Gestione delle vulnerabilità indipendente dal fornitore dei dati in Versio.io
Revisione della cessazione dei finanziamenti MITRE da parte del governo degli Stati
Uniti
- Le recenti azioni del governo statunitense guidato da Donald Trump, in particolare
il taglio dei finanziamenti alla MITRE Corporation, mettono a repentaglio la stabilità
a lungo termine di uno dei principali database mondiali sulle vulnerabilità informatiche.
A seguito delle proteste internazionali, il governo statunitense ha ora promesso di
garantire i finanziamenti per un altro anno.
- Versio.io si basa su un modello generico sviluppato internamente per la gestione delle
vulnerabilità (Common Vulnerabilities and Exposures, CVE) e offre allo stesso tempo
l'integrazione flessibile di un'ampia varietà di fonti di dati, tra cui database pubblici
sulle vulnerabilità e avvisi di sicurezza specifici dei fornitori. Grazie a questo
approccio, Versio.io è indipendente da singole istituzioni, fonti di dati centralizzate
e possibili influenze politiche.
- La cessazione della pubblicazione di nuove vulnerabilità da parte di MITRE comporterebbe
una perdita di informazioni per i clienti e i produttori di soluzioni software nel
settore della sicurezza informatica, che molto probabilmente verrebbe assorbita tempestivamente
da nuove unità organizzative (ad esempio, la banca dati europea delle vulnerabilità
dell'Unione europea).
- La decisione del governo statunitense ha nuovamente richiamato l'attenzione mondiale
sull'importanza dei database delle vulnerabilità. Versio.io parte dal presupposto
che la tendenza verso un'archiviazione decentralizzata e distribuita dei dati continuerà,
combinata con una maggiore disponibilità e una migliore qualità dei contenuti delle
informazioni sulle vulnerabilità fornite.
Cosa ha deciso il governo degli Stati Uniti?
Il 16 aprile 2025, il governo degli Stati Uniti guidato dal presidente Donald Trump
ha annunciato che avrebbe interrotto i finanziamenti alla MITRE Corporation.
La MITRE Corporation è un'organizzazione senza scopo di lucro con sede negli Stati
Uniti che svolge attività di ricerca e sviluppo per conto del governo. Gestisce centri
di ricerca e sviluppo finanziati dal governo federale (FFRDC) per affrontare sfide
complesse in settori quali la sicurezza informatica, la difesa, la sanità e l'aerospaziale.
Uno dei suoi compiti principali è identificare chiaramente le vulnerabilità IT, assegnare
loro identificatori standardizzati (ID) e documentarle in modo sistematico.
La decisione del governo statunitense ha creato incertezza tra molti clienti di Versio.io
in merito alla gestione integrata delle vulnerabilità. In questo articolo desideriamo
quindi fare chiarezza e spiegare la nostra posizione in merito. Innanzitutto: non
c'è motivo di preoccuparsi, ma le cose cambieranno e Versio.io è ben posizionata per
affrontarle!
Qual è l'impatto generale della decisione del governo statunitense?
Le informazioni sulle vulnerabilità IT sono fondamentali perché consentono alle organizzazioni
di identificare e risolvere tempestivamente le vulnerabilità note, prima che possano
essere sfruttate. Garantiscono trasparenza, promuovono risposte standardizzate ai
rischi per la sicurezza e supportano i processi di protezione automatizzati nelle
aziende di tutto il mondo.
Senza il coordinamento centrale e l'assegnazione degli ID CVE da parte del MITRE,
il sistema internazionale di classificazione delle vulnerabilità crollerebbe. Si verificherebbero
incongruenze, duplicazioni o riferimenti mancanti, con gravi conseguenze per la cooperazione
tra produttori di software, aziende di sicurezza e autorità. Anche la rapidità di
risposta alle minacce ne risentirebbe notevolmente.
Cosa significa questo per i clienti di Versio.io?
Versio.io fornisce ogni giorno ai propri clienti oltre 600.000 informazioni aggiornate
sulle vulnerabilità della sicurezza IT provenienti da diverse fonti di dati. Ciò significa
che i panorami IT e le tecnologie inventariati da Versio.io possono essere controllati
in modo specifico per individuare eventuali vulnerabilità note.
Per l'elaborazione interna, Versio.io utilizza un modello generico per la gestione
delle informazioni sulle vulnerabilità. Ciò consente di registrare e valutare a livello
centrale sia le fonti di dati generali relative alle vulnerabilità della sicurezza
IT (CVE) sia gli avvisi di sicurezza specifici dei fornitori. La tabella seguente
mostra le fonti di dati attualmente collegate, che vengono aggiornate quotidianamente
e messe a disposizione dei nostri clienti:
-
| Fonte dei dati |
Numero di vulnerabilità |
| Database nazionale delle vulnerabilità (MITRE/NIST) |
289.742 |
| Database consultivo GitHub |
273.868 |
| Avviso di sicurezza Red Hat |
38.716 |
| Avviso di sicurezza Juniper (JSA) |
1.132 |
| Avvisi di sicurezza Palo Alto Networks |
434 |
Tabella: Fonti dei dati integrati in Versio.io per le vulnerabilità e gli avvisi di
sicurezza IT (al 16.04.2025)
La fine dei finanziamenti al MITRE potrebbe significare che non saranno fornite nuove
informazioni sulle vulnerabilità IT identificate né aggiornamenti su quelle già pubblicate.
Possiamo compensare questa potenziale lacuna in Versio.io con i fornitori di informazioni
sulle vulnerabilità già integrati o che saranno integrati in futuro.
Le seguenti ulteriori integrazioni dei database delle vulnerabilità sono previste
nella roadmap dei prodotti Versio.io
- Banca dati europea sulla vulnerabilità (EUVD) dell'Unione europea: https://euvd.enisa.europa.eu
- Vulnerabilità Open Source (OSV): https://osv.dev
- Certificazione VDE per OT/IoT: https://www.vde.com/topics-de/digital-security/cert-vde
Il team di Versio.io vede il dibattito scatenato dalla decisione del governo statunitense
come una grande opportunità per rafforzare la resilienza digitale attraverso la creazione
di database distribuiti sulle vulnerabilità e per migliorare in modo sostenibile la
qualità delle informazioni sulle vulnerabilità. In particolare, negli ultimi mesi
è stata sempre più criticata l'affidabilità del MITRE e del database NIST in termini
di tempo e contenuto. per compensare il possibile fallimento del National Vulnerability
Database (NVD) statunitense.
Con la versione beta della Banca dati europea delle vulnerabilità (EUVD) pubblicata
nell'aprile 2025, l'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione
(ENISA) ha già compiuto un passo importante per compensare il possibile fallimento
della Banca dati nazionale delle vulnerabilità (NVD) degli Stati Uniti.
Autore
Matthias Scholze
Chief Technology Officer
P: +49-30-221986-51
