MITRE har gjort eksepsjonelt arbeid for å fremme cybersikkerhet som et offentlig gode, og DET er en utmerket ressurs for sikkerhetspersonell. MULIGENS best kjent FOR SIN ATT&CK Rammeverk, en rik kilde til motstandere taktikk og teknikker og deres begrensninger, MITRE er også kjent for en annen ressurs: The Common Weakness Enumeration (CWE). CWE er et fellesskapsinitiativ sponset Av Cybersecurity And Infrastructure Security Agency (CISA). Samfunnet som bidrar til dette depotet er ganske bredt og mangfoldig. Det inkluderer store selskaper, universiteter, individuelle forskere og myndigheter.
I Motsetning TIL att & CK rammeverk, som fokuserer på «red team» og hvordan å forsvare seg mot dem, ER CWE nyttig for pro-aktivt håndtere risiko. Siden denne listen setter søkelys på vanlige svakheter, kan den være et verdifullt verktøy for et sårbarhetsstyringsprogram og en nyttig kontroll mot potensielle kompromisspunkter i en bedrift. CWE tillater en bruker å søke i listen etter programvare og maskinvare svakheter samt flere andre nyttige grupperinger, slik at for detaljert drill-down og analyse for risiko analytikere.
Hva Er Nytt i 4.0
Bemerkelsesverdige oppdateringer i den siste oppdateringen er tillegg av maskinvaresikkerhetssvakheter, flere visninger som organiserer svakhetene i nyttige kategorier og en søkefunksjon. Maskinvarens svakheter fokuserer på maskinvaredesign, slik at alle som er ansvarlige for å lage maskinvare, kan utnytte denne listen for risikoanalyse i designfasen eller avgjøre om gjeldende maskinvare er mottakelig ved å bruke listen til å designe tester hvis et automatisert system ikke allerede er på plass.
de nye visningene er et nyttig tillegg til trussel – og risikoanalyse og kan bidra til et sårbarhetsstyringsprogram, selv om det ikke er noen erstatning for vanlig automatisert skanning. De nye visningene inkluderer kategorier som «Introdusert under design»,» introdusert under implementering», flere kodende språkspesifikke svakheter, mobil og enklere måter å gjennomgå hele svakhetslisten. Å bygge en vane med sikkerhetsvurdering og sikker kodingspraksis er en måte å «skifte til venstre» med sikkerhet og styrker andre praksiser som statisk kodeanalyse med automatisering.
CWE-listen bruker flere eksterne tilordninger som også er organisert i listevisninger, noe som er nyttig for å prioritere eller gjennomgå svakheter. FOR EKSEMPEL ER CWE Top 25 OG OWASP Top 10 raske måter å prioritere hvilke svakheter som skal analyseres og adresseres først. Å følge språkkodingsstandardene kan bidra til å sikre at utviklere følger sikker kodingspraksis og gir en god kryssjekk. Arkitektoniske konsepter tilbyr en generell sikker utvikling rammeverk og en god måte å utvikle en trussel og sikkerhet sjekkliste.
Final Thoughts
Å Bygge en sterk defensiv holdning inkluderer å adressere svakheter før de blir introdusert i produksjon sammen med vanlig kjøretidsanalyse med verktøy som Tripwires sårbarhetsstyringsplattform. CWE tilbyr en ressurs for utviklere, designere, sikkerhetsanalytikere og forskere for å finne svakheter og utvikle tiltak før disse svakhetene utnyttes. I motsetning til noen ressurser som har EN tendens TIL Å ha IT-eller InfoSec-ingeniører som et primært publikum, plasserer CWE utviklere, designere og arkitekter front-og-senter i ferd med å forsvare bedriften.