web-dev-qa-db-ja.com

CCEはもう使用されていますか?

明らかに、CVEは特定の脆弱性を参照するために広く使用されています。ただし、構成に関してCCEが参照されていることはあまりありません。構成設定がかなり静的であることを理解していますが、 CCEページ は2013年以降更新されていません。

  1. CCEはまだ使用されていますか?

  2. NISTは、2013年以降触れられていないため、このイニシアチブを放棄しましたか?

  3. 同様のイニシアチブはありますか?

2
Silversub

構成設定は静的かもしれませんが、新しいプラットフォームが何度も導入されており、それらに固有の構成設定が必要になります。悲しいことに、CCEはCVEと同じペースで拡大していません。

1)CCEはまだ使用されていますか?

はい、CISベンチマークは引き続き参照用にCCEを使用しています。いくつかの政府および関連組織は、構成の監視をCISベンチマークに依存しているため、CCEは引き続き使用されていると言えます。

2)NISTは、2013年以降触れられていないため、このイニシアチブを放棄しましたか?

あなたが見ることができるように このウェブサイト CCEに関して起こったいくつかの活動がありました。しかし、新しいCCEidの生成はしばらくの間発生していません。

3)同様のイニシアチブはありますか?

構成の列挙で特定の何かを探している場合、私は気づいていませんが、市場にはいくつかの異なる構成標準があり、それらを見ることができます。列挙システムと言えば、CVE(Common Vulnerability Enumeration)、CPE(Common Platform Enumeration)などが頭に浮かびます。

1
Limit

CIS-CAT は商用ですが、ほとんどのLinuxおよびUnixの構成とサービスにとって、これは実際に町で最も重要なゲームです。 CCEをサポートします。

Windows、特にエンドポイントワークステーションについては、-- https://adsecurity.org/?p=3299 を参照してください。ただし、MicrosoftはCCEを使用せず、独自の分類法を使用しています。もう1つの部分的に無料の(商用アドオンと機能を備えた)ツールは LunarLine AirLock で、これはDISASTIGに基づいています。

0
atdre