MITRE ha svolto un lavoro eccezionale nel promuovere la sicurezza informatica come bene pubblico ed è una risorsa eccellente per i professionisti della sicurezza. Forse meglio conosciuto per il loro framework ATT&CK, una ricca fonte di tattiche e tecniche contraddittorie e le loro mitigazioni, MITRE è anche noto per un’altra risorsa: la Common Weakness Enumeration (CWE). Il CWE è un’iniziativa comunitaria sponsorizzata dalla Cybersecurity and Infrastructure Security Agency (CISA). La comunità che contribuisce a questo repository è piuttosto ampia e diversificata. Comprende grandi aziende, università, singoli ricercatori e agenzie governative.
A differenza del framework CK ATT&, che si concentra sulla “squadra rossa” e su come difendersi da loro, il CWE è utile per la gestione proattiva del rischio. Poiché questo elenco brilla un riflettore sulle debolezze comuni, può essere uno strumento prezioso per un programma di gestione delle vulnerabilità e un utile controllo contro potenziali punti di compromesso all’interno di un’impresa. Il CWE consente all’utente di cercare l’elenco per debolezze software e hardware, nonché diversi altri raggruppamenti utili, consentendo un drill-down dettagliato e un’analisi per gli analisti del rischio.
Cosa c’è di nuovo in 4.0
Aggiornamenti notevoli nell’ultimo aggiornamento sono l’aggiunta di debolezze di sicurezza hardware, diverse viste che organizzano le debolezze in categorie utili, e una funzione di ricerca. I punti deboli dell’hardware si concentrano sulla progettazione dell’hardware, quindi chiunque sia responsabile della creazione dell’hardware può sfruttare questo elenco per l’analisi dei rischi nella fase di progettazione o determinare se l’hardware corrente è suscettibile utilizzando l’elenco per eseguire test di progettazione se un sistema automatizzato non è già in atto.
Le nuove visualizzazioni sono un’utile aggiunta all’analisi delle minacce e dei rischi e possono contribuire a un programma di gestione delle vulnerabilità, sebbene non sostituisca la normale scansione automatizzata. Le nuove viste includono categorie come” Introdotto durante la progettazione”,” introdotto durante l’implementazione”, diversi punti deboli specifici del linguaggio di codifica, modi mobili e più semplici per rivedere l’intero elenco di punti deboli. Costruire un’abitudine di revisione della sicurezza e pratiche di codifica sicura è un modo per “spostare a sinistra” con la sicurezza e rafforza altre pratiche come l’analisi del codice statico con l’automazione.
L’elenco CWE utilizza diversi mapping esterni che sono anche organizzati in viste elenco, il che è utile per dare priorità o rivedere i punti deboli. Ad esempio, CWE Top 25 e OWASP Top 10 sono modi rapidi per dare la priorità a quali punti deboli analizzare e affrontare prima. Seguire gli standard di codifica della lingua può aiutare a garantire che gli sviluppatori seguano pratiche di codifica sicure e forniscano un buon controllo incrociato. I concetti architettonici offrono un quadro generale di sviluppo sicuro e un buon modo per sviluppare una lista di controllo delle minacce e della sicurezza.
Considerazioni finali
Costruire una forte posizione difensiva include affrontare le debolezze prima che vengano introdotte in produzione insieme a regolari analisi di runtime con strumenti come la piattaforma di gestione delle vulnerabilità di Tripwire. Il CWE offre una risorsa per sviluppatori, progettisti, analisti della sicurezza e ricercatori per trovare punti deboli e sviluppare mitigazioni prima che tali punti deboli vengano sfruttati. A differenza di alcune risorse che tendono ad avere ingegneri IT o InfoSec come pubblico primario, il CWE pone sviluppatori, designer e architetti front-and-center nel processo di difesa dell’impresa.