MITRE公司近日发布了其维护的CWE硬件漏洞2021年度排行,上榜的12个硬件漏洞是其组织的专家团队按照其自研的方法体系进行定性和定量评分选出来的。这是硬件漏洞是同类排行中的第一个,也是硬件CWE 特别兴趣小组(SIG)内部合作努力的结果,SIG是作为学术界和政府代表硬件设计、制造、研究和安全领域的组织的个人社区论坛。
背景介绍
2021硬件漏洞排行的目标是通过CWE提高对常见硬件漏洞的认识,并通过教育设计人员和程序员如何在产品开发生命周期的早期消除重要错误,从源头上防止硬件安全问题。安全分析师和测试工程师可以使用该列表来准备安全测试和评估计划。硬件消费者可以使用该列表来帮助他们向供应商索取更安全的硬件产品。最后,管理人员和CIO可以使用该列表作为衡量其硬件安全工作进度的标准,并确定将资源分配到何处来开发安全工具或自动化流程,通过消除潜在的根本原因来缓解各种漏洞。
MITRE在美国国土安全部网络安全和基础设施安全局 (CISA) 的支持下维护CWE网站,提供2021硬件漏洞的详细描述以及减轻和避免这些漏洞的权威指南。CWE网站上包含有关900多个可能导致可利用漏洞的编程、设计和架构漏洞的数据。MITRE还每年发布CWE前25名最危险的软件弱点。
2021年CWE最重要的硬件漏洞排行结果
以下是按CWE标识符按数字顺序列出的2021年CWE最重要硬件漏洞中的简要列表。这是一个没有顺序的列表。
CWE-1189 | 片上系统 (SoC) 上共享资源的不当隔离 |
CWE-1191 | 具有不当访问控制的片上调试和测试接口 |
CWE-1231 | 锁定位修改不当预防 |
CWE-1233 | 具有丢失锁定位保护的安全敏感硬件控制 |
CWE-1240 | 使用具有风险实施的加密原语 |
CWE-1244 | 暴露于不安全调试访问级别或状态的内部资产 |
CWE-1256 | 软件接口对硬件功能的不当限制 |
CWE-1260 | 受保护内存范围之间重叠处理不当 |
CWE-1272 | 调试/电源状态转换前未清除的敏感信息 |
CWE-1274 | 对包含引导代码的易失性内存的不当访问控制 |
CWE-1277 | 固件不可更新 |
CWE-1300 | 物理侧信道保护不当 |
排行榜采用的评估方法
开始确定硬件“Top-N”列表的初步调查工作是由SIG成员完成的,他们每个人都从CWE 语料库的96个硬件条目中选择了一组优先的10个漏洞。此过程共确定了31个唯一条目。HW CWE 团队还提供了一组问题供参与者在思考过程中进行权衡,包括适用于流行度和检测指标、缓解指标、可利用性指标和其他杂项指标的问题。从最初的27个问题中,SIG成员确定了9个问题,这些问题在他们考虑对名单进行投票时特别重要,具体是:
1.这种漏洞在部署后多久被检测到?
2.该漏洞是否需要修改硬件来缓解它?
3.在设计过程中检测到这种漏洞的频率如何?
4.在测试期间检测到此漏洞的频率如何?
5.一旦设备投入使用,这个漏洞能否得到缓解?
6.是否需要物理访问才能利用此漏洞?
7.利用此漏洞的攻击能否完全通过软件进行?
8.针对此漏洞的单一漏洞利用是否适用于范围广泛(或系列)的设备?
9.采用哪些方法来识别和预防已知漏洞和新漏洞?
在对初步调查期间确定的31个漏洞进行评估时,SIG确定已发布的“Top-N”列表的理想数量应约为硬件CWE条目总数的10%——大约10个。因此,SIG召开会议以保持2021年9月举行了一次正式投票会议,以提炼之前选定的31个条目。使用卡片分类平台和李克特量表方法,每个SIG成员都有机会将31个条目转移到各种优先级“桶”中(通过拖动和降低)。有五个桶:
强烈支持——(用于列入前 N)
有点支持
没有意见
有点反对
强烈反对
投票结束后,CWE团队和SIG成员共同审查了调查结果并应用了一种评分方法,其中为桶分配了 +2、+1、0、-1 和 -2 的权重。对于每个CWE条目,这些权重与每个桶中的投票百分比相乘,百分比表示为0到1之间的值。最高可能得分为2.0(100% 的票数为“强烈支持”)。得分最高的条目的得分为1.42。这导致了之前选择的31个硬件CWE的排名顺序,在最高12项和最高17项之后的得分有明确的划分。最高的12个条目的分数从1.03到1.42,接下来的5个条目的得分范围为0.91到0.97。次高分是0.80。这些条目成为2021年CWE最重要的硬件漏洞列表和TOP硬件弱点。虽然研究团队的方法对这 12(+5)个条目进行了排名,但HW CWE团队和SIG认为将列表视为一个层级的漏洞,按重要性排序的集合是不切实际的。根据该方法,这些条目应该被认为是一组基本相同的硬件漏洞问题。
有了这些标准,CWE最重要的硬件漏洞的未来版本将演变为涵盖不同的漏洞。研究团队的目标是为社区提供最有用的列表。方法的局限性如下所述。
另外五个需要关注的漏洞
与CWE前25名最危险的软件弱点类似,CWE团队认为分享这五个额外的硬件弱点很重要,这些弱点得到了硬件CWE SIG的支持,但最终得分在2021年CWE最重要的硬件漏洞之外列表。
使用2021年CWE硬件列表执行缓解和风险决策的个人可能需要考虑在他们的分析中覆盖到这几个漏洞。Cusp上的漏洞按CWE-ID的数字顺序列出。
CWE-226 | 重用前未删除资源中的敏感信息 |
CWE-1247 | 针对电压和时钟毛刺的不当保护 |
CWE-1262 | 寄存器接口访问控制不当 |
CWE-1331 | 片上网络 (NoC) 中共享资源的不当隔离 |
CWE-1332 | 错误处理导致指令跳过 |
漏洞排行评估方法的局限性
用于生成首个CWE最重要硬件漏洞列表的方法在科学和统计严谨性方面有其局限性。在缺乏更多相关数据进行系统查询的情况下,该列表是使用改进的德尔菲法利用主观意见编制的,尽管来自知情的内容知识专家。
软件CWE Top-25利用NIST国家漏洞数据库(NVD)中的CVE® 数据,采用数据驱动的方法,考虑漏洞类型频率和严重性。这在硬件领域是不可能的,主要是因为HW CWE与 CVE的关联有限,因为HW CWE还处于起步阶段。最近,CVE程序一直致力于发布硬件漏洞的CVE记录。虽然发布后硬件漏洞的频率远低于软件,但随着越来越多的硬件漏洞数据可用,CWE硬件列表方法可能会发生变化。
参考资源
1、https://www.darkreading.com/vulnerabilities-threats/top-hardware-weaknesses-list-debuts
2、https://cwe.mitre.org/scoring/lists/2021_CWE_MIHW.html
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。