Vulnerability management risk-based: la BOD 26-04 di CISA

Vulnerability management risk-based: CISA con la BOD 26-04 ordina di dare priorità al rischio reale

A cura di:Redazione Ore

Il vulnerability management del governo federale statunitense cambia approccio. Il 10 giugno 2026 la CISA ha emanato la direttiva vincolante BOD 26-04, che spinge le agenzie civili dell’esecutivo (FCEB) verso un vulnerability management basato sul rischio: non più correggere tutto con la stessa urgenza, ma decidere cosa riparare e quanto in fretta in base all’exploitabilità reale. Il messaggio dell’agenzia è netto: patch smarter, non semplicemente di più, in un contesto in cui la massa di vulnerabilità pubblicate e l’accelerazione degli exploit guidata dall’AI hanno reso il patching a tappeto quasi ingestibile.

Vulnerability management: i quattro fattori e le scadenze

La decisione poggia su quattro fattori: se la vulnerabilità riguardi sistemi esposti a Internet, se sia presente nel catalogo Known Exploited Vulnerabilities (KEV) della CISA, se sia sfruttabile in attacchi automatizzati e se l’eventuale exploit conceda all’attaccante il controllo parziale o totale del sistema. Una falla che, per esempio, garantisce il controllo completo di un sistema esposto, è già sfruttata attivamente e può esserlo su larga scala rappresenta il livello massimo di urgenza: le agenzie devono rimediare entro tre giorni e, con un forensic triage, verificare se sia già stata sfruttata nei loro ambienti. È un salto rispetto al patching guidato dalla sola severità CVSS: sul piano formale la BOD 26-04 consolida e revoca le precedenti direttive BOD 19-02 e 22-01, e il FCEB non è più tenuto a usare il punteggio CVSS per la prioritizzazione. L’attuazione è scaglionata: azione immediata sulle policy, estensione all’intero database CVE entro 60 giorni e piena applicabilità delle scadenze entro 180 giorni, cioè il 7 dicembre 2026.

Il limite dichiarato: perimetro sì, core no

La stessa CISA segnala con franchezza un limite di perimetro: la direttiva si concentra sul confine di rete e non impone la medesima urgenza alle vulnerabilità del nucleo interno. La ragione è che gli attori non compromettono le reti core soprattutto tramite vulnerabilità di prodotto, ma tramite configurazioni sfruttabili e credenziali valide, la tecnica nota come living off the land (LOTL); un problema che si affronta meglio con l’irrobustimento delle configurazioni, la segmentazione di rete e l’enforcement di una MFA resistente al phishing.

Oltre la KEV: EPSS, LEV e Global CVE

Il provvedimento supera il patching legato alla sola severità, ma non esaurisce i segnali utili. Thorsten Rosendahl di Cisco Talos osserva che andrebbe considerato anche il punteggio dinamico EPSS, che stima la probabilità di sfruttamento nei trenta giorni successivi sulla base di segnali reali, e che vale la pena consultare iniziative come Global CVE per una visione globale di ciò che viene attivamente sfruttato. Sullo stesso terreno il NIST aveva già proposto nel 2025 una metrica aggiuntiva, le Likely Exploited Vulnerabilities (LEV), stima di quanto è probabile che una falla sia già stata usata in attacchi. La CISA, da parte sua, aggiornerà la guida di implementazione in modo continuo.

Sul fronte OT, la teoria incontra la pratica

Il giorno successivo, l’11 giugno, oltre alla guida divulgativa “Patch Smarter, Not Harder”, la CISA pubblicava nuovi advisory per i sistemi OT e industriali. La direttiva non regola questi dispositivi, che restano fuori dal perimetro federale civile, ma essi incarnano alla perfezione il profilo di rischio che la BOD mette in cima alle priorità. L’advisory sui robot da giardino Yarbo segnala credenziali hard-coded che potrebbero dare accesso ai dati di telemetria e persino inviare comandi operativi alla flotta; quello sulla piattaforma IoT Naxclow descrive la possibilità di impersonare dispositivi, intercettare comunicazioni e raccogliere credenziali su larga scala; quello sulle telecamere Brickcom avverte che un attaccante remoto non autenticato può ottenere l’accesso ai flussi video dal vivo e il controllo amministrativo del dispositivo. Sistemi esposti a Internet, sfruttabili in automatico e con controllo totale del dispositivo: proprio il quadro che un triage basato sul rischio chiede di affrontare per primo.

Perché conta

Il cambio di paradigma è chiaro: dalla gestione delle vulnerabilità come rincorsa a tappeto a un vulnerability management guidato dal rischio reale. Per le organizzazioni europee il messaggio risuona con l’approccio basato sul rischio già richiesto da NIS2 e, per le entità finanziarie, da DORA: la severità teorica conta meno della probabilità concreta di sfruttamento. Per un CISO italiano la traduzione operativa è concreta: ancorare le scadenze di remediation alla presenza nel KEV e al punteggio EPSS più che al solo CVSS, mappare e ridurre l’esposizione su Internet, ed estendere l’inventario agli asset OT, IoT ed edge, dove credenziali hard-coded e accessi non autenticati sono la norma, come ricordano gli stessi advisory dell’11 giugno. E poiché il perimetro non è tutto, restano centrali segmentazione, hardening delle configurazioni e MFA resistente al phishing per proteggere il core, là dove gli attaccanti preferiscono muoversi con credenziali valide.

Condividi sui Social Network:

Ultimi Articoli