Ovviamente i CVE sono usati estensivamente per riferirsi a vulnerabilità specifiche. Tuttavia, non vedo che il CCE si riferisca molto alle configurazioni. Comprendo che le impostazioni di configurazione sono piuttosto statiche, ma la pagina CCE non è stata aggiornata dal 2013. Detto questo :
I CCE sono ancora usati?
Il NIST ha abbandonato questa iniziativa in quanto non è stata toccata dal 2013?
Esistono iniziative simili là fuori?
Le impostazioni di configurazione potrebbero essere statiche, ma nuove piattaforme vengono introdotte di volta in volta e avrai bisogno di impostazioni di configurazione specifiche. Purtroppo i CCE non si stanno espandendo allo stesso ritmo dei CVE.
1) Are CCE's still used at all?
Sì, i benchmark CIS usano ancora i CCE come riferimento. Diversi governi e organizzazioni correlate dipendono dai benchmark CIS per il loro monitoraggio della configurazione, quindi direi che i CCE sono ancora utilizzati.
2) Has NIST abandoned this initiative as it hasn't been touched since 2013?
Come puoi vedere su questo sito ci sono state alcune attività relative ai CCE. Ma la generazione di nuovi CCEID non è avvenuta da un po 'di tempo.
3) Are there similar initiatives out there?
Se stai cercando qualcosa di specifico nell'enumerazione di Configuration, non ne sono a conoscenza, ma ci sono diversi standard di configurazione nel mercato che puoi guardare. A proposito dei sistemi di enumerazione, mi vengono in mente CVE (Enumerazione delle vulnerabilità comuni), CPE (Enumerazione comune delle piattaforme) ecc.
CIS-CAT è commerciale, ma è davvero il gioco principale in città per la maggior parte delle configurazioni di Linux e Unix e servizi. Supporta CCE.
Per Windows, in particolare le workstation degli endpoint, vedere - link - tuttavia, Microsoft non utilizza i CCE ma la propria tassonomia . Un altro strumento parzialmente gratuito (con add-on e funzionalità commerciali) è LunarLine AirLock , che si basa sugli STIG DISA.
Leggi altre domande sui tag standards compliance cve