《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > MITRE發(fā)布2021年度最重要的硬件漏洞排行

MITRE發(fā)布2021年度最重要的硬件漏洞排行

2021-10-29
來(lái)源:網(wǎng)空閑話
關(guān)鍵詞: MITRE 硬件漏洞

  MITRE公司近日發(fā)布了其維護(hù)的CWE硬件漏洞2021年度排行,,上榜的12個(gè)硬件漏洞是其組織的專(zhuān)家團(tuán)隊(duì)按照其自研的方法體系進(jìn)行定性和定量評(píng)分選出來(lái)的,。這是硬件漏洞是同類(lèi)排行中的第一個(gè),也是硬件CWE 特別興趣小組(SIG)內(nèi)部合作努力的結(jié)果,SIG是作為學(xué)術(shù)界和政府代表硬件設(shè)計(jì),、制造、研究和安全領(lǐng)域的組織的個(gè)人社區(qū)論壇,。

  背景介紹

  2021硬件漏洞排行的目標(biāo)是通過(guò)CWE提高對(duì)常見(jiàn)硬件漏洞的認(rèn)識(shí),,并通過(guò)教育設(shè)計(jì)人員和程序員如何在產(chǎn)品開(kāi)發(fā)生命周期的早期消除重要錯(cuò)誤,從源頭上防止硬件安全問(wèn)題,。安全分析師和測(cè)試工程師可以使用該列表來(lái)準(zhǔn)備安全測(cè)試和評(píng)估計(jì)劃,。硬件消費(fèi)者可以使用該列表來(lái)幫助他們向供應(yīng)商索取更安全的硬件產(chǎn)品。最后,,管理人員和CIO可以使用該列表作為衡量其硬件安全工作進(jìn)度的標(biāo)準(zhǔn),,并確定將資源分配到何處來(lái)開(kāi)發(fā)安全工具或自動(dòng)化流程,通過(guò)消除潛在的根本原因來(lái)緩解各種漏洞,。

  MITRE在美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 的支持下維護(hù)CWE網(wǎng)站,,提供2021硬件漏洞的詳細(xì)描述以及減輕和避免這些漏洞的權(quán)威指南。CWE網(wǎng)站上包含有關(guān)900多個(gè)可能導(dǎo)致可利用漏洞的編程,、設(shè)計(jì)和架構(gòu)漏洞的數(shù)據(jù),。MITRE還每年發(fā)布CWE前25名最危險(xiǎn)的軟件弱點(diǎn)。

  2021年CWE最重要的硬件漏洞排行結(jié)果

  以下是按CWE標(biāo)識(shí)符按數(shù)字順序列出的2021年CWE最重要硬件漏洞中的簡(jiǎn)要列表,。這是一個(gè)沒(méi)有順序的列表,。

  CWE-1189

  片上系統(tǒng) (SoC) 上共享資源的不當(dāng)隔離

  CWE-1191

  具有不當(dāng)訪問(wèn)控制的片上調(diào)試和測(cè)試接口

  CWE-1231

  鎖定位修改不當(dāng)預(yù)防

  CWE-1233

  具有丟失鎖定位保護(hù)的安全敏感硬件控制

  CWE-1240

  使用具有風(fēng)險(xiǎn)實(shí)施的加密原語(yǔ)

  CWE-1244

  暴露于不安全調(diào)試訪問(wèn)級(jí)別或狀態(tài)的內(nèi)部資產(chǎn)

  CWE-1256

  軟件接口對(duì)硬件功能的不當(dāng)限制

  CWE-1260

  受保護(hù)內(nèi)存范圍之間重疊處理不當(dāng)

  CWE-1272

  調(diào)試/電源狀態(tài)轉(zhuǎn)換前未清除的敏感信息

  CWE-1274

  對(duì)包含引導(dǎo)代碼的易失性?xún)?nèi)存的不當(dāng)訪問(wèn)控制

  CWE-1277

  固件不可更新

  CWE-1300

  物理側(cè)信道保護(hù)不當(dāng)

  回到頂部

  排行榜采用的評(píng)估方法

  開(kāi)始確定硬件“Top-N”列表的初步調(diào)查工作是由SIG成員完成的,他們每個(gè)人都從CWE 語(yǔ)料庫(kù)的96個(gè)硬件條目中選擇了一組優(yōu)先的10個(gè)漏洞,。此過(guò)程共確定了31個(gè)唯一條目,。HW CWE 團(tuán)隊(duì)還提供了一組問(wèn)題供參與者在思考過(guò)程中進(jìn)行權(quán)衡,包括適用于流行度和檢測(cè)指標(biāo),、緩解指標(biāo),、可利用性指標(biāo)和其他雜項(xiàng)指標(biāo)的問(wèn)題。從最初的27個(gè)問(wèn)題中,,SIG成員確定了9個(gè)問(wèn)題,,這些問(wèn)題在他們考慮對(duì)名單進(jìn)行投票時(shí)特別重要,具體是:

  1.這種漏洞在部署后多久被檢測(cè)到,?

  2.該漏洞是否需要修改硬件來(lái)緩解它,?

  3.在設(shè)計(jì)過(guò)程中檢測(cè)到這種漏洞的頻率如何?

  4.在測(cè)試期間檢測(cè)到此漏洞的頻率如何?

  5.一旦設(shè)備投入使用,,這個(gè)漏洞能否得到緩解,?

  6.是否需要物理訪問(wèn)才能利用此漏洞?

  7.利用此漏洞的攻擊能否完全通過(guò)軟件進(jìn)行,?

