Department of Homeland Security ร่วมกับสองบริษัทยักษ์ใหญ่ในโลกไซเบอร์ที่ไม่หวังผลกำไร เปิดตัวเครื่องมือใหม่เมื่อวันจันทร์ ซึ่งออกแบบมาเพื่อช่วยองค์กรต่างๆ ในการกำจัดช่องโหว่ของซอฟต์แวร์ทั่วไปในฐานะส่วนหนึ่งของการรณรงค์เพื่อให้ผู้สร้างซอฟต์แวร์สร้างการรักษาความปลอดภัยในระบบของตนตั้งแต่เริ่มต้น แทนที่จะแก้ไขเมื่อเกิดปัญหาขึ้น DHS ร่วมกับ MITER Corporation และ
SANS Institute กำลังพยายามถ่ายทอดความรู้ที่มีอยู่มากมาย
ในชุมชนการพัฒนาซอฟต์แวร์ มีอยู่แล้วเกี่ยวกับภัยคุกคามที่มีอยู่ในรายการสิ่งที่ต้องทำที่สามารถดำเนินการได้ซึ่งอาจขัดขวางการแสวงหาผลประโยชน์ในอนาคต
เครื่องมือใหม่นี้สร้างขึ้นจากCommon Weakness Enumeration (CWE) ซึ่งเป็นโครงการที่ DHS และ MITER เริ่มสนับสนุนร่วมกันในปี 2548 CWE ได้รับการออกแบบมาเพื่อสร้างพจนานุกรมทั่วโลกเกี่ยวกับช่องโหว่ของซอฟต์แวร์ทั่วไปพร้อมกับคำแนะนำในการแก้ไข และนักพัฒนาได้เปิดตัว 2.0 ใหม่ พจนานุกรมฉบับวันจันทร์
Insight by Verizon: เอเจนซี่สามารถสร้าง CX ที่ ‘เรียบง่าย สวยงาม และน่าประหลาดใจ’ ได้หรือไม่ ผู้นำจากแผนกวิชาการเกษตร แผนกการศึกษา แผนกความมั่นคงแห่งมาตุภูมิ และ IRS คิดเช่นนั้นและแบ่งปันงานที่กำลังดำเนินการในหน่วยงานของตนเพื่อให้ง่ายต่อการบริการของรัฐ
แต่ผู้สนับสนุนของ CWE เชื่อว่าพวกเขาสามารถทำให้กระบวนการกำหนดคำนิยามภัยคุกคามมีประโยชน์มากขึ้นสำหรับองค์กรแต่ละแห่ง โดยเฉพาะอย่างยิ่งกับผู้นำองค์กรที่อาจไม่จำเป็นต้องรู้ข้อมูลเชิงลึกทางเทคนิคทั้งหมดของการเขียนโค้ดและการออกแบบฐานข้อมูล
หนึ่งในเครื่องมือคือCommon Weakness Scoring System (CWSS) มีวัตถุประสงค์เพื่อจัดการกับข้อเท็จจริงที่ว่าซอฟต์แวร์แต่ละรุ่นอาจมี “ข้อบกพร่อง” หลายพันรายการ แต่ไม่ใช่ทั้งหมดที่มีอันตรายเสมอไป แทนที่จะระบุเพียงความจริงที่ว่าโค้ดคอมพิวเตอร์บางส่วนสามารถเขียนได้อย่างปลอดภัยมากขึ้น แต่จะใช้ระบบที่อิงกับชุมชนเพื่อกำหนด “คะแนน” ให้กับช่องโหว่ เพื่อให้หน่วยงานและธุรกิจสามารถทำงานได้ดีขึ้นในการตั้งค่าโปรแกรมที่ปลอดภัย ลำดับความสำคัญ
Alan Paller ผู้อำนวยการฝ่ายวิจัยของสถาบัน SANS ซึ่ง
ทำงานร่วมกับ DHS และ MITER ในโครงการ CWE กล่าวว่า “หากไม่มีสิ่งนั้น คุณจะไม่สามารถบอกโปรแกรมเมอร์ให้ทำอะไรได้เลย” “ถ้าคุณแค่ให้รายการ 860 รายการแก่เขา เขาก็โยนรายการนั้นทิ้งไป หากคุณกำลังจะเปลี่ยนแปลงสิ่งต่างๆ เพื่อให้การเขียนซอฟต์แวร์ที่ปลอดภัยมีความสำคัญ นี่เป็นช่วงเวลาสำคัญในการทำให้สิ่งนั้นเกิดขึ้น”
