Aprendizado e descoberta 5min de Leitura - 15 de fevereiro de 2022

CWE (Common Weakness Enumeration), saiba o que é

CWE

This post is also available in: Português

Já é de conhecimento geral que os cibercriminosos são extremamente organizados, com redes de atuação internacional que funcionam de maneira colaborativa. Em resumo, eles se ajudam – mas o mesmo esforço comunitário também é visto pelos profissionais que combatem os crackers, em iniciativas eficazes e abrangentes.

Uma delas é a Common Weakness Enumeration (Enumeração de Fraquezas Comuns, ou CWE na sigla em inglês). Trata-se de um sistema para categorizar falhas de segurança de software, focando em defeitos de implementação que podem levar a vulnerabilidades. É um projeto colaborativo para entender os pontos fracos de segurança ou erros no código e vulnerabilidades e criar ferramentas para ajudar a evitá-los.

Quem o mantém ativo é a MITRE Corporation, lidando com mais de 600 categorias que detalham diferentes tipos de vulnerabilidades e bugs. A MITRE é uma organização norte-americana que gerencia centros de pesquisa e desenvolvimento financiados pelo governo dos EUA. Essas instituições apoiam várias agências governamentais locais nos campos de aviação, defesa, saúde, segurança interna e segurança cibernética. Ou seja, é bastante abrangente e robusta.

A CWE então se dedica a ser uma espécie de enciclopédia mundial para ajudar a impedir vulnerabilidades e bugs. Assim, acaba educando os desenvolvedores a respeito da criação de produtos mais avançados, que sejam cada vez menos suscetíveis à exploração por crackers.

Os programadores podem usar o CWE como um recurso adicional enquanto escrevem seus códigos, fugindo de vulnerabilidades durante o processo de desenvolvimento. Inclusive, metodologias como o SOAR usam CWEs para criar políticas e fluxos de trabalho que auxiliam a automatizar as correções.

Estrutura CWE

O primeiro ponto a saber sobre os registros CWE é que são bem documentados e contêm descrições detalhadas ao máximo, citando exemplos e Vulnerabilidades e Exposições Comuns (CVEs) relacionadas e conexões com vulnerabilidades semelhantes. Um modelo disso é o CWE-200, que inclui vários exemplos simulados e uma lista de CVEs que aproveitam essa vulnerabilidade.

Dessa maneira, os profissionais de segurança podem usar os registros CWE para criar alertas pró-ativos e remediar padrões de ataque relacionados. Cada CWE tem uma seção listando diferentes padrões de invasão com uma vulnerabilidade associada. Usando essas informações, as empresas podem criar métodos de detecção personalizados em torno dos CWEs com seu nível de tolerância ao risco em mente.

Por isso, o CWE facilita a rotina de desenvolvedores e pesquisadores na hora de encontrar vulnerabilidades comuns em diferentes linguagens, hardwares, domínios e conceitos de arquitetura.

Compatibilidade

Nesse contexto, existe um programa de compatibilidade do CWE que classifica produtos ou serviços como CWE-Compatible ou CWE-Effective. Itens com esses “selos” auxiliam as empresas na avaliação de seus aplicativos e softwares quanto a fraquezas e falhas conhecidas. Para qualificação de compatibilidade CWE, o produto deve atender aos quatro primeiros dos seis requisitos, enquanto os produtos e serviços CWE-Effective devem atender a todos os seis. A lista completa segue abaixo:

  • 1) CWE Searchable: os usuários podem pesquisar elementos usando identificadores CWE.
  • 2) CWE Output: os elementos apresentados aos usuários incluem identificadores CWE associados.
  • 3) Precisão do mapeamento: os elementos de segurança são vinculados com precisão aos identificadores CWE apropriados.
  • 4) Documentação: descreve o CWE, sua compatibilidade e a funcionalidade relacionada ao CWE.
  • 5) Cobertura: a documentação do recurso lista explicitamente os CWE-IDs contra os quais o recurso reivindica cobertura e eficácia.
  • 6) Resultados de testes: Para eficácia do CWE, os resultados do teste de capacidade devem mostrar uma avaliação do software para CWEs, e tais resultados devem aparecer no site da CWE.

Semelhanças entre CWE e CVE

Existe uma outra iniciativa que de certo modo se parece com a CWE: é a CVE . Entretanto, a diferença entre ambos é bastante clara.

