• صفحه خانگی
  • >
  • اخبار
  • >
  • انتشار لیستی از مهم‌ترین ضعف‌های امنیتی سخت‌افزاری در سال ۲۰۲۱

انتشار لیستی از مهم‌ترین ضعف‌های امنیتی سخت‌افزاری در سال ۲۰۲۱

نقاط ضعف امنیتی سخت‌افزاری

سازمان‌های MITRE و CISA لیست «Common Weakness Enumeration (CWE) از مهم‌ترین ضعف‌های امنیتی سخت‌افزاری سال 2021» را منتشر کردند.

شرکت MITRE و دپارتمان امنیت ملی (DHS) سازمان امنیت سایبری و امنیت زیرساخت امریکا (CISA) لیست «Common Weakness Enumeration (CWE) از مهم‌ترین ضعف‌های سخت‌افزاری سال 2021» را منتشر کرده‌اند.
این لیست با هدف افزایش آگاهی در زمینه ضعف‌های امنیتی سخت‌افزاری CWE و آموزش به طراحان و برنامه‌نویسان منتشر شده است تا در چرخه عمر توسعه محصولات خود، تمهیداتی را نیز برای این نقص‌های امنیتی در نظر بگیرند. لیست مذکور شامل 12 آسیب‌پذیری است که درجه ریسک میان 1.03 و 1.42 دارند (بالاترین درجه 2.0 است).

نقاط ضعفی که توسط این دو سازمان در لیست CWE منتشر شده‌اند عبارتند از:

توصیف آسیب‌پذیریشناسه CWE 
Improper Isolation of Shared Resources on System-on-a-Chip (SoC)CWE-1189
On-Chip Debug and Test Interface With Improper Access ControlCWE-1191
Improper Prevention of Lock Bit ModificationCWE-1231
Security-Sensitive Hardware Controls with Missing Lock Bit ProtectionCWE-1233
Use of a Cryptographic Primitive with a Risky ImplementationCWE-1240
Internal Asset Exposed to Unsafe Debug Access Level or StateCWE-1244
Improper Restriction of Software Interfaces to Hardware FeaturesCWE-1256
Improper Handling of Overlap Between Protected Memory RangesCWE-1260
Sensitive Information Uncleared Before Debug/Power State TransitionCWE-1272
Improper Access Control for Volatile Memory Containing Boot CodeCWE-1274
Firmware Not UpdateableCWE-1277
Improper Protection of Physical Side ChannelsCWE-1300

مدیران ارشد اطلاعات و مدیران امنیت می‌توانند این لیست را برای ارزیابی کارایی برنامه‌های امنیت سخت‌افزاری سازمان‌های خود به کار ببرند.
کارشناسان لیست دیگری از 5 نقطه ضعف تکمیلی منتشر کرده‌اند که شامل نقاط ضعف سخت‌افزاری Cusp است و باید توسط مدیران ریسک مورد توجه واقع شود:

توصیف آسیب‌پذیریشناسه CWE 
Sensitive Information in Resource Not Removed Before ReuseCWE-226
Improper Protection Against Voltage and Clock GlitchesCWE-1247
Improper Access Control for Register InterfaceCWE-1262
Improper Isolation of Shared Resources in Network On Chip (NoC)CWE-1331
Improper Handling of Faults that Lead to Instruction SkipsCWE-1332

در قسمت توضیحات این لیست آمده است:

«لیست مهم‌ترین نقاط ضعف سخت‌افزاری CWE 2021» اولین لیست در این زمینه است و در نتیجه‌ی همکاری با گروه SIG (Hardware CWE Special Interest Group)، تهیه شده است. این گروه یک فروم است که در آن نمایندگانی از سازمان‌های فعال در زمینه‌های طراحی سخت‌افزار، ساخت، تحقیقات و دامنه‌های امنیت حضور دارند».

در ادامه‌ی این توضیحات آمده است:

«تحلیل‌گران امنیت و مهندسان تست نرم‌افزار می‌توانند این لیست را برای تهیه‌ی برنامه‌های تست و ارزیابی امنیت به کار ببرند. خریداران سخت‌افزار نیز می‌توانند از این لیست برای خرید سخت‌افزارهای با امنیت بالا از تامین‌کنندگان استفاده کنند. در نهایت، کاربرد این لیست برای مدیران و به خصوص مدیران ارشد اطلاعات، موارد زیر است: ارزیابی میزان پیشرفت در اقدامات امنیتی برای ایمن‌سازی سخت‌افزار، تعیین چگونگی تخصیص منابع برای توسعه‌ی ابزارهای امنیتی و اتوماسیون پروسه‌هایی که بنیادی گروه بزرگی از آسیب‌پذیری‌ها را با از بین بردن دلیل ریشه‌ای آن‌ها از بین می‌برند».

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *