, aggiungono ulteriori dettagli contestuali.

Il processo di gestione delle vulnerabilità

Gli utenti dei prodotti devono leggere le informazioni sulle vulnerabilità e applicarle per mitigare il rischio di sfruttamento. Ecco una panoramica del processo di gestione delle vulnerabilità nelle organizzazioni:

1. Gli utenti dei prodotti devono cercare manualmente nei database CVE e monitorare gli avvisi di sicurezza relativi ai loro asset software e hardware. In alternativa, possono utilizzare piattaforme di gestione delle vulnerabilità, , che aggregano automaticamente gli avvisi di minacce provenienti da fonti varie.
2. Gli utenti devono confrontare le informazioni sulle vulnerabilità con il proprio inventario IT. Questo processo consiste nell’aggiornamento di un inventario esistente e può essere eseguito manualmente o utilizzando un che automatizza la creazione dell’inventario e l’esecuzione dei test di vulnerabilità.
3. I team di sicurezza informatica classificano le vulnerabilità scoperte in base al rischio contestuale per i sistemi IT critici, i processi aziendali e, in alcuni casi, la sicurezza pubblica.
4. I task di mitigazione vengono assegnati in base alla valutazione finale del rischio e alle risorse disponibili.

Cosa non funziona nella gestione delle vulnerabilità tradizionale?

Le procedure tradizionali per la gestione delle vulnerabilità, che spesso si basano su processi manuali, si rivelano nella pratica complesse e poco efficienti. Oltre alle difficoltà operative legate all’implementazione delle patch software, la mancanza di informazioni accessibili e affidabili rende più difficile individuare rapidamente le vulnerabilità e intervenire con soluzioni mirate. Anche l’utilizzo esclusivo del CVSS come metodo di valutazione del rischio presenta dei limiti: è stato criticato [2], perché non offre un contesto sufficientemente ricco per guidare . Anche se piattaforme possono alleviare parte del lavoro dei team di sicurezza, il processo complessivo resta ancora appesantito dalla necessità di raccogliere manualmente spesso frammentarie e poco strutturate.

Con l’aumento costante del numero di vulnerabilità, l’aggregazione ad hoc delle informazioni di sicurezza rischia di essere troppo lenta e di introdurre più errori umani. Questo può prolungare il tempo di esposizione alle vulnerabilità e complicare la prioritizzazione basata sul rischio.

La mancanza di standardizzazione porta a un’intelligence frammentata

L’attuale processo di divulgazione delle vulnerabilità manca di un metodo formale per distinguere tra le informazioni affidabili messe a disposizione dai fornitori e quelle fornite da ricercatori di sicurezza indipendenti come i partner CNA. In effetti, lo stesso sito web ufficiale del CVE pubblicizza che per aderire al CNA sono necessari requisiti minimi. Questo fa sì che un gran numero di CVE venga rilasciato in assenza di un contesto dettagliato, costringendo a ricerche più dettagliate a valle.

Le informazioni fornite sono lasciate alla discrezione della CNA, e non esiste un metodo standard per valutarne l’affidabilità. Un esempio lampante di questo problema si riscontra nella specificazione dei prodotti interessati, spesso inseriti in avvisi ad hoc con descrittori variabili e non standardizzati che richiedono un’interpretazione manuale. Ad esempio:

• Versione 8.0.0 – 8.0.1
• Versione 8.1.5 e successive
• Versione <= 8.1.5
• Versioni precedenti alla 8.1.5
• Tutte le versioni < V8.1.5
• 0, V8.1, V8.1.1, V8.1.2, V8.1.3, V8.1.4, V8.1.5

Scalabilità

Poiché fornitori, auditor (CNA) e aggregatori adottano metodi e formati di distribuzione eterogenei per le loro notifiche, la gestione efficiente delle vulnerabilità diventa una sfida operativa complessa e difficilmente scalabile. Questo problema è ulteriormente aggravato dall’aumento continuo delle vulnerabilità segnalate, che mette sotto pressione i processi manuali, sovraccarica i team di sicurezza e incrementa il rischio di errori o ritardi nelle attività di mitigazione.

