の更新をリリースしましたMITREは、公共財としてのサイバーセキュリティの進歩に優れた仕事をしており、セキュリテ 彼らのATT&CKフレームワーク、敵対的な戦術と技術とその緩和策の豊富なソースで最もよく知られているMITREは、別のリソースでも知られています:Common Weakness Enumeration(CWE)。 CWEは、Cybersecurity And Infrastructure Security Agency(CISA)が主催するコミュニティイニシアチブです。 このリポジトリに貢献するコミュニティは非常に広く多様です。 これには、大企業、大学、個々の研究者、および政府機関が含まれています。
“レッドチーム”とそれに対する防御方法に焦点を当てたATT&CKフレームワークとは異なり、CWEは積極的にリスクを管理するのに役立ちます。 このリストは一般的な弱点に焦点を当てているため、脆弱性管理プログラムにとって貴重なツールであり、企業内の潜在的な妥協点に対する有用なチ CWEは、ユーザーがリスクアナリストのための詳細なドリルダウンと分析を可能にする、ソフトウェアとハードウェアの弱点だけでなく、他のいくつかの有用
4.0の新機能
最新のアップデートで注目すべきアップデートは、ハードウェアのセキュリティの弱点、有用なカテゴリに弱点を整理するいくつかのビュー、お ハードウェアの弱点はハードウェア設計に焦点を当てているため、ハードウェアを作成する責任者は、このリストを設計段階でのリスク分析に活用したり、自動化されたシステムがまだ設置されていない場合にテストを設計するためにリストを使用して現在のハードウェアが影響を受けやすいかどうかを判断することができます。
新しいビューは、脅威とリスクの分析に役立ち、脆弱性管理プログラムに貢献することができますが、通常の自動スキャンに代わるものではありません。 新しいビューには、”設計中に導入された”、”実装中に導入された”、いくつかのコーディング言語固有の弱点、モバイル、および弱点リスト全体を確認する簡単な方 セキュリティレビューと安全なコーディング慣行の習慣を構築することは、セキュリティで”左にシフト”する一つの方法であり、自動化による静的コード分析などの他のプラクティスを強化します。
CWEリストでは、いくつかの外部マッピングがリストビューに編成されているため、弱点の優先順位付けやレビューに役立ちます。 たとえば、CWE Top25とOWASP Top10は、どの弱点を分析して最初に対処するかを優先順位付けするための簡単な方法です。 言語コーディング標準に従うことは、開発者が安全なコーディング慣行に従っていることを確認し、適切なクロスチェックを提供するのに役立ちます。 アーキテクチャの概念は、一般的な安全な開発フレームワークと、脅威とセキュリティチェックリストを開発するための良い方法を提供します。
最終的な考え
強力な防御姿勢を構築するには、弱点が本番環境に導入される前に対処することと、Tripwireの脆弱性管理プラットフォームなどのツールを使 CWEは、開発者、設計者、セキュリティアナリスト、および研究者が弱点を発見し、それらの弱点が悪用される前に緩和策を開発するためのリソースを提供 ITやInfoSecエンジニアを主な対象とする傾向のあるリソースとは異なり、CWEは開発者、設計者、アーキテクトを企業を守るプロセスの最前線に配置します。