Sehen Sie, welche API-Testlösung im GigaOm Radar Report am besten abgeschnitten hat. Holen Sie sich Ihren kostenlosen Analystenbericht >>

Sehen Sie, welche API-Testlösung im GigaOm Radar Report am besten abgeschnitten hat. Holen Sie sich Ihren kostenlosen Analystenbericht >>
Zum Abschnitt springen
Oberflächlich betrachtet beschäftigt sich Common Weakness Enumeration (CWE) mit Schwachstellenkategorien in Software und Hardware. Sehen Sie sich diesen Beitrag an, um ein umfassendes Verständnis von Schwachstellen aus der CWE-Perspektive zu erhalten, einschließlich der Bewertung gängiger Schwachstellen und wie Schwachstellen gemessen werden.
Zum Abschnitt springen
Zum Abschnitt springen
Bei der Cybersicherheit dreht sich alles um Minderung und Prävention CWE oder allgemeine Schwachstellenaufzählung. Die Mitre Corporation unterhält das CWE-Kategoriesystem, das die verschiedenen Schwachstellen katalogisiert.
Es arbeitet mit der US National Vulnerability Database (NVD) zusammen – der Sammlung von Daten zum Schwachstellenmanagement basierend auf Standards, die von der Bundesregierung betrieben werden. Das NIST oder National Institute of Standards and Technology beaufsichtigt die NVD. OWASP, das gemeinnützige und Open Source Open Web Application Security Project®, arbeitet ebenfalls eifrig daran, die Sicherheit von Web-Informationen zu stärken.
In diesem Blog besprechen wir alles, was Sie wissen müssen, um Softwareschwächen und allgemeine Cybersicherheit in der Softwareentwicklung zu verstehen. Darüber hinaus wird erläutert, wie man sie am besten verwendet. Wie bei allem müssen wir mit den Grundlagen beginnen und von dort aus detaillierter werden. Dieser Blog behandelt:
Es gibt viele Akronyme in jeder Branche, aber CWE ist ein großes Unternehmen für Softwaresicherheit. Statische Analyse- und Sicherheitstools müssen durch das Wissen unterstützt werden, wonach zu suchen ist und wie man sich dem idealen Risikoniveau für Ihr Projekt annähert.
CWE ist bestrebt, das Schwachstellenmanagement schlanker und zugänglicher zu machen. Der von der Community entwickelte Katalog weist Hardware- und Software-Schwächen auf und wird als „eine gemeinsame Sprache, ein Maßstab für Sicherheitstools und eine Grundlage für die Identifizierung von Schwachstellen, Minderung und Präventionsmaßnahmen“ beschrieben.
Wie bereits erwähnt, besitzt und unterhält die Mitre Corporation die CWE. Sie verwalten auch FFRDCs oder staatlich finanzierte Forschungs- und Entwicklungszentren für das US-Heimatschutzministerium sowie Behörden in den Bereichen Gesundheitswesen, Luftfahrt, Verteidigung und natürlich Cybersicherheit.
Das CWE-Liste stellt häufige Schwachstellen und Gefährdungen zusammen, die Programmierern und Softwareentwicklern dabei helfen können, die Informationssicherheit aufrechtzuerhalten. Schließlich ist die Einhaltung von Sicherheitsrichtlinien während des gesamten Entwicklungslebenszyklus viel einfacher zu handhaben als Strategien nach einem Verstoß.
Es gibt nur einen CWE, der von der Mitre Corporation verwaltet wird. Diese Liste enthält jedoch mehr als 600 Kategorien. Die neueste Version (3.2) wurde im Januar 2019 veröffentlicht.
Die Kategorien für CWE reichen von allem wie SEI CERT Oracle Coding Standard for Java bis hin zu Schwächen ohne Softwarefehlermuster. Zum Glück haben die Taxonomie, Organisation und Zugänglichkeit der Kategorien einen sehr hohen Stellenwert.
