MITRE wykonuje wyjątkową pracę w promowaniu cyberbezpieczeństwa jako dobra publicznego i jest doskonałym źródłem informacji dla specjalistów ds. bezpieczeństwa. Prawdopodobnie najbardziej znany z att&CK Framework, bogatego źródła taktyk i technik kontradyktoryjnych oraz ich łagodzenia, MITRE jest również znany z innego źródła: Common Weakness Enumeration (CWE). CWE jest inicjatywą wspólnotową sponsorowaną przez agencję bezpieczeństwa cybernetycznego i infrastruktury (Cisa). Społeczność wnosząca wkład do tego repozytorium jest dość szeroka i zróżnicowana. Obejmuje duże korporacje, uniwersytety, indywidualnych naukowców i agencje rządowe.
w przeciwieństwie do att&CK framework, który koncentruje się na „czerwonym zespole” i sposobach obrony przed nimi, CWE jest przydatny do proaktywnego zarządzania ryzykiem. Ponieważ lista ta skupia się na typowych słabościach, może być cennym narzędziem dla programu zarządzania lukami w zabezpieczeniach i użytecznym sprawdzeniem potencjalnych punktów kompromisu w przedsiębiorstwie. CWE pozwala użytkownikowi na przeszukiwanie listy według słabych stron oprogramowania i sprzętu, a także kilku innych przydatnych grup, umożliwiając szczegółową analizę i analizę dla analityków ryzyka.
Co nowego w 4.0
godnymi uwagi aktualizacjami w najnowszej aktualizacji są dodanie słabych stron zabezpieczeń sprzętowych, kilka widoków porządkujących słabe strony w PRZYDATNE KATEGORIE i funkcja wyszukiwania. Słabości sprzętu koncentrują się na projektowaniu sprzętu, więc każdy odpowiedzialny za tworzenie sprzętu może wykorzystać tę listę do analizy ryzyka w fazie projektowania lub określić, czy obecny sprzęt jest podatny, korzystając z listy do testów projektowych, jeśli zautomatyzowany system nie jest jeszcze na miejscu.
nowe widoki są pomocnym dodatkiem do analizy zagrożeń i ryzyka i mogą przyczynić się do programu zarządzania lukami w zabezpieczeniach, choć nie zastępuje zwykłego automatycznego skanowania. Nowe poglądy obejmują kategorie, takie jak” wprowadzone podczas projektowania”,” wprowadzone podczas implementacji”, kilka słabości specyficznych dla języka kodowania, urządzenia mobilne i łatwiejsze sposoby przeglądu całej listy słabości. Budowanie nawyku przeglądu zabezpieczeń i bezpiecznych praktyk kodowania jest jednym ze sposobów na „przesunięcie w lewo” z bezpieczeństwem i wzmocnienie innych praktyk, takich jak statyczna analiza kodu za pomocą automatyzacji.
lista CWE wykorzystuje kilka zewnętrznych mapowań, które są również zorganizowane w widoki listy, co jest pomocne przy ustalaniu priorytetów lub przeglądaniu słabych stron. Na przykład CWE Top 25 i OWASP Top 10 to szybkie sposoby na ustalenie priorytetów, które słabości należy najpierw przeanalizować i rozwiązać. Przestrzeganie standardów kodowania językowego może pomóc w zapewnieniu, że programiści przestrzegają bezpiecznych praktyk kodowania i zapewniają dobrą kontrolę krzyżową. Koncepcje architektoniczne oferują ogólne ramy bezpiecznego rozwoju i dobry sposób na opracowanie listy kontrolnej zagrożeń i bezpieczeństwa.
myśli końcowe
budowanie silnej postawy obronnej obejmuje rozwiązywanie słabych punktów przed ich wprowadzeniem do produkcji wraz z regularną analizą czasu pracy za pomocą narzędzi, takich jak Platforma zarządzania lukami w zabezpieczeniach Tripwire. CWE oferuje zasoby dla programistów, projektantów, analityków bezpieczeństwa i badaczy, aby znaleźć słabości i opracować środki łagodzące, zanim te słabości zostaną wykorzystane. W przeciwieństwie do niektórych zasobów, które zwykle mają IT lub inżynierów InfoSec jako główną publiczność, CWE umieszcza programistów, projektantów i architektów na pierwszym miejscu w procesie obrony przedsiębiorstwa.