MITRE و CISA لیست رایج ترین ضعف­های سخت افزاری سال 2021 را منتشر کردند

MITRE و CISA لیست رایج ترین ضعف­های سخت افزاری سال 2021 را منتشر کردند

MITRE و CISA لیست رایج ترین ضعف­های سخت افزاری سال 2021 را منتشر کردند

این لیست با هدف افزایش آگاهی بخشی نسبت به ضعف­های رایج سخت افزاری از طریق CWE و آموزش طراحان و برنامه نویسان درباره نحوه رسیدگی به آنها به عنوان بخشی از چرخه عمر توسعه محصول منتشر شد.این لیست مجموعه شامل 12 ورودی آسیب پذیری است که امتیاز آنها از  1.03 تا 1.42 بود. (بالاترین امتیاز ممکن 2 بود)

در ادامه لیستی از ضعف های به اشتراک گذاشته شده توسط دو سازمان به ترتیب CWEهای شناسایی شده آورده شده است:

  • CWE-1189: ایزوله سازی نادرست منابع مشترک در سیستم روی یک تراشه ([1]SoC)
  • CWE-1191: رفع اشکال روی تراشه و رابط آزمایشی با کنترل دسترسی نامناسب
  • CWE-1231: جلوگیری نادرست از اصلاح و تغییر Lock Bit
  • CWE-1233: کنترل های سخت افزاری حساس به امنیت با محافظ Lock Bit گمشده
  • CWE-1240: استفاده از رمزنگاری اولیه با پیاده سازی پر مخاطره
  • CWE-1244: دارایی داخلی در معرض رفع اشکال نا امن سطح دسترسی
  • CWE-1256: اعمال محدودیت نادرست  از رابط های نرم افزاری تا ویژگی های سخت افزاری
  • CWE-1260: مدیریت نادرست همپوشانی بین محدوده های حافظه محافظت شده
  • CWE-1272: اطلاعات حساس پاک نشده قبل از رفع اشکال / تغییر وضعیت برق
  • CWE-1274: کنترل دستربسی نامناسب برای حافظه سبک و فرار حاوی کد بوت
  • CWE-1277: Firmware غیر قابل به روز رسانی
  • CWE-1300: محافظت نادرست کانال های جانبی فیزیکی
 

همچنین CIOها و مدیران امنیتی می توانند از این لیست برای ارزیابی کارایی برنامه خود برای امن سازی سخت افزارهای درون سازمانشان استفاده کنند. همچنین متخصصان لیستی از 5 ضعف دیگر که در ضعف های سخت افزاری Cusp گنجانده شده است را به اشتراک گذاشتند که بایستی توسط مدیران ریسک برطرف شود.

  • CWE-226: عدم حذف اطلاعات حساس موجود در منبع قبل از استفاده مجدد
  • CWE-1247: حفاظت نامناسب در برابراشکالات ولتاژ و ساعت
  • CWE-1262: کنترل دسترسی نامناسب برای رابط کاربری ثبت ام
  • CWE-1331: ایزوله اسزی نادرست منابع مشترک روی تراشه (NoC)
  • CWE-1332: مدیریت نادرست خطاهایی که منجر به نادیده گرفتن دستورالعمل می شود

مهمترین ضعف های سخت افزاری CWE2021 در نوع خود اولین و نتیجه همکاری درون گروه منافع خاص[2] (SIG) CWE سخت افزار است، یک انجمن Forum ای برای افرادی که نماینده سازمان ها، دولت ها و دانشگاه ها در زمینه طراحی، تولید، تحقیق و امنیت سخت افزار هستند.

تحلیلگران امنیتی و مهندسین تست می توانند از این لیست در تهیه برنامه هایی برای تست و ارزیابی امنیتی استفاده کنند. مصرف کندگان سخت افزار می توانند از این لیست برای کمک به آنها جهت درخواست محصولات سخت افزاری امن تر از تامین کنندگان خود استفاده کنند. نهایتا مدیران و CIOها می توانند از این لیست به عنوان معیار پیشرفت در تلاش هایشان جهت امن سازی سخت افزارشان استفاده کرده و مشخص کنند که منابع برای توسعه ابزارهای امنیتی یا فرآیندهای اتوماسیونی بایستی به کدام سمت هدایت شوند تا با از بین بردن علت اصلی،طیف وسیعی از آسیب پذیری ها کاهش یابند.

اعلامیه بدین ترتیب خوانده می شود: مهمترین ضعف های سخت افزاری CWE 2021 در نوع خود اولین ونتیجه همکاری

[1] System-on-a-Chip [2] Special Interest Group

اشتراک گذاری این مقاله