MITRE leistet außergewöhnliche Arbeit bei der Förderung der Cybersicherheit als öffentliches Gut und ist eine hervorragende Ressource für Sicherheitsexperten. Möglicherweise am besten bekannt für ihre ATT& CK Rahmen, eine reiche Quelle von kontradiktorischen Taktiken und Techniken und deren Abschwächungen, MITRE ist auch für eine andere Ressource bekannt: die Common Weakness Enumeration (CWE). Das CWE ist eine Gemeinschaftsinitiative, die von der Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) gefördert wird. Die Community, die zu diesem Repository beiträgt, ist ziemlich breit und vielfältig. Es umfasst große Unternehmen, Universitäten, einzelne Forscher und Regierungsbehörden.
Im Gegensatz zum ATT&CK-Framework, das sich auf das „rote Team“ konzentriert und wie man sich gegen sie verteidigt, ist das CWE nützlich, um Risiken proaktiv zu managen. Da diese Liste häufige Schwachstellen beleuchtet, kann sie ein wertvolles Werkzeug für ein Schwachstellenmanagementprogramm und eine nützliche Überprüfung potenzieller Kompromittierungspunkte innerhalb eines Unternehmens sein. Mit dem CWE kann ein Benutzer die Liste nach Software- und Hardwareschwächen sowie nach mehreren anderen nützlichen Gruppierungen durchsuchen, um eine detaillierte Aufschlüsselung und Analyse für Risikoanalysten zu ermöglichen.
Was ist neu in 4.0
Bemerkenswerte Updates Im neuesten Update sind das Hinzufügen von Hardware-Sicherheitsschwächen, mehrere Ansichten, die die Schwächen in nützliche Kategorien einteilen, und eine Suchfunktion. Die Hardwareschwächen konzentrieren sich auf das Hardwaredesign, sodass jeder, der für die Erstellung von Hardware verantwortlich ist, diese Liste für die Risikoanalyse in der Entwurfsphase nutzen oder feststellen kann, ob die aktuelle Hardware anfällig ist, indem er anhand der Liste Tests entwirft, wenn noch kein automatisiertes System vorhanden ist.
Die neuen Ansichten sind eine hilfreiche Ergänzung zur Bedrohungs- und Risikoanalyse und können zu einem Schwachstellenmanagementprogramm beitragen, obwohl es kein Ersatz für reguläres automatisiertes Scannen ist. Die neuen Ansichten enthalten Kategorien wie „Während des Entwurfs eingeführt“, „während der Implementierung eingeführt“, mehrere codierungssprachenspezifische Schwächen, mobile und einfachere Möglichkeiten, die gesamte Schwächenliste zu überprüfen. Der Aufbau einer Gewohnheit der Sicherheitsüberprüfung und sicherer Codierungspraktiken ist eine Möglichkeit, bei der Sicherheit nach links zu „wechseln“, und stärkt andere Praktiken wie die statische Codeanalyse mit Automatisierung.
Die CWE-Liste verwendet mehrere externe Zuordnungen, die auch in Listenansichten organisiert sind, was hilfreich ist, um Schwachstellen zu priorisieren oder zu überprüfen. Zum Beispiel sind die CWE Top 25 und OWASP Top 10 schnelle Möglichkeiten, um zu priorisieren, welche Schwächen zuerst analysiert und behoben werden müssen. Das Befolgen der Sprachcodierungsstandards kann dazu beitragen, sicherzustellen, dass Entwickler sichere Codierungspraktiken befolgen, und eine gute Gegenprüfung durchführen. Architekturkonzepte bieten einen allgemeinen sicheren Entwicklungsrahmen und eine gute Möglichkeit, eine Bedrohungs- und Sicherheitscheckliste zu entwickeln.
Final Thoughts
Der Aufbau einer starken defensiven Haltung umfasst die Behebung von Schwachstellen, bevor sie in die Produktion eingeführt werden, sowie eine regelmäßige Laufzeitanalyse mit Tools wie der Vulnerability Management Platform von Tripwire. Die CWE bietet Entwicklern, Designern, Sicherheitsanalysten und Forschern eine Ressource, um Schwachstellen zu finden und Abhilfemaßnahmen zu entwickeln, bevor diese Schwachstellen ausgenutzt werden. Im Gegensatz zu einigen Ressourcen, die dazu neigen, IT- oder InfoSec-Ingenieure als primäre Zielgruppe zu haben, stellt die CWE Entwickler, Designer und Architekten in den Vordergrund, um das Unternehmen zu verteidigen.