Il 18 settembre 2023, la Cybersecurity & Infrastructure Security Agency (CISA) ha annunciato che il suo catalogo di vulnerabilità note sfruttate (KEV) ha raggiunto la pietra miliare di coprire più di 1.000 vulnerabilità dal suo lancio nel novembre 2021. Questo potrebbe sembrare molto, ma con oltre 25.000 nuove vulnerabilità rilasciate nel 2022 da sole, aiuta le organizzazioni a concentrarsi sulle vulnerabilità che contano di più.
Molte organizzazioni utilizzano una miriade di software e dispositivi connessi a Internet, e ogni giorno vengono scoperte vulnerabilità che possono essere sfruttate. Tutti sanno che devono applicare le patch, ma decidere cosa patchare e quando, e poi trovare il tempo e le risorse per farlo, sono sfide significative.
CISA afferma che uno dei motivi per lanciare il catalogo KEV era aiutare le organizzazioni a stabilire le priorità su quali vulnerabilità affrontare per prime. Le agenzie del ramo esecutivo civile federale (FCEB) ricevono scadenze specifiche e molto strette per quando le vulnerabilità devono essere affrontate. In particolare, la direttiva richiede a queste agenzie di rimediare alle vulnerabilità elencate rivolte a Internet entro 15 giorni e a tutte le altre entro 25 giorni.
Il database Common Vulnerabilities and Exposures (CVE) elenca le falle di sicurezza informatica divulgate pubblicamente. Per essere considerata per il catalogo, il primo criterio che una vulnerabilità deve soddisfare è avere un ID CVE unico in modo che le organizzazioni possano sapere esattamente di quale vulnerabilità si tratta.
Il secondo criterio è la prova dello sfruttamento attivo. Questa prova deve provenire da una fonte credibile. Anche allora, distinguere tra enormi quantità di dati per distinguere l’effettivo sfruttamento malizioso può rivelarsi un compito arduo.
È difficile trovare metriche per mostrare qual è l’effetto del catalogo KEV sulle infezioni da malware e sugli attacchi ransomware, ma ciò che è chiaro è che il tempo medio per rimediare alle vulnerabilità elencate era in media di nove giorni più veloce rispetto a quelle non elencate.
