普遍的弱点

2021 CWE最重要的硬件弱点

介绍

2021 CWE™最重要的硬件弱点是同类产品中的第一个，也是合作的结果硬件CWE特别兴趣小组（SIG），一个社区论坛，适用于代表硬件设计，制造，研究和安全领域的组织以及学术界和政府。

2021硬件列表的目标是通过CWE提高人们对常见硬件弱点的认识，并通过教育设计师和程序员如何在产品开发生命周期早期消除重要错误，以防止源头上的硬件安全问题。安全分析师和测试工程师可以在准备安全测试和评估计划中使用该列表。硬件消费者可以使用列表来帮助他们向供应商那里寻求更多安全的硬件产品。最后，经理和CIO可以将列表用作确保硬件并确定在哪里指导资源来开发安全工具或自动化过程的努力的进展，这些过程通过消除底层根本原因来减轻广泛的漏洞。

MITER在美国国土安全部的网络安全及基础设施安全局（CISA）的支持下维护CWE网站，介绍了2021年2021硬件清单弱点的详细描述，以及减轻和避免它们的权威指导。CWE网站包含有关900多个编程，设计和架构弱点的数据，这些弱点可能导致可利用的漏洞。Miter还发布了CWE TOP-25最危险的软件弱点每年。

2021 CWE最重要的硬件弱点

以下是CWE标识符以数值顺序列出的2021 CWE最重要的硬件弱点中弱点的简要列表。这是一个未排名的列表。

CWE-1189	不当隔离在芯片上系统（SOC）上的共享资源
CWE-1191	带有不当访问控制的片上调试和测试接口
CWE-1231	预防锁定位修改不当
CWE-1233	对安全敏感的硬件控件缺少锁定位保护
CWE-1240	使用具有风险实施的加密原始
CWE-1244	内部资产暴露于不安全的调试访问级别或状态
CWE-1256	对硬件功能的软件界面限制不当
CWE-1260	受保护的内存范围之间重叠的处理不当
CWE-1272	敏感信息在调试/功率状态过渡之前未清楚
CWE-1274	包含引导代码的挥发性内存的不当访问控制
CWE-1277	固件不可更新
CWE-1300	不当保护物理侧通道

方法

SIG的成员完成了最初的调查，以开始标识硬件“ Top-N”列表，他们每个人都从CWE语料库中的96个硬件条目中选择了优先的10个弱点。此过程总共确定了31个独特的条目。HW CWE团队还为参与者提供了一系列问题，可以在思维期间进行权衡，包括适用于患病率和检测指标，缓解指标，可剥削性指标和其他杂项指标。从最初的27个问题组中，SIG成员在对清单上的投票方面的考虑中尤为重要：

1. 这种弱点被伸出后一次检测到一次？
2. 弱点是否需要修改硬件来减轻它？
3. 在设计过程中检测到多久一次？
4. 测试期间检测到多久一次？
5. 一旦设备被放置，可以减轻弱点吗？
6. 利用这种弱点需要物理访问吗？
7. 可以通过软件完全进行这种弱点的攻击吗？
8. 对这种弱点的利用是否适用于广泛（或家族）设备？
9. 您将练习哪些方法来识别和预防已知的弱点和新弱点？

当反思初始调查中确定的31个条目时，SIG确定已发布的“ Top-N”列表的理想长度应约为总硬件CWE条目的百分之十，大约为10。相应地，SIG召集了一个正式的投票会议，用于提炼2021年9月先前选择的31个条目。使用卡片平台和李克特级方法，每个SIG成员都有机会将31个条目转移到优先的各种“桶”中（通过拖动和降低）。有五个桶：

• 强烈支持 - （包含在顶部N）
• 有点支持
• 没有意见
• 有点反对
• 强烈反对

投票后，CWE团队和SIG成员共同审查了调查结果，并应用了一种评分方法，其中将存储桶分别分别为+2，+1、0，-1和-2分别分配。对于每个CWE条目，这些权重乘以每个存储桶中的选票百分比，其百分比表示为0到1之间。最高得分为2.0（占所有投票的100％获得“强烈支持”）。得分最高的条目得分为1.42。这导致了31个先前选择的硬件CWE的排名，并在最高12和最高17个条目后得分清晰。最高的12个条目的分数从1.03到1.42，接下来的5个条目范围为0.91至0.97。下一个最高分数为0.80。这些条目成为2021 CWE最重要的硬件弱点列表和尖峰上的硬件弱点（请参见上方和下方）。尽管我们的方法论提出了这12（+5）个条目的排名，但HW CWE团队和SIG认为，将列表视为层次结构，按重要性设置为层次，这是不切实际的。根据我们的方法，应将条目视为一组大多数平等的硬件弱点问题。

