X
BLOG

Todo sobre CWE: enumeración de debilidades comunes

Todo sobre CWE: enumeración de debilidades comunes Tiempo de leer: 5 minutos

La ciberseguridad tiene que ver con la mitigación y la prevención cuando se trata de CWE o enumeración de debilidades comunes. La corporación Mitre mantiene el sistema de categorías CWE que cataloga las diversas vulnerabilidades.

Funciona junto con la base de datos nacional de vulnerabilidades de EE. UU. O NVD, la recopilación de datos de gestión de vulnerabilidades basados ​​en estándares operados por el gobierno federal. El NIST o el Instituto Nacional de Estándares y Tecnología supervisa el NVD. OWASP, la organización sin fines de lucro y de código abierto Open Web Application Security Project®, también trabaja diligentemente para reforzar la seguridad de la información web.

En este blog, revisaremos todo lo que necesita saber para comprender las debilidades del software y la ciberseguridad general en el desarrollo de software. Además, también analiza la mejor manera de usarlos. Como todo, tenemos que comenzar con lo básico y ser más granulares a partir de ahí. Este blog cubrirá:

  1. ¿Qué es CWE en seguridad?
  2. ¿Qué es el software CWE?
  3. ¿Cuántos CWE hay?
  4. ¿Cuáles son las condiciones que lo hacen vulnerable?
  5. ¿Cuáles son los ejemplos de vulnerabilidad?
  6. ¿Cómo medimos la vulnerabilidad?
  7. ¿Qué es la puntuación de enumeración de debilidades comunes?
  8. ¿Qué es CWE vs CVE?

Imagen del logo de la corporación Mitre en fotografía en blanco y negro

¿Qué es CWE?

Hay muchos acrónimos en todas las industrias, pero CWE es muy importante para la seguridad del software. El análisis estático y las herramientas de seguridad deben estar respaldadas por el conocimiento de qué buscar y cómo abordar el nivel ideal de riesgo apropiado para su proyecto.

CWE busca hacer que la gestión de vulnerabilidades sea más ágil y accesible. El catálogo desarrollado por la comunidad presenta debilidades de hardware y software y se describe como "un lenguaje común, una vara de medir para las herramientas de seguridad y una línea de base para los esfuerzos de identificación, mitigación y prevención de debilidades".

¿Quién es el propietario de CWE?

Como se mencionó, Mitre Corporation es propietaria y mantiene el CWE. También administran FFRDC o centros de investigación y desarrollo financiados con fondos federales para el Departamento de Seguridad Nacional de EE. UU., Así como agencias de atención médica, aviación, defensa y, por supuesto, ciberseguridad.

La lista CWE compila vulnerabilidades y exposiciones comunes que pueden ayudar a los programadores y desarrolladores de software a mantener la seguridad de la información. Después de todo, adherirse a las políticas de seguridad durante el ciclo de vida del desarrollo es mucho más fácil de administrar que las estrategias posteriores a la infracción.

¿Cuántos CWE hay?

Solo hay un CWE administrado por Mitre Corporation. Sin embargo, esa lista contiene más de 600 categorías. Su última versión (3.2) lanzada en enero de 2019.

Código fuente en una pantalla en busca de debilidades del software

¿Qué es el software CWE?

Las categorías para CWE van desde todo, como el estándar de codificación SEI CERT Oracle para Java, hasta debilidades sin patrones de fallas de software. Afortunadamente, la taxonomía, la organización y la accesibilidad de las categorías tienen una clasificación muy alta.

El catálogo utiliza un sistema numerado en las tres áreas principales de vulnerabilidad:

VerFunción
Desarrollo de Software Los conceptos se agrupan por frecuencia de encuentro o uso en el desarrollo de código fuente.
Diseño de hardwareLas debilidades más comunes en el diseño de hardware se agrupan.
Conceptos de investigaciónPara facilitar la investigación de problemas comunes, los elementos se agrupan por sus comportamientos.

Por ejemplo, CWE-89 trata sobre cómo ocurren las fallas de inyección de SQL, pero también se vincula a secciones útiles de CWE para mitigar aún más las debilidades de seguridad.

CWE frente a CVE

CVE es un acrónimo de vulnerabilidades y exposiciones comunes. En resumen: la diferencia entre CVE y CWE es que uno trata los síntomas mientras que el otro trata una causa. Si el CWE clasifica los tipos de vulnerabilidades de software, el CVE es simplemente una lista de problemas conocidos actualmente con respecto a sistemas y productos específicos.

US-CERT patrocina el proyecto y Mitre también lo supervisa. Mantener el control de seguridad para la garantía del software puede utilizar CVE, pero no es tan integral como lo es CWE. Sin embargo, es fácilmente compatible con CWE, una funcionalidad garantizada por Mitre.

¿Cuáles son las condiciones que lo hacen vulnerable?

Identificar los puntos débiles de seguridad más peligrosos está en el camino de CWE. Las categorías pueden ayudarlo a identificar exactamente qué está comprometiendo sus sistemas y solucionarlo. En cuanto a qué condiciones lo hacen más vulnerable, eso a menudo se relaciona con las más comunes.