  8.針對(duì)此漏洞的單一漏洞利用是否適用于范圍廣泛(或系列)的設(shè)備,?

  9.采用哪些方法來(lái)識(shí)別和預(yù)防已知漏洞和新漏洞?

  在對(duì)初步調(diào)查期間確定的31個(gè)漏洞進(jìn)行評(píng)估時(shí),,SIG確定已發(fā)布的“Top-N”列表的理想數(shù)量應(yīng)約為硬件CWE條目總數(shù)的10%——大約10個(gè),。因此,SIG召開(kāi)會(huì)議以保持2021年9月舉行了一次正式投票會(huì)議,,以提煉之前選定的31個(gè)條目,。使用卡片分類(lèi)平臺(tái)和李克特量表方法,每個(gè)SIG成員都有機(jī)會(huì)將31個(gè)條目轉(zhuǎn)移到各種優(yōu)先級(jí)“桶”中(通過(guò)拖動(dòng)和降低),。有五個(gè)桶:

  強(qiáng)烈支持——(用于列入前 N)

  有點(diǎn)支持

  沒(méi)有意見(jiàn)

  有點(diǎn)反對(duì)

  強(qiáng)烈反對(duì)

  投票結(jié)束后,,CWE團(tuán)隊(duì)和SIG成員共同審查了調(diào)查結(jié)果并應(yīng)用了一種評(píng)分方法,其中為桶分配了 +2,、+1,、0、-1 和 -2 的權(quán)重,。對(duì)于每個(gè)CWE條目,,這些權(quán)重與每個(gè)桶中的投票百分比相乘,百分比表示為0到1之間的值,。最高可能得分為2.0(100% 的票數(shù)為“強(qiáng)烈支持”),。得分最高的條目的得分為1.42。這導(dǎo)致了之前選擇的31個(gè)硬件CWE的排名順序,,在最高12項(xiàng)和最高17項(xiàng)之后的得分有明確的劃分,。最高的12個(gè)條目的分?jǐn)?shù)從1.03到1.42,接下來(lái)的5個(gè)條目的得分范圍為0.91到0.97,。次高分是0.80,。這些條目成為2021年CWE最重要的硬件漏洞列表和TOP硬件弱點(diǎn)。雖然研究團(tuán)隊(duì)的方法對(duì)這 12(+5)個(gè)條目進(jìn)行了排名,,但HW CWE團(tuán)隊(duì)和SIG認(rèn)為將列表視為一個(gè)層級(jí)的漏洞,,按重要性排序的集合是不切實(shí)際的。根據(jù)該方法,,這些條目應(yīng)該被認(rèn)為是一組基本相同的硬件漏洞問(wèn)題。

  有了這些標(biāo)準(zhǔn),,CWE最重要的硬件漏洞的未來(lái)版本將演變?yōu)楹w不同的漏洞,。研究團(tuán)隊(duì)的目標(biāo)是為社區(qū)提供最有用的列表。方法的局限性如下所述。

  回到頂部

  另外五個(gè)需要關(guān)注的漏洞

  與CWE前25名最危險(xiǎn)的軟件弱點(diǎn)類(lèi)似,,CWE團(tuán)隊(duì)認(rèn)為分享這五個(gè)額外的硬件弱點(diǎn)很重要,,這些弱點(diǎn)得到了硬件CWE SIG的支持,但最終得分在2021年CWE最重要的硬件漏洞之外列表,。

  使用2021年CWE硬件列表執(zhí)行緩解和風(fēng)險(xiǎn)決策的個(gè)人可能需要考慮在他們的分析中覆蓋到這幾個(gè)漏洞,。Cusp上的漏洞按CWE-ID的數(shù)字順序列出。

  CWE-226

  重用前未刪除資源中的敏感信息

  CWE-1247

  針對(duì)電壓和時(shí)鐘毛刺的不當(dāng)保護(hù)

  CWE-1262

  寄存器接口訪問(wèn)控制不當(dāng)

  CWE-1331

  片上網(wǎng)絡(luò) (NoC) 中共享資源的不當(dāng)隔離

  CWE-1332

  錯(cuò)誤處理導(dǎo)致指令跳過(guò)

  回到頂部

  漏洞排行評(píng)估方法的局限性

  用于生成首個(gè)CWE最重要硬件漏洞列表的方法在科學(xué)和統(tǒng)計(jì)嚴(yán)謹(jǐn)性方面有其局限性,。在缺乏更多相關(guān)數(shù)據(jù)進(jìn)行系統(tǒng)查詢(xún)的情況下,,該列表是使用改進(jìn)的德?tīng)柗品ɡ弥饔^意見(jiàn)編制的,盡管來(lái)自知情的內(nèi)容知識(shí)專(zhuān)家,。

  軟件CWE Top-25利用NIST國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)中的CVE? 數(shù)據(jù),,采用數(shù)據(jù)驅(qū)動(dòng)的方法,考慮漏洞類(lèi)型頻率和嚴(yán)重性,。這在硬件領(lǐng)域是不可能的,,主要是因?yàn)镠W CWE與 CVE的關(guān)聯(lián)有限,因?yàn)镠W CWE還處于起步階段,。最近,,CVE程序一直致力于發(fā)布硬件漏洞的CVE記錄。雖然發(fā)布后硬件漏洞的頻率遠(yuǎn)低于軟件,,但隨著越來(lái)越多的硬件漏洞數(shù)據(jù)可用,,CWE硬件列表方法可能會(huì)發(fā)生變化。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。