MITRE kivételes munkát végzett a kiberbiztonság mint közjó előmozdításában, és kiváló forrás a biztonsági szakemberek számára. Talán legismertebb az ATT&CK keretrendszer, gazdag forrása a kontradiktórius taktika és technikák és azok enyhítése, MITRE is ismert egy másik forrás: a közös gyengeség Enumeration (CWE). A CWE egy közösségi kezdeményezés, amelyet a Cybersecurity and Infrastructure Security Agency (CISA) támogat. Az adattárhoz hozzájáruló közösség meglehetősen széles és változatos. Magában foglalja a nagyvállalatokat, egyetemeket, egyéni kutatókat és kormányzati szerveket.
ellentétben az ATT& CK keretrendszerrel, amely a “vörös csapatra” és az ellenük való védekezésre összpontosít, a CWE hasznos a kockázat proaktív kezelésében. Mivel ez a lista rávilágít a közös gyengeségekre, értékes eszköz lehet a sebezhetőség-kezelő program számára, és hasznos ellenőrzés lehet a vállalkozáson belüli potenciális kompromisszumpontok ellen. A CWE lehetővé teszi a felhasználó számára, hogy Szoftver-és hardvergyengeségek, valamint számos más hasznos csoportosítás alapján keressen a listán, lehetővé téve a részletes lebontást és elemzést a kockázatelemzők számára.
Újdonságok a 4.0-ban
a legújabb frissítés figyelemre méltó frissítései a hardver biztonsági gyengeségeinek hozzáadása, a hiányosságok hasznos kategóriákba rendezése, valamint egy keresési funkció. A hardver gyengeségei a hardver tervezésére összpontosítanak, így bárki, aki a hardver létrehozásáért felelős, kihasználhatja ezt a listát a kockázatelemzéshez a tervezési szakaszban, vagy meghatározhatja, hogy a jelenlegi hardver érzékeny-e a lista használatával a tervezési tesztekhez, ha egy automatizált rendszer még nincs a helyén.
az új nézetek hasznos kiegészítői a veszély-és kockázatelemzésnek, és hozzájárulhatnak a sérülékenységkezelő programhoz, bár nem helyettesítik a rendszeres automatizált szkennelést. Az új nézetek olyan kategóriákat tartalmaznak, mint a “bevezetés a tervezés során”, “bevezetés a megvalósítás során”, számos kódolási nyelv-specifikus gyengeség, mobil, valamint a teljes gyengeséglista áttekintésének egyszerűbb módjai. A biztonsági felülvizsgálat és a biztonságos kódolási gyakorlatok szokásának kiépítése az egyik módja annak, hogy “balra tolódjon” a biztonsággal, és megerősíti az egyéb gyakorlatokat, például a statikus kódelemzést az automatizálással.
a CWE lista számos külső leképezést használ, amelyek szintén listanézetekbe vannak rendezve, ami hasznos a hiányosságok rangsorolásához vagy áttekintéséhez. Például a CWE Top 25 és az OWASP Top 10 gyors módja annak, hogy rangsorolja azokat a gyengeségeket, amelyeket először elemezni és kezelni kell. A nyelvi kódolási szabványok betartása segíthet abban, hogy a fejlesztők biztonságos kódolási gyakorlatokat kövessenek, és jó keresztellenőrzést biztosítsanak. Az építészeti koncepciók általános biztonságos fejlesztési keretet és jó módot kínálnak a fenyegetési és biztonsági ellenőrzőlista kidolgozására.
záró gondolatok
az erős védekező testtartás kialakítása magában foglalja a gyengeségek kezelését, mielőtt azokat bevezetnék a gyártásba, valamint a rendszeres futásidejű elemzést olyan eszközökkel, mint például a Tripwire sebezhetőség-kezelő platformja. A CWE erőforrást kínál a fejlesztőknek, a tervezőknek, a biztonsági elemzőknek és a kutatóknak, hogy megtalálják a gyengeségeket és enyhítéseket dolgozzanak ki, mielőtt ezeket a gyengeségeket kihasználnák. Ellentétben néhány erőforrással, amelyek általában az IT vagy az InfoSec mérnökei elsődleges közönségnek számítanak, a CWE a fejlesztőket, a tervezőket és az építészeket helyezi előtérbe a vállalkozás védelmének folyamatában.