EPSS e CVSS: come dare priorità alle vulnerabilità in modo corretto

Scritto da ExposIQ | Marzo 15, 2026

Una scansione delle vulnerabilita di una tipica rete PMI produce decine, spesso centinaia di risultati. Ogni finding ha un punteggio CVSS e la reazione istintiva e chiara: prima correggere quelli con 9.8 e 10.0. Ma e davvero la strategia giusta? Non necessariamente. Il CVSS da solo racconta solo una parte della storia e talvolta quella meno importante.

CVSS: cosa misura e cosa no

Il Common Vulnerability Scoring System (CVSS) e lo standard de facto per la valutazione delle vulnerabilita. La versione attuale CVSS 4.0 valuta una vulnerabilita in base a diverse metriche:

  • Attack Vector: Quanto deve essere vicino l’aggressore? (Rete, adiacente, locale, fisico)
  • Attack Complexity: Quanto e complesso lo sfruttamento?
  • Privileges Required: L’aggressore necessita gia di credenziali di accesso?
  • User Interaction: Un utente deve compiere attivamente un’azione?
  • Impact: Quale danno provoca lo sfruttamento? (Riservatezza, integrita, disponibilita)

Il CVSS risponde quindi alla domanda: “Quanto potrebbe essere grave se questa vulnerabilita venisse sfruttata?” Questo e indubbiamente importante. Ma manca una dimensione decisiva: quanto e probabile che venga effettivamente sfruttata?

Il problema del CVSS come unico criterio di prioritizzazione

Consideriamo un esempio concreto. Nel National Vulnerability Database (NVD) si trovano attualmente oltre 64’000 CVE con un punteggio CVSS di 7.0 o superiore, classificati quindi come “alto” o “critico”. Se ogni vulnerabilita con CVSS 9.0+ deve essere corretta immediatamente, le PMI si trovano di fronte a un compito impossibile.

A cio si aggiunge un problema statistico: solo una piccola frazione di tutte le vulnerabilita note viene mai attivamente sfruttata. Diversi studi indicano valori tra il 2 e il 5 percento. Cio significa che il 95-98 percento di tutti i CVE rimangono rischi teorici che non vengono mai attaccati nel mondo reale.

Allo stesso tempo, esistono vulnerabilita con un punteggio CVSS “moderato” di 6.0 o 7.0 che vengono massicciamente sfruttate dai gruppi di aggressori, perche sono facilmente automatizzabili, riguardano software molto diffuso o perche exploit affidabili sono pubblicamente disponibili.

Chi priorizza esclusivamente in base al CVSS investe tempo e risorse in vulnerabilita che nessuno attacca, mentre vulnerabilita effettivamente sfruttate con punteggio inferiore restano non trattate.

EPSS: la probabilita di sfruttamento

L’Exploit Prediction Scoring System (EPSS) e un modello relativamente nuovo, sviluppato da FIRST (Forum of Incident Response and Security Teams), che colma esattamente la lacuna lasciata dal CVSS. L’EPSS risponde alla domanda: “Quanto e probabile che questa vulnerabilita venga attivamente sfruttata nei prossimi 30 giorni?”

L’EPSS utilizza modelli di machine learning che analizzano una molteplicita di fattori:

  • Disponibilita di codice exploit (ad es. su GitHub, Exploit-DB, Metasploit)
  • Attivita nei forum underground e nei marketplace del dark web
  • Caratteristiche della vulnerabilita (vettore d’attacco, complessita)
  • Diffusione del software interessato
  • Pattern storici di exploit di vulnerabilita simili
  • Threat intelligence attuale

Il risultato e una percentuale tra 0 e 1 (ovvero 0% e 100%). Un valore EPSS di 0.95 significa: con una probabilita del 95 percento, questa vulnerabilita verra sfruttata dagli aggressori nei prossimi 30 giorni. Un valore di 0.001 significa: la probabilita e dello 0.1 percento.

EPSS nella pratica

La distribuzione dei valori EPSS e eloquente: la grande maggioranza di tutti i CVE ha un valore EPSS inferiore a 0.1 (10%). Solo una piccola parte raggiunge valori superiori a 0.5 (50%). Questa distribuzione conferma cio che i ricercatori di sicurezza sanno da anni: la maggior parte delle vulnerabilita non viene mai sfruttata.

