MITRE har gjort exceptionellt arbete för att främja cybersäkerhet som ett allmänt gott, och det är en utmärkt resurs för säkerhetspersonal. Möjligen mest känd för sin att&CK Framework, en rik källa till kontradiktoriska taktik och tekniker och deras mildringar, MITRE är också känd för en annan resurs: Common Weakness Enumeration (CWE). CWE är ett gemenskapsinitiativ som sponsras av Cybersecurity and Infrastructure Security Agency (CISA). Gemenskapen som bidrar till detta arkiv är ganska bred och mångsidig. Det inkluderar stora företag, universitet, enskilda forskare och myndigheter.
till skillnad från att&CK-ramverket, som fokuserar på det ”röda laget” och hur man försvarar dem, är CWE användbart för att aktivt hantera risker. Eftersom denna lista lyser en strålkastare på vanliga svagheter kan det vara ett värdefullt verktyg för ett sårbarhetshanteringsprogram och en användbar kontroll mot potentiella kompromisspunkter inom ett företag. CWE tillåter en användare att söka i listan efter mjukvaru-och hårdvarusvagheter samt flera andra användbara grupperingar, vilket möjliggör detaljerad fördjupning och analys för Riskanalytiker.
Vad är nytt i 4.0
anmärkningsvärda uppdateringar i den senaste uppdateringen är tillägget av hårdvarusäkerhetssvagheter, flera vyer som organiserar svagheterna i användbara kategorier och en sökfunktion. Hårdvarans svagheter fokuserar på hårdvarudesign, så alla som är ansvariga för att skapa hårdvara kan utnyttja denna lista för riskanalys i designfasen eller avgöra om aktuell hårdvara är mottaglig genom att använda listan för att designa tester om ett automatiserat system inte redan finns på plats.
de nya vyerna är ett användbart tillägg till hot-och riskanalys och kan bidra till ett sårbarhetshanteringsprogram, men det är ingen ersättning för regelbunden automatiserad skanning. De nya vyerna inkluderar kategorier som” introducerad under design”,” introducerad under implementering”, flera kodningsspråkspecifika svagheter, mobil och enklare sätt att granska hela svaghetslistan. Att bygga en vana med säkerhetsgranskning och säkra kodningsmetoder är ett sätt att ”flytta vänster” med säkerhet och stärker andra metoder som statisk kodanalys med automatisering.
CWE-listan använder flera externa mappningar som också är organiserade i listvyer, vilket är användbart för att prioritera eller granska svagheter. Till exempel är CWE Top 25 och OWASP Top 10 Snabba sätt att prioritera vilka svagheter som ska analyseras och adresseras först. Att följa språkkodningsstandarderna kan hjälpa till att säkerställa att utvecklare följer säkra kodningsmetoder och ger en bra dubbelkontroll. Arkitektoniska koncept erbjuder en allmän säker utvecklingsram och ett bra sätt att utveckla en hot-och säkerhetschecklista.
slutliga tankar
att bygga en stark defensiv hållning inkluderar att ta itu med svagheter innan de introduceras i produktion tillsammans med regelbunden runtime-analys med verktyg som tripwires sårbarhetshanteringsplattform. CWE erbjuder en resurs för utvecklare, designers, säkerhetsanalytiker och forskare för att hitta svagheter och utveckla mildringar innan dessa svagheter utnyttjas. Till skillnad från vissa resurser som tenderar att ha IT-eller InfoSec-ingenjörer som en primär publik, placerar CWE utvecklare, designers och arkitekter front-and-center i processen att försvara företaget.