MITRE on tehnyt poikkeuksellista työtä kyberturvallisuuden edistämiseksi yleishyödyllisenä, ja se on erinomainen resurssi tietoturva-alan ammattilaisille. Mahdollisesti parhaiten tunnettu ATT&CK Framework, runsaasti kontradiktorisia taktiikoita ja tekniikoita ja niiden lieventämistä, MITRE tunnetaan myös toinen resurssi: yhteinen heikkous Enumeration (CWE). CWE on yhteisöaloite, jota tukee Cybersecurity and Infrastructure Security Agency (CISA). Tähän arkistoon osallistuva yhteisö on varsin laaja ja monipuolinen. Siihen kuuluu suuryrityksiä, yliopistoja, yksittäisiä tutkijoita ja valtion virastoja.
toisin kuin ATT&CK-viitekehys, jossa keskitytään ”punaiseen tiimiin” ja siihen, miten heitä vastaan puolustaudutaan, CWE on hyödyllinen riskien ennakoivaan hallintaan. Koska tämä luettelo loistaa valokeilassa yhteisiä heikkouksia, se voi olla arvokas työkalu haavoittuvuuden hallintaohjelman ja hyödyllinen tarkistaa vastaan mahdollisia kompromisseja yrityksen sisällä. CWE: n avulla käyttäjä voi etsiä listasta ohjelmiston ja laitteiston heikkouksia sekä useita muita hyödyllisiä ryhmittymiä, mikä mahdollistaa yksityiskohtaisen porauksen ja analyysin riskianalyytikoille.
uutta 4.0: ssa
merkittäviä päivityksiä uusimmassa päivityksessä ovat laitteistoturvallisuuden heikkouksien lisääminen, useat näkymät, joissa heikkoudet on järjestetty hyödyllisiin kategorioihin, sekä hakutoiminto. Laitteiston heikkoudet keskittyvät laitteistosuunnitteluun, joten jokainen, joka on vastuussa laitteiston luomisesta, voi hyödyntää tätä luetteloa riskianalyysiä varten suunnitteluvaiheessa tai määrittää, onko nykyinen laitteisto altis käyttämällä luetteloa testien suunnitteluun, jos automatisoitua järjestelmää ei ole jo käytössä.
uudet näkymät ovat hyödyllinen lisä uhka-ja riskianalyysiin ja voivat edistää haavoittuvuuden hallintaohjelmaa, vaikka se ei korvaa säännöllistä automaattista skannausta. Uusia näkymiä ovat muun muassa Kategoriat ”otettu käyttöön suunnittelun aikana”, ”otettu käyttöön toteutuksen aikana”, useat koodauskielikohtaiset heikkoudet, mobiili ja helpommat tavat käydä läpi koko heikkouslista. Tapa turvallisuuden tarkistamiseen ja turvallisiin koodauskäytäntöihin on yksi tapa ”siirtyä vasemmalle” turvallisuuden kanssa ja vahvistaa muita käytäntöjä, kuten staattista koodin analysointia automaatiolla.
CWE: n luettelossa käytetään useita ulkoisia kartoituksia, jotka on myös järjestetty luettelonäkymiksi, mikä on avuksi heikkouksien priorisoinnissa tai tarkastelussa. Esimerkiksi CWE Top 25 ja OWASP Top 10 ovat nopeita tapoja priorisoida, mitkä heikkoudet analysoida ja käsitellä ensin. Kielen koodausstandardien noudattaminen voi auttaa varmistamaan, että kehittäjät noudattavat turvallisia koodauskäytäntöjä ja tarjoavat hyvän ristiintarkistuksen. Arkkitehtuurikonseptit tarjoavat yleisen turvallisen kehityskehyksen ja hyvän tavan kehittää uhka-ja turvallisuuslista.
Final Thoughts
vahvan puolustusasennon rakentaminen sisältää heikkouksien korjaamisen ennen niiden käyttöönottoa tuotannossa sekä säännöllisen ajonaikaisen analyysin työkaluilla, kuten Tripwiren haavoittuvuudenhallintaympäristöllä. CWE tarjoaa kehittäjille, suunnittelijoille, turvallisuusanalyytikoille ja tutkijoille resurssin löytää heikkouksia ja kehittää lievennyksiä ennen kuin näitä heikkouksia hyödynnetään. Toisin kuin jotkut resurssit, joilla on taipumus olla se tai InfoSec insinöörit ensisijaisena yleisönä, CWE asettaa kehittäjät, suunnittelijat, ja arkkitehdit front-and-center prosessissa puolustaa yrityksen.