X
BLOG

Una descripción general de las últimas actualizaciones de CWE Top 25 y On the Cusp

Una descripción general de las últimas actualizaciones de CWE Top 25 y On the Cusp Tiempo de leer: 4 minutos

Recientemente se realizó una actualización en el CWE Top 25 por primera vez en varios años. Esta actualización incluyó una nueva metodología para determinar objetivamente qué CWE son más comunes y más peligrosos. Esta actualización alinea a CWE con el panorama de seguridad de aplicaciones en constante cambio y tiene en cuenta los problemas reales que ocurren en las aplicaciones reales en la actualidad. Esta actualización también incluyó cambios en el En la cúspidelista de CWE, que esencialmente amplía la Top 25 hasta el Top 40. Más sobre esto a continuación.

Enumeración de debilidades comunes (CWE): una lista de las debilidades de ciberseguridad más comunes

La CWE o Common Weakness Enumeration es una lista respaldada por la comunidad de las debilidades de ciberseguridad más comunes. Considera una amplia variedad de problemas de software peligrosos, de hecho, más de 800 de ellos van desde problemas de memoria como el desbordamiento del búfer hasta problemas de datos contaminados como la inyección SQL (SQLI). Quizás sea más conocido por su CWE Top 25 lista que se utiliza como estándar de codificación segura.

Cómo se catalogan las debilidades de seguridad

Lo interesante de la lista de debilidades de los CWE es que tienen una correlación con problemas reales que han ocurrido en sistemas de software reales. Cuando suceden cosas malas en ciberseguridad, como una violación de datos, un enrutador pirateado o una cámara de seguridad vulnerable, habrá un registro en la Base de datos nacional de vulnerabilidades, o NVD. (Ok, no todo termina en NVD, pero tal vez debería hacerlo). Cada entrada se identifica con un número único llamado CVE, o Enumeración de vulnerabilidad común y se le asigna una puntuación NVD llamada CVSS, que es el Sistema de puntuación de vulnerabilidad común para mostrar cuán peligroso es el problema de seguridad.

Este CVE describe el problema de seguridad de una manera que se puede utilizar para comparar problemas similares en otros productos y software. Cuando hay un problema con una cámara de seguridad doméstica y con un enrutador de oficina, es posible reconocer que el problema subyacente es el mismo. Quizás el problema es que hay un cifrado débil o que se ha programado una contraseña predeterminada. Por lo tanto, el CVE nos ayuda a analizar los problemas de seguridad en forma de manzanas con manzanas y de naranjas con naranjas para que podamos comprender, planificar y responder mejor.

Cada CVE finalmente se completa con ID de CWE asociados con la debilidad raíz en el código que da lugar a los problemas de seguridad en el CVE, por ejemplo, una vulnerabilidad descubierta en un enrutador, en algún momento, una investigación lleva a identificar el código responsable. Esta causa raíz se describe en términos de la debilidad del software, como una cadena de entrada sin marcar que explotó la vulnerabilidad.

Eso es un camino un poco largo y con demasiados acrónimos, pero básicamente significa que puede correlacionar los problemas de seguridad publicados con la debilidad del software subyacente en el código. En última instancia, entonces, como desarrollador, puede evitar los problemas que le están ocurriendo a las aplicaciones y dispositivos reales en el mundo real.

La actualización: cambios en CWE Top 25

A principios de 2019, agregaron nuevos CWE relacionados con la calidad y la confiabilidad. Con el tiempo, esto aumentará. Por el momento, estos se limitan principalmente a debilidades de seguridad. Dado que hay tantos, ¿por dónde empezar? El CWE incluye una lista de Top 25 en un intento por ayudar a determinar las debilidades de seguridad más críticas, probables e impactantes del software. sin embargo, el Top 25 es un punto de partida. Para los equipos que ya están comprobando estas debilidades, deberían continuar en la lista. Pero si aún no ha hecho nada, es un buen punto de partida.

La CWE Top 25 se ha mantenido relativamente estático hasta finales de 2019. En 2019, tuvimos, por primera vez, una actualización de CWE por primera vez desde 2011. Todo el CWE se actualiza de forma regular, sin embargo, el Top 25 no tanto, en al menos hasta ahora.

Cómo se seleccionan los problemas más peligrosos

Esta nueva lista se basó no solo en el NVD, sino también en los problemas del mundo real que se encuentran internamente en grandes organizaciones que tenían problemas que no se publicaron ni se incluyeron en el NVD. Este fue un cambio de enfoque, ya que tuvo en cuenta muchas fuentes de datos diferentes y también agregó algo de subjetividad basada en la opinión de la industria.

Lo interesante de la última actualización es un enfoque más objetivo. La desventaja, por supuesto, es que podríamos haber perdido algo en el sentido de que no tenemos acceso a los datos privados utilizados para generar la nueva lista. La ventaja es que sabemos lo que CWE Top 25 representa - “la lista del mundo real y el orden de las debilidades más comunes” - de todas las vulnerabilidades reportadas como se expresa en la Base de Datos Nacional de Vulnerabilidades.

Hay un significado para la colocación de un CWE en el Top 25 - Existe un nivel relativo de peligro basado en la puntuación CVSS de cada uno. Por ejemplo, CWE en la posición 25 no es tan peligroso como el número uno, aunque para ser claros; todas las debilidades deben considerarse peligrosas, todas son malas y el objetivo final es solucionarlas.

La otra cosa interesante sobre CWE Top 25 que mucha gente desconoce, es que hay una cosa llamada En la cúspide. Estos son los CWE que casi llegaron al Top 25, En la cúspide es a lo que me gusta referirme como las menciones honoríficas, o tal vez las menciones deshonrosas. Una vez que haya terminado de eliminar los 25 primeros, vaya a En la cúspide. Eso es lo siguiente que es importante.

Si se pregunta por dónde empezar, el CWE Top 25 es un excelente punto de partida, independientemente del tipo de aplicación que tenga. Si está a punto de eliminar las 25 principales debilidades de su software, eche un vistazo a la En la cúspide reglas. los CWE Top 25 Underwriter's Laboratory hace referencia a las debilidades UL 2900, que es una certificación de ciberseguridad para dispositivos conectados. Otro gran lugar para ir a continuación. Para aplicaciones web, eche un vistazo a OWASP y el OWASP Top 10.

Si es un cliente de Parasoft o un usuario de herramientas de análisis estático y no conocía el CWE Top 25 actualización, es un buen momento para mirar la configuración de su herramienta. Asegúrese de estar cubriendo la última lista de CWE, ya que este es literalmente el estado del arte en las debilidades de seguridad del software.

En el futuro, tiene sentido vigilar el estándar e incorporar cambios a lo largo del tiempo. También es importante que los proveedores de herramientas se ajusten a la última versión de CWE. Ya que confía en ellos, hasta cierto punto, para que sean los expertos en el apoyo y la presentación de informes basados ​​en las nuevas reglas. A medida que avanza en el desarrollo seguro, asegúrese de que sus herramientas sean compatibles con On la Cúspide reglas, porque, una vez más, no hay una parada estricta en las debilidades de seguridad en 25.

Para obtener más información sobre la solución CWE de Parasoft, visite https://www.parasoft.com/solutions/compliance/cwe/.

Escrito por

Arthur Hicken

Arthur ha estado involucrado en seguridad de software y automatización de pruebas en Parasoft durante más de 25 años, ayudando a investigar nuevos métodos y técnicas (incluidas 5 patentes) mientras ayuda a los clientes a mejorar sus prácticas de software.

Reciba las últimas noticias y recursos sobre pruebas de software en su bandeja de entrada.

Prueba Parasoft