覆蓋硬件設(shè)計(jì)!MITRE發(fā)布通用弱點(diǎn)枚舉CWE 4.0版本
責(zé)編:gltian |2020-03-16 13:50:49
MITER可能以其ATT&CK框架,對(duì)抗策略和技術(shù)的豐富來源以及緩解措施而聞名,而MITER也以另一種資源而聞名:通用弱點(diǎn)枚舉(CWE)。CWE是由網(wǎng)絡(luò)安全和基礎(chǔ)結(jié)構(gòu)安全局(CISA)發(fā)起的一項(xiàng)社區(qū)計(jì)劃。對(duì)該存儲(chǔ)庫做出貢獻(xiàn)的社區(qū)非常廣泛且多樣化。它包括大型公司、大學(xué)、個(gè)人研究人員和政府機(jī)構(gòu)。
CWE強(qiáng)調(diào),養(yǎng)成安全檢查和安全編碼實(shí)踐的習(xí)慣,不僅是“安全左移”的需要,同時(shí)也能加強(qiáng)其他安全實(shí)踐(例如通過自動(dòng)化進(jìn)行靜態(tài)代碼分析)。
與ATT&CK框架側(cè)重于“紅隊(duì)”攻防不同,CWE對(duì)于主動(dòng)管理風(fēng)險(xiǎn)非常有用。CWE枚舉了常見的安全弱點(diǎn),是漏洞管理的必備利器,并且可以有效地檢查企業(yè)內(nèi)部潛在的危害點(diǎn)。CWE允許用戶按軟件、硬件等分類來搜索弱點(diǎn)列表,方便風(fēng)險(xiǎn)分析師進(jìn)行詳細(xì)的深入分析。近日CWE更新到了4.0版本,我們一起來看下都有哪些值得關(guān)注的新功能。
4.0新增功能
4.0版本最值得注意的更新是增加了硬件安全缺陷、將漏洞分為有用類別的若干視圖以及搜索功能。硬件缺陷主要來自硬件設(shè)計(jì)上,因此,負(fù)責(zé)硬件開發(fā)的任何人員都可以在設(shè)計(jì)階段利用此列表進(jìn)行風(fēng)險(xiǎn)分析,或者通過使用列表設(shè)計(jì)測(cè)試來確定當(dāng)前硬件是否容易受到影響(如果尚未安裝自動(dòng)化系統(tǒng))。
新視圖是對(duì)威脅和風(fēng)險(xiǎn)分析的有益補(bǔ)充,并且可以替代漏洞管理程序,盡管它不能替代常規(guī)自動(dòng)掃描。新視圖包括“設(shè)計(jì)時(shí)介紹”,“實(shí)施時(shí)介紹”、幾種特定于編碼語言的弱點(diǎn)以及查看整個(gè)弱點(diǎn)列表的簡(jiǎn)便方法等。
CWE列表使用幾個(gè)外部映射,這些映射也被組織到列表視圖中,這有助于對(duì)弱點(diǎn)進(jìn)行優(yōu)先級(jí)排序或檢查。例如,CWE Top 25和OWASP Top 10是快速確定要首先分析和解決的弱點(diǎn)的優(yōu)先級(jí)。語言編碼標(biāo)準(zhǔn)可以幫助確保開發(fā)人員遵循安全的編碼慣例,并提供良好的交叉檢查。架構(gòu)概念提供了通用的安全開發(fā)框架,也是制定威脅和安全清單的好方法。
總結(jié)
CWE為開發(fā)人員、設(shè)計(jì)人員、安全分析人員和研究人員提供了重要資源,以發(fā)現(xiàn)漏洞并在漏洞被利用之前開發(fā)緩解措施。與某些主要面向IT或安全工程師為的資源不同,CWE在保護(hù)企業(yè)的過程中將開發(fā)人員,設(shè)計(jì)師和架構(gòu)師放在首位。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