Difficile contesto della valutazione di rischio

La sezione 3 del NIST SP 800-40r4 “Guide to Enterprise Patch Management Planning” suggerisce l’adozione di metriche di vulnerabilità orientate al contesto aziendale. Tuttavia, poiché il rischio associato a una vulnerabilità dipende in ultima analisi da fattori specifici come i sistemi coinvolti, l’impatto potenziale e la facilità di sfruttamento, l’attuale panorama frammentato delle informazioni di sicurezza rappresenta un serio ostacolo per una gestione delle vulnerabilità basata sul rischio.

In che modo CSAF 2.0 risolve questi problemi?

I documenti CSAF sono avvisi essenziali sulle minacce informatiche progettati per ottimizzare la catena di approvvigionamento delle informazioni sulla vulnerabilità. Invece di aggregare manualmente dati sulle vulnerabilità in modo frammentario, gli utenti del prodotto possono sfruttare l’aggregazione automatica degli avvisi CSAF da fonti affidabili. Questo approccio consente di integrarli in un sistema di gestione che combina funzionalità fondamentali, come la corrispondenza degli asset e la valutazione del rischio. In questo modo, l’automazione dei contenuti di sicurezza con CSAF affronta le sfide della gestione tradizionale delle vulnerabilità fornendo una security intelligence più affidabile ed efficiente e creando il potenziale per una gestione delle vulnerabilità di nuova generazione.

Ecco alcuni modi specifici in cui CSAF 2.0 risolve i problemi della gestione tradizionale delle vulnerabilità:

Informazioni sulla sicurezza più affidabili

CSAF 2.0 diminuisce la frammentazione delle informazioni di sicurezza introducendo una standardizzazione avanzata nei processi di divulgazione delle vulnerabilità. Grazie a campi strutturati per identificare le versioni dei prodotti interessati, il framework consente l’impiego di dati standardizzati come il Version Range Specifier (vers), il Common Platform Enumeration (CPE), il Package URL specification e il CycloneDX SBOM. Oltre a questi formati tecnici, CSAF supporta anche l’uso di identificatori più generali, come il nome del prodotto, il numero di serie, il numero di modello, lo SKU o persino l’hash del file.

Oltre a introdurre una standardizzazione per le versioni dei prodotti, offre anche un’importante innovazione con il Vulnerability Exploitability eXchange (VEX). Questo strumento permette ai produttori, ai fornitori CSAF di fiducia e persino ai ricercatori di sicurezza indipendenti di relative ai prodotti interessati.

Le dichiarazioni di stato VEX esplicite sono:

• Non interessato: non è necessaria alcuna azione correttiva in relazione a una vulnerabilità.
• Interessato: si consigliano misure per correggere o eliminare una vulnerabilità.
• Risolto: significa che queste versioni del prodotto contengono una correzione per una vulnerabilità di sicurezza.
• In corso di verifica: non è ancora noto se queste versioni del prodotto siano affette da una vulnerabilità di sicurezza. Un aggiornamento sarà reso disponibile in una versione successiva.
  

  Uso più efficace delle risorse

CSAF introduce numerose opportunità per ottimizzare sia la parte iniziale che quella finale del tradizionale processo di gestione delle vulnerabilità. La documentazione ufficiale di OASIS CSAF 2.0 descrive diversi obiettivi di conformità, pensati per aiutare i responsabili IT a sfruttare l’automazione e rendere le operazioni di sicurezza più rapide ed efficienti.

Ecco alcuni degli obiettivi di conformità chiave inclusi in CSAF 2.0, progettati per superare i limiti del processo tradizionale e consentire un utilizzo più efficace delle risorse:

