Seien Sie am 30. April dabei: Vorstellung von Parasoft C/C++test CT für kontinuierliche Tests und Compliance-Exzellenz | Registrierung
Zum Abschnitt springen
Alles über CWE: Aufzählung allgemeiner Schwächen
12. August 2021
5 min lesen
Oberflächlich betrachtet beschäftigt sich Common Weakness Enumeration (CWE) mit Schwachstellenkategorien in Software und Hardware. Sehen Sie sich diesen Beitrag an, um ein umfassendes Verständnis von Schwachstellen aus der CWE-Perspektive zu erhalten, einschließlich der Bewertung gängiger Schwachstellen und wie Schwachstellen gemessen werden.
Zum Abschnitt springen
Zum Abschnitt springen
Bei der Cybersicherheit dreht sich alles um Minderung und Prävention CWE oder allgemeine Schwachstellenaufzählung. Die Mitre Corporation unterhält das CWE-Kategoriesystem, das die verschiedenen Schwachstellen katalogisiert.
Es arbeitet mit der US National Vulnerability Database (NVD) zusammen – der Sammlung von Daten zum Schwachstellenmanagement basierend auf Standards, die von der Bundesregierung betrieben werden. Das NIST oder National Institute of Standards and Technology beaufsichtigt die NVD. OWASP, das gemeinnützige und Open Source Open Web Application Security Project®, arbeitet ebenfalls eifrig daran, die Sicherheit von Web-Informationen zu stärken.
In diesem Blog besprechen wir alles, was Sie wissen müssen, um Softwareschwächen und allgemeine Cybersicherheit in der Softwareentwicklung zu verstehen. Darüber hinaus wird erläutert, wie man sie am besten verwendet. Wie bei allem müssen wir mit den Grundlagen beginnen und von dort aus detaillierter werden. Dieser Blog behandelt:
- Was ist CWE in Sachen Sicherheit?
- Was ist CWE-Software?
- Wie viele CWE gibt es?
- Welche Bedingungen machen Sie angreifbar?
- Was sind Beispiele für Schwachstellen?
- Wie messen wir Verwundbarkeit?
- Was ist ein allgemeines Schwächenaufzählungs-Scoring?
- Was ist CWE oder CVE?
Was ist CWE?
Es gibt viele Akronyme in jeder Branche, aber CWE ist ein großes Unternehmen für Softwaresicherheit. Statische Analyse- und Sicherheitstools müssen durch das Wissen unterstützt werden, wonach zu suchen ist und wie man sich dem idealen Risikoniveau für Ihr Projekt annähert.
CWE ist bestrebt, das Schwachstellenmanagement schlanker und zugänglicher zu machen. Der von der Community entwickelte Katalog weist Hardware- und Software-Schwächen auf und wird als „eine gemeinsame Sprache, ein Maßstab für Sicherheitstools und eine Grundlage für die Identifizierung von Schwachstellen, Minderung und Präventionsmaßnahmen“ beschrieben.
Wem gehört CWE?
Wie bereits erwähnt, besitzt und unterhält die Mitre Corporation die CWE. Sie verwalten auch FFRDCs oder staatlich finanzierte Forschungs- und Entwicklungszentren für das US-Heimatschutzministerium sowie Behörden in den Bereichen Gesundheitswesen, Luftfahrt, Verteidigung und natürlich Cybersicherheit.
Die CWE-Liste stellt gängige Schwachstellen und Offenlegungen zusammen, die Programmierern und Softwareentwicklern dabei helfen können, die Informationssicherheit aufrechtzuerhalten. Schließlich ist die Einhaltung von Sicherheitsrichtlinien während des gesamten Entwicklungslebenszyklus viel einfacher zu verwalten als Strategien nach einem Verstoß.
Wie viele CWEs gibt es?
Es gibt nur einen CWE, der von der Mitre Corporation verwaltet wird. Diese Liste enthält jedoch mehr als 600 Kategorien. Die neueste Version (3.2) wurde im Januar 2019 veröffentlicht.
Was ist CWE-Software?
Die Kategorien für CWE reichen von allem wie SEI CERT Oracle Coding Standard for Java bis hin zu Schwächen ohne Softwarefehlermuster. Zum Glück haben die Taxonomie, Organisation und Zugänglichkeit der Kategorien einen sehr hohen Stellenwert.
Der Katalog verwendet ein nummeriertes System unter den drei Hauptbereichen der Anfälligkeit:
| Anzeigen | Funktion |
|---|---|
| Software-Entwicklung | Konzepte werden nach Häufigkeit der Begegnung oder Verwendung in der Quellcodeentwicklung gruppiert. |
| Hardware-Design | Häufig gesehene oder verwendete Schwächen im Hardwaredesign werden zusammengefasst. |
| Forschungskonzepte | Um die Erforschung häufiger Probleme zu erleichtern, werden die Items nach ihrem Verhalten gruppiert. |
Zum Beispiel CWE-89 befasst sich mit dem Auftreten von SQL-Injection-Fehlern, enthält aber auch Links zu hilfreichen CWE-Abschnitten, um Sicherheitslücken weiter abzuschwächen.
CWE vs. CVE
CVE ist ein Akronym für Common Vulnerabilities and Exposures. Kurz gesagt: Der Unterschied zwischen CVE und CWE besteht darin, dass einer die Symptome behandelt, während der andere eine Ursache behandelt. Wenn die CWE Arten von Software-Schwachstellen kategorisiert, ist die CVE einfach eine Liste der derzeit bekannten Probleme in Bezug auf bestimmte Systeme und Produkte.
