L’Agenzia dell’Unione Europea per la sicurezza informatica (ENISA) ha intensificato il proprio supporto ai CSIRT dell’UE per la divulgazione coordinata delle vulnerabilità ed è ora autorizzata come CVE Numbering Authority (CNA), consentendole di assegnare identificatori CVE e pubblicare record CVE per le vulnerabilità scoperte o segnalate.
Questa evoluzione permetterà all’ENISA di coordinare in modo più efficace la divulgazione delle vulnerabilità nell’UE, garantendo che le informazioni sulle vulnerabilità siano gestite in modo coerente e tempestivo. La CVD (Coordinated Vulnerability Disclosure) rimane al centro di questi sforzi, promuovendo una pratica che bilancia la necessità di divulgare le vulnerabilità con la protezione degli utenti.
In parallelo, l’ENISA ha lanciato il Database Europeo delle Vulnerabilità (EUVD), un’importante risorsa che aggrega informazioni dettagliate su vulnerabilità provenienti da diverse fonti, inclusi CSIRT e fornitori di soluzioni di sicurezza. Questo database supporta l’automazione attraverso il Common Security Advisory Framework (CSAF), migliorando l’efficienza nel triage e nella gestione delle vulnerabilità.
Questi sviluppi si inseriscono in un contesto normativo più ampio, con il Cyber Resilience Act (CRA) che stabilisce nuove norme per la gestione delle vulnerabilità nell’UE. L’ENISA continua a guidare lo sviluppo di politiche nazionali di divulgazione coordinata delle vulnerabilità, offrendo linee guida e raccomandazioni essenziali per garantire una maggiore sicurezza informatica in tutta Europa.
Maggiori dettagli
Divulgazione coordinata delle vulnerabilità (CVD)
La CVD può essere descritta come un modello di divulgazione delle vulnerabilità che tenta di limitare la minaccia di sfruttamento delle vulnerabilità, garantendo che queste vengano divulgate al pubblico dopo che alle parti responsabili è stato concesso un tempo adeguato a sviluppare una correzione, una patch o fornire misure di mitigazione.
Programma Common Vulnerabilities and Exposures (CVE)
Lo scopo del programma CVE è identificare, definire e catalogare le vulnerabilità della sicurezza informatica divulgate pubblicamente. Esiste un record CVE per ciascuna vulnerabilità nel catalogo. Le vulnerabilità vengono scoperte, quindi assegnate e pubblicate da organizzazioni di tutto il mondo che hanno collaborato con il programma CVE. I partner pubblicano record CVE per comunicare descrizioni coerenti delle vulnerabilità. I professionisti dell’informatica e della sicurezza informatica utilizzano CVE Records per assicurarsi che stiano discutendo dello stesso problema e per coordinare i loro sforzi per stabilire le priorità e affrontare le vulnerabilità.
CVE Numbering Authorities CVE (CNA)
Le CNA sono organizzazioni responsabili della regolare assegnazione degli ID CVE alle vulnerabilità e della creazione e pubblicazione di informazioni sulla vulnerabilità nel record CVE associato. Ciascuna CNA ha uno specifico ambito di responsabilità per l’identificazione e la pubblicazione delle vulnerabilità. L’ENISA è ora autorizzata ad assegnare identificatori CVE (ID CVE) e a pubblicare record CVE per le vulnerabilità scoperte o segnalate ai CSIRT dell’UE, in linea con i loro ruoli di coordinatore dedicati.
Common Security Advisory Framework (CSAF)
CSAF è uno standard per gli avvisi di sicurezza. Questo formato standardizzato per l’acquisizione di informazioni di vulnerabilità semplifica i processi di valutazione e riparazione per i proprietari delle risorse. Pubblicando avvisi di sicurezza utilizzando CSAF, i fornitori ridurranno il tempo necessario alle aziende per comprendere l’impatto organizzativo e promuovere soluzioni tempestive.
Ulteriori informazioni Vulnerability Disclosure — ENISA (europa.eu)