Diventa interessante quando si considerano CVSS ed EPSS insieme:

  • CVSS alto, EPSS basso: Teoricamente pericoloso, ma praticamente improbabile. Esempio: una vulnerabilita complessa in una funzione poco utilizzata di un software di nicchia. Il CVSS valuta alto l’impatto teorico, ma gli aggressori non hanno incentivo a sviluppare un exploit.
  • CVSS basso, EPSS alto: Teoricamente meno critico, ma nella pratica altamente rilevante. Esempio: una vulnerabilita Cross-Site Scripting (CVSS ~6.0) in un plugin WordPress molto diffuso, per il quale esiste un exploit automatizzato.
  • CVSS alto, EPSS alto: I casi piu urgenti. Teoricamente critico E attivamente sfruttato. Queste vulnerabilita richiedono misure immediate.
  • CVSS basso, EPSS basso: Priorita piu bassa. Teoricamente meno critico e praticamente non sfruttato.

CISA KEV: vulnerabilita confermate e attivamente sfruttate

Mentre l’EPSS fornisce una previsione, il catalogo Known Exploited Vulnerabilities (KEV) della Cybersecurity and Infrastructure Security Agency (CISA) statunitense offre fatti: elenca le vulnerabilita che sono provato essere attivamente sfruttate dagli aggressori.

Il catalogo KEV comprende attualmente oltre 1’100 vulnerabilita e viene aggiornato regolarmente. Per ogni vulnerabilita elencata, CISA assegna un termine di correzione vincolante, obbligatorio per le agenzie governative statunitensi ma anche un chiaro punto di riferimento per il settore privato.

I criteri di inclusione sono rigorosi:

  1. La vulnerabilita deve avere un identificativo CVE
  2. Devono esistere prove credibili di sfruttamento attivo
  3. Deve esistere una chiara misura di correzione (patch o workaround)

Quando una vulnerabilita e nel catalogo KEV, la domanda non e piu “se” ma “quanto velocemente” deve essere corretta. L’urgenza e massima.

La combinazione fa la differenza

Considerati singolarmente, ogni sistema ha i propri punti di forza e di debolezza:

  • CVSS valuta l’impatto teorico, ma non la probabilita di sfruttamento
  • EPSS prevede la probabilita di sfruttamento, ma non l’impatto
  • KEV conferma lo sfruttamento attivo, ma copre solo una frazione di tutte le vulnerabilita

Solo la combinazione di tutte e tre le fonti produce una prioritizzazione intelligente che tiene conto sia dell’impatto che della minaccia reale.

Un modello di prioritizzazione pratico

Basandosi sulla combinazione di CVSS, EPSS e KEV, si puo derivare un modello di prioritizzazione a quattro livelli:

Priorita 1 – Immediata (entro 24-48 ore):

  • Presente nel catalogo CISA KEV (indipendentemente da CVSS o EPSS)
  • CVSS 9.0+ E EPSS > 0.5

Priorita 2 – Urgente (entro 7 giorni):

  • CVSS 7.0+ E EPSS > 0.3
  • CVSS 9.0+ E EPSS > 0.1

Priorita 3 – Pianificata (entro 30 giorni):

  • CVSS 7.0+ E EPSS < 0.3
  • CVSS 4.0-6.9 E EPSS > 0.1

Priorita 4 – Ciclo successivo (entro 90 giorni):

  • CVSS < 7.0 E EPSS < 0.1
  • Finding informativi

Questo modello riduce significativamente il carico di lavoro: invece di dover trattare contemporaneamente 200 vulnerabilita “critiche”, il team IT si concentra sulle 15-20 vulnerabilita che rappresentano effettivamente il rischio maggiore.

Esempi pratici

Esempio 1: Alta priorita nonostante CVSS moderato

CVE-2023-22515 (Atlassian Confluence) – CVSS 9.8, EPSS 0.97, nel catalogo KEV. Qui tutti gli indicatori concordano: vulnerabilita grave, quasi certamente sfruttata, confermata attivamente attaccata. Priorita 1, misure immediate necessarie.

