MITRE a fait un travail exceptionnel pour faire progresser la cybersécurité en tant que bien public, et c’est une excellente ressource pour les professionnels de la sécurité. Peut-être mieux connu pour son cadre ATT & CK, une riche source de tactiques et de techniques contradictoires et de leurs atténuations, MITRE est également connu pour une autre ressource: l’Énumération des faiblesses communes (CWE). Le CWE est une initiative communautaire parrainée par la Cybersecurity and Infrastructure Security Agency (CISA). La communauté qui contribue à ce dépôt est assez large et diversifiée. Il comprend de grandes entreprises, des universités, des chercheurs individuels et des agences gouvernementales.
Contrairement au cadre ATT & CK, qui se concentre sur « l’équipe rouge » et la façon de se défendre contre eux, le CWE est utile pour gérer les risques de manière proactive. Étant donné que cette liste met en lumière les faiblesses courantes, elle peut être un outil précieux pour un programme de gestion des vulnérabilités et une vérification utile des points de compromis potentiels au sein d’une entreprise. Le CWE permet à un utilisateur de rechercher la liste par faiblesses logicielles et matérielles ainsi que plusieurs autres regroupements utiles, ce qui permet une analyse détaillée et une analyse pour les analystes de risque.
Nouveautés de la version 4.0
Les mises à jour notables de la dernière mise à jour sont l’ajout de faiblesses de sécurité matérielle, plusieurs vues organisant les faiblesses en catégories utiles et une fonction de recherche. Les faiblesses matérielles se concentrent sur la conception matérielle, de sorte que toute personne responsable de la création de matériel peut utiliser cette liste pour l’analyse des risques lors de la phase de conception ou déterminer si le matériel actuel est susceptible en utilisant la liste pour concevoir des tests si un système automatisé n’est pas déjà en place.
Les nouvelles vues sont un ajout utile à l’analyse des menaces et des risques et peuvent contribuer à un programme de gestion des vulnérabilités, bien qu’elles ne remplacent pas l’analyse automatisée régulière. Les nouvelles vues incluent des catégories telles que « Introduites lors de la conception », « introduites lors de la mise en œuvre », plusieurs faiblesses spécifiques au langage de codage, mobiles et des moyens plus faciles d’examiner la liste complète des faiblesses. Prendre l’habitude de la révision de la sécurité et des pratiques de codage sécurisé est un moyen de « basculer à gauche » avec la sécurité et renforce d’autres pratiques telles que l’analyse de code statique avec l’automatisation.
La liste CWE utilise plusieurs mappages externes qui sont également organisés en vues de liste, ce qui est utile pour hiérarchiser ou examiner les faiblesses. Par exemple, le Top 25 CWE et le Top 10 OWASP sont des moyens rapides de prioriser les faiblesses à analyser et à traiter en premier. Le respect des normes de codage linguistique peut aider à s’assurer que les développeurs suivent des pratiques de codage sécurisées et fournissent une bonne vérification croisée. Les concepts architecturaux offrent un cadre général de développement sûr et un bon moyen d’élaborer une liste de contrôle des menaces et de la sécurité.
Réflexions finales
Construire une posture défensive solide comprend la résolution des faiblesses avant leur introduction en production, ainsi qu’une analyse régulière de l’exécution avec des outils tels que la plate-forme de gestion des vulnérabilités de Tripwire. Le CWE offre une ressource aux développeurs, aux concepteurs, aux analystes de sécurité et aux chercheurs pour trouver les faiblesses et développer des mesures d’atténuation avant que ces faiblesses ne soient exploitées. Contrairement à certaines ressources qui ont tendance à avoir des ingénieurs informatiques ou InfoSec comme public principal, le CWE place les développeurs, les concepteurs et les architectes au centre du processus de défense de l’entreprise.