¿Se usan más los CCE?

Los ajustes de configuración pueden ser estáticos, pero las nuevas plataformas se presentan una y otra vez y necesitarás ajustes de configuración específicos para esos. Lamentablemente, los CCE no se están expandiendo al mismo ritmo que los CVE.

  

1) ¿Se siguen utilizando los CCE?

Sí, los puntos de referencia CIS todavía utilizan CCE como referencia. Varios gobiernos y organizaciones relacionadas dependen de los puntos de referencia de CIS para el monitoreo de su configuración, por lo que diría que los CCE aún se utilizan.

  

2) ¿NIST ha abandonado esta iniciativa porque no se ha tocado desde 2013?

Como puede ver en este sitio web , hubo alguna actividad relacionada con los CCE. Pero la generación de nuevos CCEids no ha sucedido en mucho tiempo.

  

3) ¿Existen iniciativas similares?

Si está buscando algo específico en la enumeración de la Configuración, no lo sé, pero existen varios estándares de configuración diferentes en el mercado que puede consultar. Hablando de sistemas de enumeración, CVE (enumeración de vulnerabilidad común), CPE (enumeración de plataforma común), etc.     

CIS-CAT es comercial, pero es realmente el juego principal en la ciudad para la mayoría de las configuraciones de Linux y Unix y servicios. Es compatible con CCE.

Para Windows, especialmente las estaciones de trabajo de punto final, consulte - enlace . Sin embargo, Microsoft no usa CCE sino su propia taxonomía. . Otra herramienta parcialmente gratuita (con complementos comerciales y funcionalidad) es LunarLine AirLock , que se basa en los STIG de DISA.