MITRE a făcut o muncă excepțională în avansarea securității cibernetice ca bun public și este o resursă excelentă pentru profesioniștii din domeniul securității. Posibil cel mai bine cunoscut pentru cadrul lor ATT&CK, o sursă bogată de tactici și tehnici contradictorii și atenuările lor, MITRE este, de asemenea, cunoscut pentru o altă resursă: enumerarea comună a slăbiciunii (CWE). CWE este o inițiativă comunitară sponsorizată de Agenția de securitate cibernetică și infrastructură (CISA). Comunitatea care contribuie la acest depozit este destul de largă și diversă. Acesta include corporații mari, universități, cercetători individuali și agenții guvernamentale.
spre deosebire de Cadrul ATT& CK, care se concentrează pe „echipa roșie” și cum să se apere împotriva lor, CWE este util pentru gestionarea proactivă a riscurilor. Deoarece această listă evidențiază punctele slabe comune, poate fi un instrument valoros pentru un program de gestionare a vulnerabilităților și o verificare utilă împotriva potențialelor puncte de compromis din cadrul unei întreprinderi. CWE permite unui utilizator să caute în listă după punctele slabe ale software-ului și hardware-ului, precum și alte câteva grupări utile, permițând detalierea detaliată și analiza analiștilor de risc.
noutăți în 4.0
actualizările notabile din ultima actualizare sunt adăugarea de puncte slabe de securitate hardware, mai multe vizualizări care organizează punctele slabe în categorii utile și o funcție de căutare. Punctele slabe ale hardware-ului se concentrează pe proiectarea hardware-ului, astfel încât oricine este responsabil pentru crearea hardware-ului poate utiliza această listă pentru analiza riscurilor în faza de proiectare sau poate determina dacă hardware-ul curent este susceptibil utilizând lista pentru a proiecta teste dacă un sistem automat nu este deja în vigoare.
noile vizualizări sunt un plus util pentru analiza amenințărilor și a riscurilor și pot contribui la un program de gestionare a vulnerabilităților, deși nu înlocuiește scanarea automată regulată. Noile vizualizări includ categorii precum „introdus în timpul proiectării”, „introdus în timpul implementării”, mai multe puncte slabe specifice limbajului de codificare, dispozitive mobile și modalități mai ușoare de a revizui întreaga listă de puncte slabe. Construirea unui obicei de revizuire a securității și practici de codificare securizată este o modalitate de a „schimba stânga” cu securitatea și întărește alte practici, cum ar fi analiza statică a Codului cu automatizarea.
lista CWE utilizează mai multe mapări externe care sunt, de asemenea, organizate în vizualizări de listă, ceea ce este util pentru prioritizarea sau revizuirea punctelor slabe. De exemplu, CWE Top 25 și OWASP Top 10 sunt modalități rapide de a acorda prioritate punctelor slabe care trebuie analizate și abordate mai întâi. Respectarea standardelor de codificare lingvistică poate contribui la asigurarea faptului că dezvoltatorii respectă practici de codificare sigure și oferă o bună verificare încrucișată. Conceptele arhitecturale oferă un cadru general de dezvoltare sigură și o modalitate bună de a dezvolta o listă de verificare a amenințărilor și securității.
Gânduri finale
construirea unei poziții defensive puternice include abordarea punctelor slabe înainte de a fi introduse în producție, împreună cu analiza regulată a timpului de rulare cu instrumente precum platforma de gestionare a vulnerabilității Tripwire. CWE oferă o resursă pentru dezvoltatori, designeri, analiști de securitate și cercetători pentru a găsi puncte slabe și a dezvolta atenuări înainte ca aceste puncte slabe să fie exploatate. Spre deosebire de unele resurse care tind să aibă Ingineri IT sau InfoSec ca public primar, CWE plasează dezvoltatorii, designerii și arhitecții în față și în centru în procesul de apărare a întreprinderii.