MITRE tem feito um trabalho excepcional no avanço da cibersegurança como um bem público, e é um excelente recurso para profissionais de segurança. Possivelmente mais conhecido por seu Framework ATT&CK, uma rica fonte de táticas e técnicas adversárias e suas mitigações, MITRE também é conhecido por outro recurso: a enumeração de fraqueza comum (CWE). A CWE é uma iniciativa comunitária patrocinada pela Agência de segurança da cibersegurança e infraestrutura (CISA). A comunidade que contribui para este repositório é bastante ampla e diversificada. Inclui grandes corporações, universidades, pesquisadores individuais e agências governamentais.
ao contrário do framework ATT&CK, que se concentra na” equipe vermelha ” e como se defender contra eles, a CWE é útil para a gestão pró-ativa do risco. Uma vez que esta lista destaca pontos fracos comuns, pode ser uma ferramenta valiosa para um programa de gerenciamento de vulnerabilidades e uma verificação útil contra pontos potenciais de compromisso dentro de uma empresa. O CWE permite que um usuário procure na lista por falhas de software e hardware, bem como vários outros agrupamentos úteis, permitindo uma análise detalhada e detalhada para analistas de risco.
What’s New in 4.0
notable updates in the latest update are the addition of hardware security weaknesses, several views organizing the weaknesses into useful categories, and a search function. As deficiências de hardware focam no design de hardware, então qualquer um responsável pela criação de hardware pode alavancar esta lista para análise de risco na fase de projeto ou determinar se o hardware atual é suscetível usando a lista para projetar testes se um sistema automatizado não está já no lugar.
as novas vistas são uma adição útil à análise de ameaças e riscos e podem contribuir para um programa de gerenciamento de vulnerabilidade, embora não seja um substituto para a digitalização automatizada regular. Os novos pontos de vista incluem categorias como “introduzido durante o design”, “introduzido durante a implementação”, várias deficiências específicas da linguagem de codificação, móveis e formas mais fáceis de rever toda a lista de pontos fracos. Construir um hábito de revisão de segurança e práticas de codificação seguras é uma maneira de “mudar para a esquerda” com segurança e fortalece outras práticas, como a análise de código estático com automação.
a lista CWE utiliza vários mapeamentos externos que também são organizados em pontos de vista de lista, o que é útil para priorizar ou rever pontos fracos. Por exemplo, o Top 25 da CWE e o Top 10 da OWASP são formas rápidas de priorizar quais fraquezas para analisar e abordar primeiro. Seguir os padrões de codificação de linguagem pode ajudar a garantir que os desenvolvedores estão seguindo práticas de codificação seguras e fornecer um bom cruzamento de dados. Os conceitos arquitetônicos oferecem um quadro geral de desenvolvimento seguro e uma boa maneira de desenvolver uma lista de ameaça e segurança.
Pensamentos finais
construir uma forte postura defensiva inclui abordar as fraquezas antes de serem introduzidas na produção, juntamente com a análise de tempo de execução regular com ferramentas como a plataforma de gerenciamento de vulnerabilidade do Tripwire. A CWE oferece um recurso para desenvolvedores, designers, analistas de segurança e pesquisadores para encontrar fraquezas e desenvolver atenuações antes que essas fraquezas sejam exploradas. Ao contrário de alguns recursos que tendem a tê-lo ou engenheiros InfoSec como um público primário, a CWE coloca desenvolvedores, designers e arquitetos frente e centro no processo de defender a empresa.