¿Cuál es la vulnerabilidad más común?

La determinación de la vulnerabilidad de software más común en general depende de muchas variables. Después de todo, los desafíos que enfrenta la seguridad de las aplicaciones web no son los mismos que los de los programas fuera de línea. Pero ya sea que se trate de una inyección de comando SQL, un problema de php, un búfer de memoria o incluso elementos especiales, el CWE puede ayudar el 99% de las veces.

Las categorías comunes de CWE y las vulnerabilidades de seguridad incluyen:

  • Cross-site scripting
  • El buffer se desborda
  • Contraseñas codificadas
  • Errores de cruce de ruta / árbol de directorio
  • Condición de carrera
  • Autenticación rota
  • Defectos de inyección
  • Control de acceso roto
  • Entidades externas XML
  • Deserialización insegura

El hombre se sienta en la sala de control de lanzamiento de misiles durante el despegue trabajando en el sistema integrado

Integrado vs. Enterprise CWE

Conocer los tipos de seguridad de aplicaciones que necesita es fundamental para cualquier proyecto. El alcance del proyecto determinará sus puntos débiles. Por ejemplo, ¿está utilizando seguridad en la nube? Eso significa que puede centrarse en la prevención de la pérdida de datos y la seguridad de las aplicaciones.

Pero saber si un sistema es una empresa o un sistema Integrado también juega un papel importante.

Sistema empresarial

La comunicación se realiza a través de Internet, lo que significa una gran cantidad de vulnerabilidades y riesgos, especialmente en comparación con los sistemas integrados. La seguridad de la red no es tan fácil de garantizar, por lo que la gestión de vulnerabilidades es clave.

Sistema integrado

Estos programas suelen estar escritos en C o C ++. Piense en cosas como marcapasos, refrigeradores y sistemas de misiles. La comunicación se realiza entre sistemas integrados, por lo que las herramientas de análisis estático y la enumeración de debilidades comunes pueden identificar problemas.

Prácticas recomendadas para el uso de herramientas de análisis estático

Imagen digital del gráfico de líneas para la puntuación CWE

¿Qué es la puntuación de enumeración de debilidad común?

El organismo supervisor tiene cuatro metodologías:

  1. Marco de análisis de riesgo de debilidad común (CWRAF ™). Esto se utiliza junto con CWSS ™ para proporcionar a una empresa su propia lista personal con el Top X numerado de las debilidades más frecuentes.
  2. Priorizar las debilidades en función de la misión de su organización. No todas las empresas necesitan arreglar todas las cosas a la vez. Este método le permite abordar sus necesidades más urgentes de una manera que mantenga la integridad, confiabilidad y funcionalidad de su software.
  3. CWE Los 25 errores de software más peligrosos. Mitre actualiza esta lista de vez en cuando con la ayuda de más de 20 especialistas de la industria. Contiene las debilidades más comunes según se señaló en ese momento.
  4. Sistema de puntuación de debilidad común (CWSS ™). El CWSS ™ permite a los desarrolladores priorizar los problemas con flexibilidad, colaboración y coherencia.
Una descripción general de las últimas actualizaciones de CWE Top 25 y On the Cusp

¿Cómo medimos la vulnerabilidad?

El CWSS ™ ayuda a los desarrolladores a examinar cientos de errores que se pueden encontrar en su código. Sin embargo, las herramientas automatizadas también se pueden utilizar para escaneos de vulnerabilidad y puntuación personalizada, pero tenga en cuenta que cada herramienta producirá su propia puntuación.

CWSS ™ utiliza lo siguiente para mantener la coherencia:

  • Un marco común impulsa hacia la uniformidad y la facilidad de uso y acceso.
  • Medidas cuantitativas puede ayudar a los equipos a determinar el alcance de una solución.
  • Priorización personalizada trabaja con CWRAF ™ para ayudar a los usuarios a encontrar los tipos de debilidades más urgentes para mejorar su software y seguridad.

Imágenes digitales abstractas para mostrar el desbordamiento del búfer y la importancia de la ciberseguridad para CWE

Más información sobre las herramientas compatibles con CWE y CWE

Encontrar y corregir errores sigue siendo un objetivo en constante movimiento. Pero tener las herramientas adecuadas en su arsenal puede hacer que el proceso sea mucho más ágil, sencillo y automatizado. No permita que sus debilidades se sumen a vulnerabilidades masivas. Empiece poco a poco para ver grandes beneficios en el futuro.

Texto en fuente blanca sobre fondo azul oscuro: Ciberseguridad integrada mediante estándares de codificación segura. Botón rojo con fuente blanca debajo del título: Descargar el documento técnico.

Escrito por

Ricardo Camacho

Ricardo, gerente sénior de marketing técnico de productos para las soluciones de pruebas integradas de Parasoft, tiene experiencia en SDLC y automatización de pruebas de aplicaciones integradas en tiempo real, de seguridad y críticas para la seguridad, y cumplimiento del software con los estándares de la industria.

Reciba las últimas noticias y recursos sobre pruebas de software en su bandeja de entrada.

Prueba Parasoft