MITRE har gjort et ekstraordinært arbejde med at fremme cybersikkerhed som et offentligt gode, og det er en fremragende ressource for sikkerhedspersonale. Muligvis bedst kendt for deres att&CK ramme, en rig kilde til kontradiktorisk taktik og teknikker og deres afbødninger, MITRE er også kendt for en anden ressource: den fælles svaghed optælling. Det er et fællesskabsinitiativ, der er sponsoreret af cybersikkerheds-og Infrastruktursikkerhedsagenturet (CISA). Samfundet, der bidrager til dette arkiv, er ret bredt og forskelligt. Det omfatter store virksomheder, universiteter, individuelle forskere og offentlige myndigheder.
i modsætning til att& CK-rammen, der fokuserer på det “røde hold” og hvordan man forsvarer sig mod dem, er CVI nyttigt til proaktiv styring af risiko. Da denne liste skinner et fokus på almindelige svagheder, kan det være et værdifuldt værktøj til et sårbarhedsstyringsprogram og en nyttig kontrol mod potentielle kompromispunkter i en virksomhed. Det giver en bruger mulighed for at søge på listen ved hjælp af programmel-og udstyrssvagheder samt flere andre nyttige grupperinger, hvilket giver mulighed for detaljeret nedskæring og analyse for risikoanalytikere.
Hvad er nyt i 4.0
bemærkelsesværdige opdateringer i den seneste opdatering er tilføjelsen af svagheder i udstyrets sikkerhed, flere visninger, der organiserer svaghederne i nyttige kategorier, og en søgefunktion. Maskinens svagheder fokuserer på udstyrsdesign, så enhver, der er ansvarlig for at oprette udstyr, kan udnytte denne liste til risikoanalyse i designfasen eller afgøre, om det aktuelle udstyr er modtageligt ved at bruge listen til at designe test, hvis et automatiseret system ikke allerede er på plads.
de nye visninger er en nyttig tilføjelse til trussel-og risikoanalyse og kan bidrage til et sårbarhedsstyringsprogram, selvom det ikke er nogen erstatning for regelmæssig automatiseret scanning. De nye visninger inkluderer kategorier som “introduceret under design”, “introduceret under implementering”, flere kodende Sprogspecifikke svagheder, mobil og lettere måder at gennemgå hele svaghedslisten på. Opbygning af en vane med sikkerhedsgennemgang og sikker kodningspraksis er en måde at “skifte til venstre” med sikkerhed og styrker anden praksis såsom statisk kodeanalyse med automatisering.
listen bruger flere eksterne tilknytninger, der også er organiseret i listevisninger, hvilket er nyttigt til at prioritere eller gennemgå svagheder. For eksempel er top 25 og Top 10 hurtige måder at prioritere, hvilke svagheder der skal analyseres og adresseres først. At følge sprogkodningsstandarderne kan hjælpe med at sikre, at udviklere følger sikker kodningspraksis og giver et godt krydstjek. Arkitektoniske koncepter tilbyder en generel sikker udviklingsramme og en god måde at udvikle en trussel-og sikkerhedscheckliste på.
Endelige tanker
opbygning af en stærk defensiv holdning inkluderer adressering af svagheder, før de introduceres i produktion sammen med regelmæssig runtime-analyse med værktøjer som f.eks. Vi tilbyder en ressource for udviklere, designere, sikkerhedsanalytikere og forskere til at finde svagheder og udvikle afbødninger, før disse svagheder udnyttes. I modsætning til nogle ressourcer, der har tendens til at have it-eller InfoSec-ingeniører som et primært publikum, placerer vi udviklere, designere og arkitekter front-and-center i processen med at forsvare virksomheden.