MITRE heeft uitzonderlijk werk verricht in het bevorderen van cybersecurity als een publiek goed, en het is een uitstekende bron voor beveiligingsprofessionals. Mogelijk het best bekend om hun ATT&CK Framework, een rijke bron van vijandige tactieken en technieken en hun mitigaties, MITRE is ook bekend om een andere bron: de Common Weakness Enumeration (CWE). De CWE is een communautair initiatief gesponsord door de Cybersecurity and Infrastructure Security Agency (CISA). De gemeenschap die bijdraagt aan deze repository is vrij breed en divers. Het omvat grote bedrijven, universiteiten, individuele onderzoekers, en overheidsinstanties.
in tegenstelling tot het ATT&CK-framework, dat zich richt op het “rode team” en de manier waarop men zich daartegen kan verdedigen, is de CWE nuttig voor een proactief Risicobeheer. Aangezien deze lijst een schijnwerper op gemeenschappelijke zwakheden schijnt, kan het een waardevol hulpmiddel voor een kwetsbaarheidsbeheerprogramma en een nuttige controle tegen potentiële punten van compromis binnen een onderneming zijn. De CWE stelt een gebruiker in staat om de lijst te doorzoeken op software-en hardwarezwakten en op verschillende andere nuttige groepen, waardoor een gedetailleerde drill-down en analyse voor risico-analisten mogelijk is.
Wat is er nieuw in 4.0
opmerkelijke updates in de laatste update zijn de toevoeging van zwakke punten in de hardwarebeveiliging, verschillende weergaven die de zwakke punten in nuttige categorieën organiseren, en een zoekfunctie. De zwakke punten van de hardware richten zich op hardware-ontwerp, dus iedereen die verantwoordelijk is voor het maken van hardware kan deze lijst gebruiken voor risicoanalyse in de ontwerpfase of bepalen of de huidige hardware vatbaar is door de lijst te gebruiken voor ontwerptests als er nog geen geautomatiseerd systeem is.
de nieuwe weergaven zijn een nuttige aanvulling op dreigings-en risicoanalyse en kunnen bijdragen aan een kwetsbaarheidsbeheerprogramma, hoewel het geen vervanging is voor reguliere geautomatiseerde scanning. De nieuwe standpunten omvatten categorieën zoals “geïntroduceerd tijdens het ontwerp, “”geïntroduceerd tijdens de implementatie,” verschillende codering Taal-specifieke zwakke punten, mobiel, en eenvoudiger manieren om de volledige lijst van zwakke punten te herzien. Het opbouwen van een gewoonte van security review en veilige codering praktijken is een manier om “shift links” met de beveiliging en versterkt andere praktijken, zoals statische code analyse met automatisering.
de CWE-lijst maakt gebruik van verschillende externe mappings die ook zijn georganiseerd in lijstweergaven, wat handig is voor het prioriteren of beoordelen van zwakke punten. Bijvoorbeeld, de CWE Top 25 en OWASP Top 10 zijn snelle manieren om prioriteit te geven welke zwakke punten te analyseren en aan te pakken eerste. Het volgen van de taal codering normen kan helpen ervoor te zorgen dat ontwikkelaars volgen veilige codering praktijken en zorgen voor een goede cross-check. Architectonische concepten bieden een algemeen veilig ontwikkelingskader en een goede manier om een dreigings-en veiligheidscontrolelijst te ontwikkelen.
Final Thoughts
het opbouwen van een sterke defensieve houding omvat het aanpakken van zwakke punten voordat ze in productie worden genomen, samen met regelmatige runtime analyse met tools zoals Tripwire ‘ s vulnerability management platform. De CWE biedt ontwikkelaars, ontwerpers, beveiligingsanalisten en onderzoekers een bron om zwakke punten te vinden en mitigaties te ontwikkelen voordat die zwakke punten worden uitgebuit. In tegenstelling tot sommige bronnen die de neiging hebben om IT of InfoSec ingenieurs als een primaire doelgroep, de CWE plaatst ontwikkelaars, ontwerpers en architecten front-and-center in het proces van de verdediging van de onderneming.