โปรแกรมที่สองคือCommon Weakness Risk Analysis Framework (CWRAF) มีเป้าหมายเพื่อให้องค์กรต่างๆ ทำงานได้ดีขึ้นในการตัดสินใจด้วยตนเองว่าช่องโหว่ใดที่เกี่ยวข้องกับภารกิจหรือขอบเขตธุรกิจของตนเอง โดยวางแบบจำลองเพื่อให้หน่วยงานหรือบริษัทจัดทำรายการช่องโหว่ที่มีศักยภาพสูงสุดของตนเอง โดยพิจารณาจากสายงานที่เกี่ยวข้องและประเภทเทคโนโลยีที่ใช้
แนวทางนี้มีจุดมุ่งหมายเพื่อช่วยให้องค์กรสามารถระบุได้แม่นยำยิ่งขึ้นว่าการโจมตีแบบใดที่เสี่ยงต่อการโจมตีมากที่สุดและจัดการกับการโจมตีเหล่านั้น แทนที่จะเพียงแค่สั่งโปรแกรมเมอร์และผู้จำหน่ายว่าต้องการ “ซอฟต์แวร์ที่ปลอดภัย”
“ตอนนี้ไม่มีระบบจูงใจใดที่แตะต้องโปรแกรมเมอร์ได้ เพราะเมื่อถึงเวลาที่ข้อผิดพลาดถูกค้นพบ มันก็ห่างไกลจากกระบวนการพัฒนาแล้ว” Paller กล่าว “ถ้าคุณจะให้โปรแกรมเมอร์โฟกัสที่ (ความปลอดภัย) คุณต้องให้พวกเขาสองสามอย่าง คุณต้องบอกพวกเขาว่าจะหาอะไร จากนั้นคุณต้องให้วิธีค้นหาที่ไม่กินพวกเขาและใช้เวลาที่เหลือตลอดชีวิต และคุณไม่สามารถพูดว่า ‘อันนี้สำคัญจริงๆ’ เมื่อคนหนึ่งเขียนซอฟต์แวร์ฝังตัวบนระบบ (การควบคุมอุตสาหกรรม) และอีกคนกำลังเขียนเว็บแอปพลิเคชัน ค่าของพวกเขาแตกต่างกัน”
Bob Martin ผู้อำนวยการโครงการของ MITRE สำหรับ CWE กล่าวว่ากรอบงานดังกล่าวจะช่วยให้องค์กรต่างๆ นำคะแนนที่พัฒนาขึ้นสำหรับช่องโหว่ของซอฟต์แวร์และแปลให้เป็นสิ่งที่มีความหมายสำหรับภารกิจหรือพื้นที่ธุรกิจที่พวกเขาทำงานอยู่ เว็บไซต์จะรวมตัวอย่างรายการสำหรับธุรกิจต่างๆ พื้นที่ แต่เขากล่าวว่าความสำเร็จของโครงการจะขึ้นอยู่กับองค์กรที่แบ่งปัน “สะเปะสะปะ” ของตนเองกับชุมชนที่เหลือขณะที่พวกเขาใช้ระบบ
“บางคนมีปัญหาจริงๆ กับปัญหาการปฏิเสธการให้บริการ บางคนมีปัญหาความสมบูรณ์ของไฟล์ บางคนมีความสามารถในการอ่านหน่วยความจำหรือเขียนหน่วยความจำ และอุตสาหกรรมต่างๆ มีปัญหาเหล่านี้เป็นอันดับหนึ่ง” เขากล่าว “CWSS และ CWRAF มีไว้เพื่อให้ความแตกต่างนั้นสามารถสื่อสารไปยังเครื่องมือหรือการจัดลำดับรายการ เพื่อให้คุณสามารถกำหนดเงื่อนไขและข้อกำหนดที่ถูกต้องในสัญญาได้ คุณสามารถมีจุดเน้นในการฝึกอบรมที่ถูกต้อง และคุณสามารถเน้นได้อย่างถูกต้องในการทดสอบของคุณ”
credit : สมัครเว็บสล็อต / สล็อตแตกง่าย pg / เว็บตรงสล็อต
