Il settore della sicurezza informatica si trova ad affrontare una crisi sistemica di percezione. Per anni, le organizzazioni si sono affidate al Common Vulnerability Scoring System (CVSS) per stabilire la priorità di ciò che necessita di essere risolto. Tuttavia, recenti violazioni di alto profilo, in particolare “Operazione Lunar Peek”, hanno messo in luce un difetto fatale: CVSS valuta le vulnerabilità in modo isolato, mentre gli aggressori le sfruttano in catene.
Quando i team di sicurezza trattano ogni vulnerabilità come un punto dati autonomo, creano punti ciechi che gli attori statali sono sempre più abili a sfruttare.
Il caso di studio di Palo Alto: un fallimento della logica
Durante l’operazione Lunar Peek nel novembre 2024, gli aggressori hanno ottenuto l’accesso root a oltre 13.000 interfacce di gestione di Palo Alto Networks. Questa massiccia violazione è stata resa possibile “concatenando” due vulnerabilità specifiche:
- CVE-2024-0012: Un bypass di autenticazione (punteggio alto a 9,3).
- CVE-2024-9474: Un difetto di escalation dei privilegi (punteggio inferiore a 6,9).
Poiché al secondo difetto è stato assegnato un punteggio relativamente basso, è sceso al di sotto delle soglie di patch di molte aziende. Inoltre, poiché il difetto di escalation richiedeva tecnicamente un “accesso amministrativo” per funzionare, è stato considerato una priorità bassa. L’errore fatale è stato non riuscire a rendersi conto che la prima vulnerabilità forniva proprio l’accesso amministrativo necessario alla seconda.
Come osserva Adam Meyers, vicepresidente senior di Counter Adversary Operations presso CrowdStrike, la logica del triage spesso soffre di una forma di “amnesia”, trattando le minacce connesse come eventi disconnessi.
5 punti ciechi critici nella moderna gestione delle vulnerabilità
Il divario tra la gravità teorica (CVSS) e il rischio reale si sta ampliando a causa dell’evoluzione di cinque classi di minacce:
1. Concatenamento delle vulnerabilità
Come visto con Palo Alto, gli aggressori non attaccano un bug alla volta. Combinano un bug di rischio “medio” con un bug di rischio “alto” per creare una catastrofe “critica”. Se il tuo processo di triage prende in considerazione solo i punteggi individuali, perderai costantemente l’effetto composto.
2. La corsa all’armamento
La finestra per la difesa si sta restringendo. I dati del CrowdStrike 2026 Global Threat Report mostrano che gli avversari legati alla Cina possono sfruttare come armi le vulnerabilità appena corrette entro da due a sei giorni. Con “tempi di breakout” medi degli aggressori pari a soli 29 minuti, il tradizionale modello “Patch Tuesday” è obsoleto.
3. Il rischio “scorte”.
Gli attori degli stati-nazione spesso si aggrappano per anni alle vulnerabilità conosciute, aspettando il momento giusto per colpire. Nel caso degli attacchi “Salt Typhoon”, i dispositivi Cisco sono stati compromessi grazie a vulnerabilità riparate da oltre un anno. CVSS non tiene conto dell’esposizione all'”invecchiamento”, il che significa che una vulnerabilità a cui non sono state applicate le patch per 14 mesi viene trattata con la stessa urgenza di quella scoperta ieri.
4. Il divario di identità
Non tutte le vulnerabilità sono basate su codice. Una chiamata di ingegneria sociale a un help desk può aggirare milioni di dollari in sicurezza software senza che venga rilasciato un solo CVE. Inoltre, quando i sistemi di Agentic AI iniziano a funzionare con i propri token e autorizzazioni API, creano una nuova “superficie di identità” che gli scanner software tradizionali semplicemente non possono vedere.
5. Esplosione di scoperta guidata dall’intelligenza artificiale
L’enorme volume delle vulnerabilità sta raggiungendo un punto di rottura. Con le divulgazioni CVE in aumento di oltre il 20% annuo e modelli di intelligenza artificiale come Claude di Anthropic in grado di trovare bug su vasta scala e a basso costo, il settore si sta preparando a uno “tsunami di vulnerabilità”. Se l’intelligenza artificiale aumentasse di 10 volte la scoperta, l’attuale infrastruttura per la gestione delle patch crollerebbe.
Piano d’azione strategico per i leader della sicurezza
Per passare dall’applicazione di patch reattive alla difesa proattiva, le organizzazioni devono evolvere i propri modelli di governance:
- Audit per catene: non limitarti a considerare i CVE individuali. Esegui “controlli delle dipendenze della catena” su tutte le vulnerabilità sfruttate note (KEV). Se sullo stesso sistema esistono un bypass di autenticazione e un difetto di escalation dei privilegi, devono essere trattati come un’unica priorità critica.
- Accelera gli SLA: per i sistemi connessi a Internet, passa a una finestra di patch di 72 ore per i KEV. I cicli settimanali non sono più sufficienti per contrastare le moderne velocità di breakout.
- Traccia “Età della vulnerabilità”: Fornisci al forum rapporti che mostrano non solo cosa non è stato corretto con la patch, ma anche per quanto tempo è rimasta senza patch. L’esposizione all’invecchiamento è un obiettivo primario per gli attori sofisticati.
- Unifica la governance dell’identità e del software: integra i protocolli di autenticazione dell’help desk e la gestione delle credenziali AI nella tua pipeline standard di reporting delle vulnerabilità.
Conclusione: Affidarsi esclusivamente ai punteggi CVSS crea un falso senso di sicurezza. La vera resilienza richiede il passaggio dal “segnare i bug” all’”analizzare i percorsi di attacco”, tenendo conto della velocità, della portata e dell’interconnessione dello sfruttamento moderno.