有了这些标准，CWE最重要的硬件弱点的未来版本将演变为涵盖不同的弱点。我们的目标是为社区提供最有用的清单。我们的方法论的局限性如下阐明。

风口浪尖上的弱点

CWE团队以类似的方式与CWE前25个最危险的软件弱点相似，认为与硬件CWE SIG支持的另外五个硬件弱点很重要，但最终在2021 CWE最重要的硬件弱点之外得分。列表。

使用2021 CWE硬件列表进行缓解和风险决策的个人可能需要考虑在分析中包括这些其他弱点。CUSP上的弱点按CWE-ID以数值顺序列出。

CWE-226	重用之前，资源中未删除的敏感信息
CWE-1247	防止电压和时钟故障的防护不当
CWE-1262	登记接口的不当访问控制
CWE-1331	芯片网络中共享资源的不当隔离（NOC）
CWE-1332	不当处理故障导致教学跳过

方法的局限性

用于生成首届CWE最重要的硬件弱点列表的方法在科学和统计严格方面受到限制。在没有进行系统查询的更多相关数据的情况下，该列表是使用修改后的Delphi方法来汇编的，该方法利用了主观意见，尽管来自知情的内容知识专家。

软件CWE TOP-25在NIST国家漏洞数据库（NVD）中利用CVE®数据，用于考虑弱点类型频率和严重性的数据驱动方法。在硬件域中，这是不可能的，这主要是因为由于HW CWE的婴儿期，HW CWE与CVE的关联有限。最近，CVE计划一直在努力为硬件漏洞发布CVE记录。虽然释放后硬件漏洞的频率远不及软件的频率，但由于更加可用的硬件漏洞数据，因此CWE硬件列表方法可能会更改。

致谢

2021年CWE硬件团队包括（按姓氏按字母顺序排列）：John Butterworth，Steve Christey Coley，Kerry Crouse，Christina Johns，Gananand Kini，Chris Lathrop，Luke Malinowski和Alec Summers。

此外，非常感谢HW CWE SIG会员资格，其中包括在出版时（按字母顺序按名称）：

Alric Althoff，Tortuga逻辑
Andreas Schweiger，空中客车防御和空间
英特尔公司Arun Kanuparthi
Ashish Darbari，公理
英特尔公司布鲁斯·梦露（Bruce Monroe）
查尔斯·廷科（Charles Timko），红帽子
丹尼尔·迪马斯（Daniel Dimase）
佛罗里达大学Domenic Forte
Farbod Foomany，安全指南针
Hareesh Khattri，英特尔公司
James Pangburn，Cadence设计系统
英特尔公司Jason Fung
Jason Oberg，Tortuga逻辑
贾斯珀·范·沃登伯格（Jasper van Woudenberg），riscure
空军理工研究所约翰·鲍默（John Bommer）
凯西·鲱鱼Hayashi，高通
Lang Lin，Ansys
卢卡·邦戈尼（Luca Bongiorni），本特利系统
Matthew Coles，戴尔技术
Milind R. Kulkarni，Nvidia
莫汉·拉尔（Mohan Lal）
Narasimha Kumar v Mangipudi，晶格半导体
Naveen Sanaka，Dell Technologies
妮可·弗恩（Nicole Fern），riscure
英特尔公司Parbati K Manna
保罗·伍德森（Paul Woodson），米拉 - 霍里巴公司（Horiba Company）
保罗·沃特曼（Paul Wortman），富国银行
英特尔公司Sayee Santhosh Ramesh
英特尔公司Sohrab Aftabjahani
英特尔公司Srinivas Naik
托马斯·福特，戴尔技术

...还有许多其他选择保持匿名的人。