• Sistema di gestione degli avvisi: questo sistema software è progettato per elaborare dati grezzi e trasformarli in documenti di avviso conformi a CSAF 2.0. La sua implementazione consente ai team che producono avvisi CSAF di monitorare la qualità dei dati in entrata, valutarli accuratamente, convertirli nel formato standardizzato e pubblicarli come avvisi di sicurezza validi. Questo approccio non solo migliora l’efficienza della pipeline informativa, ma garantisce anche che gli avvisi rilasciati siano precisi e affidabili, offrendo un supporto più solido agli utenti finali.
• Sistema di gestione CSAF: questo programma è progettato per gestire i documenti CSAF e visualizzarne i dettagli in conformità con i requisiti del visualizzatore CSAF. A livello di base, consente sia ai produttori che ai consumatori di avvisi di sicurezza di visualizzare il contenuto dei documenti in un formato facilmente comprensibile e leggibile dall’uomo.
• CSAF asset matching system / SBOM matching system: un sistema avanzato che si integra con un database di asset IT, inclusa la Software Bill of Materials (SBOM), per confrontare gli asset registrati con tutti gli avvisi CSAF disponibili. Questo strumento offre una panoramica chiara e dettagliata della struttura IT di un’organizzazione, consentendo di individuare rapidamente prodotti vulnerabili. Inoltre, fornisce dati strutturati per facilitare valutazioni automatizzate del rischio e supportare strategie di bonifica efficienti e mirate.
• Sistema tecnico: un ambiente integrato dedicato all’analisi e allo sviluppo del software, in cui possono operare diversi strumenti specifici. Questo sistema comprende componenti come il sistema di compilazione, il sistema di controllo delle versioni, il sistema di gestione dei risultati, il sistema di tracciamento dei difetti e il sistema di esecuzione dei test.

Informazioni decentralizzate sulla sicurezza informatica

Il del processo di arricchimento del CVE nel National Vulnerability Database (NVD) del NIST evidenzia i rischi associati all’affidarsi esclusivamente a una singola fonte per le informazioni sulle vulnerabilità. CSAF, al contrario, adotta un approccio decentralizzato, permettendo agli utenti a valle di accedere e integrare informazioni provenienti da una varietà di fonti. Questo modello decentralizzato non solo migliora la resilienza complessiva del sistema, riducendo il rischio derivante dal fallimento di un unico fornitore, ma distribuisce anche in modo più equo l’onere dell’arricchimento delle vulnerabilità tra un numero maggiore di parti interessate.

I principali fornitori di prodotti IT aziendali come e Cisco hanno già implementato feed CSAF e VEX. Allo stesso tempo, diverse agenzie governative di cybersecurity e programmi CERT nazionali, tra cui l’Ufficio Federale tedesco per la Sicurezza Informatica (BSI) e l’Agenzia per la Sicurezza delle Infrastrutture e la Cybersecurity degli Stati Uniti (CISA) hanno sviluppato funzionalità per supportare lo scambio di informazioni basato su CSAF 2.0.

Il modello decentralizzato offre un ulteriore vantaggio: permette a più stakeholder di contribuire alla valutazione di una vulnerabilità specifica. Questo significa che, laddove un avviso o un’analisi risultino incompleti, altre fonti possono colmare tali lacune, fornendo un quadro più completo e approfondito.

Miglioramento della valutazione dei rischi e della definizione delle priorità delle vulnerabilità

Nel complesso, CSAF 2.0 migliora la gestione delle vulnerabilità, offrendo valutazioni più precise e interventi più rapidi. I fornitori possono rilasciare avvisi VEX affidabili, fornendo informazioni accurate per azioni correttive. L’introduzione dell’oggetto aggregate severity (aggregate_severity) semplifica l’analisi del rischio e la definizione delle priorità, riducendo il tempo di esposizione alle vulnerabilità critiche e aumentando la resilienza IT.

Conclusione

I metodi tradizionali di gestione delle vulnerabilità presentano gravi limitazioni dovute alla mancanza di standardizzazione, che si traducono in problemi di affidabilità, scalabilità e difficoltà nell’analisi del contesto di rischio e della probabilità di sfruttamento.

Il Common Security Advisory Framework (CSAF) 2.0 rappresenta un’evoluzione significativa in questo ambito, mirata a trasformare il processo di gestione delle vulnerabilità. Questo standard introduce un formato leggibile dalle macchine per lo scambio di informazioni sulle vulnerabilità, garantendo una raccolta più automatizzata e affidabile. Inoltre, decentralizzando le fonti di queste informazioni, CSAF 2.0 offre alle organizzazioni l’opportunità di accedere a dati di sicurezza più consistenti e verificabili, facilitando una gestione delle vulnerabilità più precisa, efficiente e scalabile.

Greenbone AG è partner ufficiale dell’Ufficio Federale Tedesco per la Sicurezza Informatica (BSI), con cui collabora nell’integrazione di tecnologie basate sullo standard CSAF 2.0, progettate per fornire raccomandazioni di sicurezza informatica automatizzate.