覆蓋硬件設計!MITRE發布通用弱點枚舉CWE 4.0版本
作者:星期五, 三月 13, 20200

MITER可能以其ATT&CK框架,對抗策略和技術的豐富來源以及緩解措施而聞名,而MITER也以另一種資源而聞名:通用弱點枚舉(CWE)。CWE是由網絡安全和基礎結構安全局(CISA)發起的一項社區計劃。對該存儲庫做出貢獻的社區非常廣泛且多樣化。它包括大型公司、大學、個人研究人員和政府機構。

CWE強調,養成安全檢查和安全編碼實踐的習慣,不僅是“安全左移”的需要,同時也能加強其他安全實踐(例如通過自動化進行靜態代碼分析)。

與ATT&CK框架側重于“紅隊”攻防不同,CWE對于主動管理風險非常有用。CWE枚舉了常見的安全弱點,是漏洞管理的必備利器,并且可以有效地檢查企業內部潛在的危害點。CWE允許用戶按軟件、硬件等分類來搜索弱點列表,方便風險分析師進行詳細的深入分析。近日CWE更新到了4.0版本,我們一起來看下都有哪些值得關注的新功能。

4.0新增功能

4.0版本最值得注意的更新是增加了硬件安全缺陷、將漏洞分為有用類別的若干視圖以及搜索功能。硬件缺陷主要來自硬件設計上,因此,負責硬件開發的任何人員都可以在設計階段利用此列表進行風險分析,或者通過使用列表設計測試來確定當前硬件是否容易受到影響(如果尚未安裝自動化系統)。

新視圖是對威脅和風險分析的有益補充,并且可以替代漏洞管理程序,盡管它不能替代常規自動掃描。新視圖包括“設計時介紹”,“實施時介紹”、幾種特定于編碼語言的弱點以及查看整個弱點列表的簡便方法等。

CWE列表使用幾個外部映射,這些映射也被組織到列表視圖中,這有助于對弱點進行優先級排序或檢查。例如,CWE Top 25和OWASP Top 10是快速確定要首先分析和解決的弱點的優先級。語言編碼標準可以幫助確保開發人員遵循安全的編碼慣例,并提供良好的交叉檢查。架構概念提供了通用的安全開發框架,也是制定威脅和安全清單的好方法。

總結

CWE為開發人員、設計人員、安全分析人員和研究人員提供了重要資源,以發現漏洞并在漏洞被利用之前開發緩解措施。與某些主要面向IT或安全工程師為的資源不同,CWE在保護企業的過程中將開發人員,設計師和架構師放在首位。

相關閱讀

31個硬件/固件漏洞威脅指南

 

關鍵詞:

相關文章

寫一條評論

 

 

0條評論