MITRE ha estado haciendo un trabajo excepcional en el avance de la ciberseguridad como bien público, y es un excelente recurso para los profesionales de la seguridad. Posiblemente mejor conocido por su marco ATT&CK, una rica fuente de tácticas y técnicas de confrontación y sus mitigaciones, MITRE también es conocido por otro recurso: la Enumeración de Debilidades Comunes (CWE). La CWE es una iniciativa comunitaria patrocinada por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). La comunidad que contribuye a este repositorio es bastante amplia y diversa. Incluye grandes corporaciones, universidades, investigadores individuales y agencias gubernamentales.
A diferencia del framework CK de ATT&, que se centra en el «equipo rojo» y en cómo defenderse de ellos, el CWE es útil para gestionar el riesgo de forma proactiva. Dado que esta lista destaca las debilidades comunes, puede ser una herramienta valiosa para un programa de gestión de vulnerabilidades y una comprobación útil contra posibles puntos de compromiso dentro de una empresa. El CWE permite al usuario buscar en la lista por debilidades de software y hardware, así como varios otros grupos útiles, lo que permite un análisis detallado y detallado para los analistas de riesgos.
Novedades de la versión 4.0
Las actualizaciones más destacadas de la última actualización son la adición de debilidades de seguridad de hardware, varias vistas que organizan las debilidades en categorías útiles y una función de búsqueda. Las debilidades de hardware se centran en el diseño de hardware, por lo que cualquier persona responsable de crear hardware puede aprovechar esta lista para el análisis de riesgos en la fase de diseño o determinar si el hardware actual es susceptible mediante el uso de la lista para diseñar pruebas si un sistema automatizado no está ya en su lugar.
Las nuevas vistas son una adición útil al análisis de amenazas y riesgos y pueden contribuir a un programa de gestión de vulnerabilidades, aunque no reemplazan el análisis automatizado regular. Las nuevas vistas incluyen categorías como «Introducidas durante el diseño», «introducidas durante la implementación», varias debilidades específicas del lenguaje de codificación, móviles y formas más fáciles de revisar toda la lista de debilidades. Crear un hábito de revisión de seguridad y prácticas de codificación segura es una forma de» cambiar a la izquierda » con la seguridad y fortalece otras prácticas, como el análisis estático de código con automatización.
La lista CWE utiliza varias asignaciones externas que también están organizadas en vistas de lista, lo que es útil para priorizar o revisar debilidades. Por ejemplo, el Top 25 de CWE y el Top 10 de OWASP son formas rápidas de priorizar qué debilidades analizar y abordar primero. Seguir los estándares de codificación de idiomas puede ayudar a garantizar que los desarrolladores sigan prácticas de codificación seguras y proporcionar una buena verificación cruzada. Los conceptos arquitectónicos ofrecen un marco general de desarrollo seguro y una buena manera de desarrollar una lista de verificación de amenazas y seguridad.
Pensamientos finales
Construir una postura defensiva fuerte incluye abordar las debilidades antes de que se introduzcan en la producción junto con el análisis de tiempo de ejecución regular con herramientas como la plataforma de gestión de vulnerabilidades de Tripwire. El CWE ofrece un recurso para desarrolladores, diseñadores, analistas de seguridad e investigadores para encontrar debilidades y desarrollar mitigaciones antes de que esas debilidades sean explotadas. A diferencia de algunos recursos que tienden a tener a los ingenieros de TI o InfoSec como audiencia principal, CWE coloca a los desarrolladores, diseñadores y arquitectos en el centro del proceso de defensa de la empresa.