MITER可能以其ATT&CK框架,对抗策略和技术的丰富来源以及缓解措施而闻名,而MITER也以另一种资源而闻名:通用弱点枚举(CWE)。CWE是由网络安全和基础结构安全局(CISA)发起的一项社区计划。对该存储库做出贡献的社区非常广泛且多样化。它包括大型公司、大学、个人研究人员和政府机构。
CWE强调,养成安全检查和安全编码实践的习惯,不仅是“安全左移”的需要,同时也能加强其他安全实践(例如通过自动化进行静态代码分析)。
与ATT&CK框架侧重于“红队”攻防不同,CWE对于主动管理风险非常有用。CWE枚举了常见的安全弱点,是漏洞管理的必备利器,并且可以有效地检查企业内部潜在的危害点。CWE允许用户按软件、硬件等分类来搜索弱点列表,方便风险分析师进行详细的深入分析。近日CWE更新到了4.0版本,我们一起来看下都有哪些值得关注的新功能。
4.0新增功能
4.0版本最值得注意的更新是增加了硬件安全缺陷、将漏洞分为有用类别的若干视图以及搜索功能。硬件缺陷主要来自硬件设计上,因此,负责硬件开发的任何人员都可以在设计阶段利用此列表进行风险分析,或者通过使用列表设计测试来确定当前硬件是否容易受到影响(如果尚未安装自动化系统)。
新视图是对威胁和风险分析的有益补充,并且可以替代漏洞管理程序,尽管它不能替代常规自动扫描。新视图包括“设计时介绍”,“实施时介绍”、几种特定于编码语言的弱点以及查看整个弱点列表的简便方法等。
CWE列表使用几个外部映射,这些映射也被组织到列表视图中,这有助于对弱点进行优先级排序或检查。例如,CWE Top 25和OWASP Top 10是快速确定要首先分析和解决的弱点的优先级。语言编码标准可以帮助确保开发人员遵循安全的编码惯例,并提供良好的交叉检查。架构概念提供了通用的安全开发框架,也是制定威胁和安全清单的好方法。
总结
CWE为开发人员、设计人员、安全分析人员和研究人员提供了重要资源,以发现漏洞并在漏洞被利用之前开发缓解措施。与某些主要面向IT或安全工程师为的资源不同,CWE在保护企业的过程中将开发人员,设计师和架构师放在首位。