Der Katalog verwendet ein nummeriertes System unter den drei Hauptbereichen der Anfälligkeit:
Anzeigen | Funktion |
---|---|
Software-Entwicklung | Konzepte werden nach Häufigkeit der Begegnung oder Verwendung in der Quellcodeentwicklung gruppiert. |
Hardware-Design | Häufig gesehene oder verwendete Schwächen im Hardwaredesign werden zusammengefasst. |
Forschungskonzepte | Um die Erforschung häufiger Probleme zu erleichtern, werden die Items nach ihrem Verhalten gruppiert. |
Zum Beispiel CWE-89 befasst sich mit dem Auftreten von SQL-Injection-Fehlern, enthält aber auch Links zu hilfreichen CWE-Abschnitten, um Sicherheitslücken weiter abzuschwächen.
CVE ist ein Akronym für Common Vulnerabilities and Exposures. Kurz gesagt: Der Unterschied zwischen CVE und CWE besteht darin, dass einer die Symptome behandelt, während der andere eine Ursache behandelt. Wenn die CWE Arten von Software-Schwachstellen kategorisiert, ist die CVE einfach eine Liste der derzeit bekannten Probleme in Bezug auf bestimmte Systeme und Produkte.
US-CERT sponsert das Projekt, wobei Mitre es auch beaufsichtigt. Die Aufrechterhaltung der Sicherheitskontrolle für Software Assurance kann CVE nutzen, ist jedoch nicht so integral wie CWE. Es ist jedoch problemlos CWE-kompatibel – eine Funktionalität, die von Mitre gewährleistet wird.
Das Identifizieren der gefährlichsten Sicherheitsschwachstellen ist genau das Richtige für CWE. Die Kategorien können Ihnen dabei helfen, genau zu identifizieren, was Ihre Systeme gefährdet, und es zu beheben. Welche Bedingungen Sie am anfälligsten machen, bezieht sich oft auf die häufigsten.
Die Bestimmung der allgemein häufigsten Software-Schwachstelle hängt von vielen Variablen ab. Schließlich sind die Herausforderungen für die Sicherheit von Webanwendungen nicht dieselben wie bei Offline-Programmen. Aber egal, ob es sich um eine SQL-Befehlsinjektion, ein PHP-Problem, einen Speicherpuffer oder sogar um spezielle Elemente handelt, das CWE kann in 99% der Fälle helfen.
Häufige CWE-Kategorien und Sicherheitslücken sind:
Zu wissen, welche Arten von Anwendungssicherheit Sie benötigen, ist für jedes Projekt von entscheidender Bedeutung. Der Umfang des Projekts bestimmt Ihre Schwachstellen. Verwenden Sie beispielsweise Cloud-Sicherheit? Das bedeutet, dass Sie sich auf die Verhinderung von Datenverlust und die Anwendungssicherheit konzentrieren können.
Aber zu wissen, ob ein System ein Unternehmen oder ein Eingebettetes System spielt auch eine große Rolle.
Die Kommunikation erfolgt über das Internet, was viele Schwachstellen und Risiken mit sich bringt – insbesondere im Vergleich zu eingebetteten Systemen. Die Netzwerksicherheit ist nicht so einfach zu gewährleisten, daher ist das Schwachstellenmanagement der Schlüssel.
Diese Programme sind oft in C oder C++ geschrieben. Denken Sie an Dinge wie Herzschrittmacher, Kühlschränke und Raketensysteme. Die Kommunikation findet zwischen eingebetteten Systemen statt, sodass statische Analysetools und allgemeine Schwachstellenaufzählung Probleme identifizieren können.
Die Aufsichtsbehörde hat vier Methoden:
Das CWSS™ hilft Entwicklern, Hunderte von Fehlern zu durchsuchen, die in ihrem Code zu finden sind. Automatisierte Tools können jedoch auch für benutzerdefiniertes Scoring und Schwachstellen-Scans verwendet werden. Beachten Sie jedoch, dass jedes Tool seinen eigenen Score erzeugt.
CWSS™ verwendet Folgendes, um die Konsistenz zu wahren:
Das Auffinden und Beheben von Fehlern bleibt ein ständig wechselndes Ziel. Aber mit den richtigen Tools in Ihrem Arsenal kann der Prozess viel rationalisierter, unkomplizierter und automatisierter werden. Lassen Sie Ihre Schwächen nicht zu massiven Schwachstellen führen. Fangen Sie klein an, um große Auszahlungen auf der Straße zu sehen.