Esempio 2: CVSS alto ma minaccia reale bassa

Alcune vulnerabilita ricevono un punteggio CVSS di 9.0 o superiore, ma hanno un valore EPSS inferiore a 0.01. Tipico per: vulnerabilita in software poco diffuso, vulnerabilita che richiedono prerequisiti molto specifici, o vulnerabilita per le quali non esiste codice exploit. Queste possono essere trattate secondo la Priorita 3 – importanti ma non urgenti.

Esempio 3: CVSS moderato ma attivamente sfruttato

Le vulnerabilita in plugin CMS molto diffusi (WordPress, Joomla) hanno spesso valori CVSS tra 6.0 e 7.5, ma vengono massicciamente attaccate in modo automatizzato perche sono disponibili exploit kit. Valori EPSS superiori a 0.5 con un CVSS “solo” medio segnalano: questo finding merita piu attenzione di quanto il punteggio CVSS suggerisca.

MITRE ATT&CK: comprendere il contesto

Un’ulteriore dimensione della prioritizzazione e offerta dal framework MITRE ATT&CK. Classifica le vulnerabilita e le tecniche di attacco in una matrice che rappresenta l’intero svolgimento di un attacco, dalla compromissione iniziale al furto dei dati.

ATT&CK aiuta a rispondere a domande come:

  • Questa vulnerabilita viene utilizzata per l’accesso iniziale o l’aggressore necessita gia di una presenza nella rete?
  • Quali gruppi di aggressori sono noti per utilizzare questa tecnica?
  • Quali ulteriori passi seguono tipicamente dopo lo sfruttamento?

Se una vulnerabilita e classificata come tecnica per “Initial Access” e viene utilizzata da noti gruppi ransomware, la priorita aumenta indipendentemente dal punteggio CVSS.

Implementazione nella quotidianita delle PMI

La teoria e convincente, ma come implementa una PMI con risorse limitate questa prioritizzazione combinata nella pratica?

Manualmente e quasi impossibile. I punteggi CVSS si trovano nel report di scansione, ma i valori EPSS devono essere interrogati separatamente tramite l’API FIRST e il catalogo KEV e una fonte dati a parte. Incrociare manualmente queste tre fonti per 200 finding non e realistico.

La soluzione sta nella piattaforma. Le moderne piattaforme di gestione delle vulnerabilita integrano CVSS, EPSS e KEV automaticamente e mostrano per ogni finding una valutazione del rischio combinata. Invece di consultare tre fonti diverse, il team IT vede a colpo d’occhio quali vulnerabilita hanno effettivamente priorita.

Conclusione

Il CVSS da solo non e un criterio di prioritizzazione sufficiente. Valuta il caso peggiore teorico, ma non dice nulla sulla situazione di minaccia reale. L’EPSS aggiunge la probabilita di sfruttamento, il CISA KEV fornisce dati confermati sugli attacchi. Solo la combinazione di tutte e tre le fonti consente una prioritizzazione che impiega le risorse limitate la dove producono la maggiore riduzione del rischio.

ExposIQ integra CVSS, EPSS e il catalogo CISA KEV direttamente nei risultati della scansione. Ogni finding viene automaticamente valutato in base a tutte e tre le fonti, integrato dal mapping MITRE ATT&CK. Cosi vedete a colpo d’occhio quali vulnerabilita sono teoricamente critiche e quali vengono effettivamente attaccate. In piu, oltre 35 motori di scansione, 64’000+ CVE, 11’700+ template Nuclei e 112 moduli di validazione exploit. Ospitato in Svizzera, conforme alla nLPD, a partire da CHF 99 al mese. Maggiori informazioni su exposiq.ch.

ExposIQ è la piattaforma svizzera per la gestione automatizzata delle vulnerabilità. Aiutiamo le PMI e i fornitori di servizi IT a identificare e correggere le vulnerabilità – in modo sicuro, comprensibile e conforme alla nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Azienda

Chi siamo Contatto Blog
 Informativa sulla privacy Termini di utilizzo

Newsletter

Copyright © ExposIQ Svizzera 2026. Tutti i diritti riservati.