US-CERT sponsert das Projekt, wobei Mitre es auch beaufsichtigt. Die Aufrechterhaltung der Sicherheitskontrolle für Software Assurance kann CVE nutzen, ist jedoch nicht so integral wie CWE. Es ist jedoch problemlos CWE-kompatibel – eine Funktionalität, die von Mitre gewährleistet wird.
Welche Bedingungen machen Sie verwundbar?
Das Identifizieren der gefährlichsten Sicherheitsschwachstellen ist genau das Richtige für CWE. Die Kategorien können Ihnen dabei helfen, genau zu identifizieren, was Ihre Systeme gefährdet, und es zu beheben. Welche Bedingungen Sie am anfälligsten machen, bezieht sich oft auf die häufigsten.
Was ist die häufigste Sicherheitslücke?
Die Bestimmung der allgemein häufigsten Software-Schwachstelle hängt von vielen Variablen ab. Schließlich sind die Herausforderungen für die Sicherheit von Webanwendungen nicht dieselben wie bei Offline-Programmen. Aber egal, ob es sich um eine SQL-Befehlsinjektion, ein PHP-Problem, einen Speicherpuffer oder sogar um spezielle Elemente handelt, das CWE kann in 99% der Fälle helfen.
Häufige CWE-Kategorien und Sicherheitslücken sind:
- Cross-Site-Skripting
- Puffer läuft über
- Hartcodierte Passwörter
- Verzeichnisbaum-/Pfad-Traversal-Fehler
- Race Bedingung
- Unterbrochene Authentifizierung
- Einspritzfehler
- Defekte Zugangskontrolle
- Externe XML-Entitäten
- Unsichere Deserialisierung
Eingebettete vs. Unternehmen CWE
Zu wissen, welche Arten von Anwendungssicherheit Sie benötigen, ist für jedes Projekt von entscheidender Bedeutung. Der Umfang des Projekts bestimmt Ihre Schwachstellen. Verwenden Sie beispielsweise Cloud-Sicherheit? Das bedeutet, dass Sie sich auf die Verhinderung von Datenverlust und die Anwendungssicherheit konzentrieren können.
Aber zu wissen, ob ein System ein Unternehmen oder ein Eingebettetes System spielt auch eine große Rolle.
Unternehmenssystem
Die Kommunikation erfolgt über das Internet, was viele Schwachstellen und Risiken mit sich bringt – insbesondere im Vergleich zu eingebetteten Systemen. Die Netzwerksicherheit ist nicht so einfach zu gewährleisten, daher ist das Schwachstellenmanagement der Schlüssel.
Eingebettetes System
Diese Programme sind oft in C oder C++ geschrieben. Denken Sie an Dinge wie Herzschrittmacher, Kühlschränke und Raketensysteme. Die Kommunikation findet zwischen eingebetteten Systemen statt, sodass statische Analysetools und allgemeine Schwachstellenaufzählung Probleme identifizieren können.
Best Practices für die Verwendung statischer Analysetools
Was ist die allgemeine Bewertung der Schwächen?
Die Aufsichtsbehörde hat vier Methoden:
- Common Weakness Risk Analysis Framework (CWRAF™). Dies wird zusammen mit CWSS™ verwendet, um einem Unternehmen seine eigene persönliche Top-X-nummerierte Liste der am häufigsten vorkommenden Schwächen bereitzustellen.
- Priorisieren von Schwächen basierend auf der Mission Ihres Unternehmens. Nicht jedes Unternehmen muss alle Dinge auf einmal reparieren. Mit dieser Methode können Sie Ihre dringendsten Anforderungen so erfüllen, dass die Integrität, Zuverlässigkeit und Funktionalität Ihrer Software erhalten bleibt.
- CWE Top 25 der gefährlichsten Softwarefehler. Mitre aktualisiert diese Liste von Zeit zu Zeit mit Hilfe von mehr als 20 Branchenspezialisten. Es enthält die häufigsten Schwächen, die für die Zeit festgestellt wurden.
- Common Weakness Scoring System (CWSS™). Mit CWSS™ können Entwickler Probleme flexibel, kollaborativ und konsistent priorisieren.
Ein Überblick über die CWE Top 25 und On the Cusp Neueste Updates
Wie messen wir Verwundbarkeit?
Das CWSS™ hilft Entwicklern, Hunderte von Fehlern zu durchsuchen, die in ihrem Code zu finden sind. Automatisierte Tools können jedoch auch für benutzerdefiniertes Scoring und Schwachstellen-Scans verwendet werden. Beachten Sie jedoch, dass jedes Tool seinen eigenen Score erzeugt.
CWSS™ verwendet Folgendes, um die Konsistenz zu wahren:
- Ein gemeinsamer Rahmen strebt nach Einheitlichkeit und Benutzerfreundlichkeit und Zugang.
- Quantitative Messungen kann Teams helfen, den Umfang eines Fixes zu bestimmen.
- Individuelle Priorisierung arbeitet mit CWRAF™ zusammen, um Benutzern zu helfen, die dringendsten Schwachstellen zu finden, um ihre Software und Sicherheit zu verbessern.
Erfahren Sie mehr über CWE und CWE-kompatible Tools
Das Auffinden und Beheben von Fehlern bleibt ein ständig wechselndes Ziel. Aber mit den richtigen Tools in Ihrem Arsenal kann der Prozess viel rationalisierter, unkomplizierter und automatisierter werden. Lassen Sie Ihre Schwächen nicht zu massiven Schwachstellen führen. Fangen Sie klein an, um große Auszahlungen auf der Straße zu sehen.
