MITRE, dělá vynikající práci při prosazování kybernetické bezpečnosti jako veřejného statku, a to je vynikající zdroj pro bezpečnostní profesionály. Možná nejlépe známý pro jejich ATT&CK Rámec, bohatý zdroj sporné taktiky a techniky a jejich zmírnění, MITRE je také známý pro jiného zdroj: Společné Slabost Enumeration (CWE). CWE je komunitní iniciativa sponzorovaná Agenturou pro kybernetickou bezpečnost a infrastrukturu (CISA). Komunita přispívající do tohoto úložiště je poměrně široká a různorodá. Zahrnuje velké korporace, univerzity, jednotlivé výzkumné pracovníky a vládní agentury.
na rozdíl od rámce ATT&CK, který se zaměřuje na „červený tým“ a na to, jak se proti nim bránit, je CWE užitečný pro aktivní řízení rizik. Vzhledem k tomu, že tento seznam osvětluje běžné slabiny, může to být cenný nástroj pro program pro správu zranitelností a užitečná kontrola potenciálních kompromisních bodů v podniku. CWE umožňuje uživateli prohledávat seznam podle slabých stránek softwaru a hardwaru a několika dalších užitečných seskupení, což umožňuje detailní drill-down a analýzu pro analytiky rizik.
Co je Nového v 4.0
Významné aktualizace v nejnovější aktualizaci je přidání hardwarové bezpečnostní slabiny, několik pohledů organizační nedostatky do užitečných kategorií, a vyhledávací funkce. Hardwarové nedostatky, zaměřit se na design hardwaru, takže každý zodpovědný za vytváření hardware můžete využít tento seznam pro analýzu rizika ve fázi návrhu nebo určit, zda aktuální hardware je náchylný pomocí seznamu navrhnout testy, jestli automatizovaný systém, není již na místě.
nové pohledy jsou užitečným doplňkem analýzy hrozeb a rizik a mohou přispět k programu pro správu zranitelností, i když to není náhrada za pravidelné automatické skenování. Nové pohledy zahrnují kategorie jako „představeno během návrhu“, „představeno během implementace“, několik slabých stránek specifických pro kódovací jazyk, Mobilní, a jednodušší způsoby, jak zkontrolovat celý seznam slabých stránek. Budování zvyku bezpečnostní kontroly a bezpečných postupů kódování je jedním ze způsobů, jak“ posunout doleva “ s bezpečností a posílit další postupy, jako je statická analýza kódu s automatizací.
seznam CWE používá několik externích mapování, která jsou také uspořádána do zobrazení seznamu, což je užitečné pro stanovení priorit nebo kontrolu slabých stránek. Například, CWE Top 25 a OWASP Top 10 jsou rychlé způsoby, jak upřednostnit, které slabiny je třeba nejprve analyzovat a řešit. Dodržování standardů kódování jazyka může pomoci zajistit, aby vývojáři dodržovali bezpečné postupy kódování a poskytovali dobrou křížovou kontrolu. Architektonické koncepty nabízejí obecný Bezpečný vývojový rámec a dobrý způsob, jak vytvořit kontrolní seznam hrozeb a zabezpečení.
Poslední Myšlenky
Budování silné obranné pozice zahrnuje řešení slabých míst před tím, než jsou zavedeny do výroby spolu s pravidelným runtime analýzu s nástroji, jako je například Tripwire zranitelnost platformy pro správu. CWE nabízí zdroj pro vývojáře, návrháři, bezpečnostní analytici, a výzkumní pracovníci k nalezení slabých stránek a vývoji zmírnění dříve, než budou tyto slabiny využity. Na rozdíl od některých zdrojů, které mají tendenci mít TO nebo InfoSec inženýři jako primární publikum, CWE místech vývojáře, designéry a architekty front-a-centrum v procesu obhájce podniku.