Um CVE pode detalhar, por exemplo, uma vulnerabilidade específica em um sistema operacional que permite que invasores executem código remotamente. Assim, esta CVE detalha tal vulnerabilidade apenas para esse produto em específico.

Já a CWE descreve a vulnerabilidade independente de qualquer produto. Ou seja, é muito mais abrangente. Assim, o CWE tornou-se uma linguagem comum para discutir a eliminação ou mitigação de pontos fracos de segurança de software como um todo.

Como os programadores têm acesso a dados sobre pontos fracos no início dos ciclos de vida do produto, eles podem criar soluções com o mínimo possível de vulnerabilidades, eliminando problemas de segurança subsequentes. Isso permite que os desenvolvedores acompanhem os ciclos de vida de desenvolvimento com mais velocidade, criem produtos melhores, lancem eles mais rapidamente para os clientes, minimizem as superfícies de ataque e evitem mais ataques cibernéticos.

Pontuação

Existe ainda o CWSS e o CVSS. O Common Vulnerability Scoring System (CVSS) pontua numericamente as vulnerabilidades com base no risco – considerando vulnerabilidades como falhas de segurança que os invasores podem explorar para obter acesso a um sistema.

Já o Common Weakness Scoring System (CWSS) é uma estrutura que documenta os pontos fracos do software, para que os desenvolvedores possam minimizar o número de bugs e vulnerabilidades que eles introduzem em um sistema ativo.

No entanto, a maior diferença entre os sistemas de pontuação é que o CWSS é pró-ativo, enquanto o CVSS é reativo. Ainda assim, ambos podem ser utilizados em conjunto para driblar vulnerabilidades e priorizar a correção de falhas existentes.

O CWSS usa três critérios para ajudar os desenvolvedores a priorizar os pontos fracos baseados em software:

  • 1) Superfície de ataque: a disponibilidade da fraqueza
  • 2) Base: o risco de fraqueza, grau de precisão e eficácia dos controles
  • 3) Ambiental: as partes da fraqueza que são pontuações ambientalmente específicas para CWSS variam entre zero e 100.

O CVSS usa métricas semelhantes ao calcular pontuações, mas funciona em um intervalo de zero a dez, usando os seguintes critérios:

  • 1) Base: as características da falha de segurança
  • 2) Temporal: uma métrica que muda com o tempo devido a fatores externos
  • 3) Ambiental: uma métrica que mede o impacto da vulnerabilidade em sua empresa.

Ainda que se possa usar os dois sistemas, suas pontuações não são compatíveis. Mesmo que as pontuações fossem normalizadas, seus números refletiriam de forma diferente em cada sistema.

Importância do CWE

Vulnerabilidades de software que são fáceis de explorar representam uma enorme ameaça, pois os cibercriminosos podem assumir o controle de um sistema e causar grandes danos para pessoas e empresas. Entre essas vulnerabilidades estão problemas de estrutura e validade, erros de canal e caminho, erros de autenticação, erros de interface do usuário, entre outras.

Há ainda os pontos fracos de hardware, como erros de controle de acesso, problemas na CPU, gráficos, IA, entre outros, que podem levar a vulnerabilidades de segurança exploráveis. A CWE pode então ajudar os profissionais a resolver os pontos fracos comuns de hardware e software.

É um recurso útil para programadores, engenheiros de hardware e desenvolvedores. Como a CWE é o resultado de um esforço da comunidade, o conteúdo reflete a experiência combinada de profissionais de tecnologia da informação e segurança.

Assim, o CWE é eficaz para melhorar os esforços de identificação e prevenção de fraquezas. Incentiva discussões ativas sobre as vulnerabilidades, contribuindo para melhorar os esforços na redução de riscos em todo o setor. A CWE então ajuda os desenvolvedores a eliminar pontos fracos em um estágio inicial e publicar versões mais refinadas de seus produtos.

Sua natureza colaborativa também significa que os especialistas podem apresentar novas sugestões de conteúdo para manter a lista relevante e atualizada – algo essencial em um contexto no qual os cibercriminosos seguem inovando.

gestao vuln

Gostou do conteúdo? Gostaria de aprimorar sua estratégia de segurança digital? Converse com nossos especialistas, e conheça o serviço de Gestão continuada de vulnerabilidades.

Este serviço proporciona segurança para as empresas e tranquilidade para os profissionais de tecnologia, através da implementação de um processo contínuo, que visa identificar e corrigir vulnerabilidades na estrutura tecnológica da empresa.

This post is also available in: Português