“
天极按
近日,网络安全和基础设施安全局(CISA)发布了《联合网络防御协作组织人工智能网络安全协作手册》(Joint Cyber Defense Collaborative (JCDC) Artificial Intelligence (AI) Cybersecurity Collaboration Playbook)。该手册是通过 JCDC 与联邦、国际和私营部门合作伙伴共同开发的,它为人工智能社区(包括人工智能提供商、开发商和采用者)提供了关于如何自愿共享可操作事件信息的基本指导,并介绍了主动共享信息如何能够加强操作协作和提高人工智能系统的复原力。
网络安全和基础设施安全局(CISA)通过联合网络防御协作组织(JCDC)与联邦、国际和私营部门的合作伙伴合作,牵头制定了人工智能(AI)网络安全协作手册。JCDC 是 CISA 内部的一个公私协作组织,利用国会在 2021 年《国防授权法案》(NDAA)中授予的权力,联合全球网络社区共同防御网络空间。JCDC 人工智能网络安全合作手册是 2024 年举行的两次桌面演习 (TTX) 的直接成果,这两次演习汇集了联邦、行业和国际合作伙伴。第一次桌面演习于 2024 年 6 月在弗吉尼亚州雷斯顿的微软公司举行,通过应对人工智能(AI)网络安全事件带来的独特挑战奠定了基础。这项基础性工作为操作手册的早期开发提供了参考。第二次 TTX 于 2024 年 9 月在加利福尼亚州旧金山的 Scale AI 总部举行,通过模拟金融服务领域的人工智能网络安全事件,帮助参与者进一步完善操作手册。CISA 将大约 150 名参与者(包括来自美国联邦机构、私营部门和国际政府组织的代表)的实时反馈纳入了游戏手册。这些演习强调了加强业务协作和信息共享的必要性,最终形成了操作手册的最终版本。
受众
本手册向网络安全操作专业人员(包括事件响应人员、安全分析师和其他技术人员)介绍如何与 CISA 和 JCDC 合作并共享有关人工智能相关网络安全事件和漏洞的信息。
背景介绍
CISA 作为美国的网络防御机构和关键基础设施安全与恢复能力国家协调员,在应对人工智能特定网络安全挑战方面发挥着至关重要的作用。通过 JCDC.AI,CISA 建立了公私合作伙伴关系,以改善信息共享并制定计划,促进协调应对针对软件系统(包括人工智能系统)的网络威胁。随着人工智能越来越多地融入关键基础设施,了解并应对其独特的挑战和复杂性,对于加强对恶意网络行为者的防御至关重要。
人工智能系统依赖于数据驱动的非确定性模型,因此具有独特的复杂性,容易受到恶意网络活动的攻击,如模型中毒、数据篡改和对抗性输入。CISA 与 JCDC 合作伙伴合作,利用共享的知识和能力来对抗恶意网络行为者并加强集体应变能力。
目的
JCDC 人工智能网络安全合作手册促进人工智能社区(包括人工智能提供商、开发商和采用者)自愿共享信息,以加强集体网络防御,应对新兴威胁。该手册旨在促进政府、行业和国际合作伙伴之间的业务合作,并将定期更新,以确保随着人工智能应用的加速,能够适应动态的威胁环境。该手册旨在:
指导 JCDC 合作伙伴如何自愿共享与人工智能系统相关的事件和漏洞信息。
概述 CISA 在收到共享信息后应采取的行动。
促进联邦机构、私营企业、国际合作伙伴和其他利益相关者之间的合作,以提高对人工智能网络安全风险的认识,并提高人工智能系统的复原力。
虽然该手册侧重于加强联合反恐委员会内部的合作,但也定义了适用于其他信息共享机制的关键信息类别(附录 C),如信息共享和分析中心(ISAC)。CISA 鼓励各组织采用该操作手册的指导意见来加强自身的信息共享实践,从而有助于采用统一的方法来应对关键基础设施中与人工智能相关的威胁。
关键定义
JCDC 人工智能网络安全协作手册纳入了关键立法和技术框架中的定义,为应对人工智能网络安全挑战奠定了基础。
人工智能系统: 基于机器的系统,针对人类定义的特定目标,做出影响真实或虚拟环境的预测、建议或决策。这些人工智能系统使用基于机器和人类的输入来感知环境,通过自动分析将这些感知抽象为模型,并使用模型推理来提供信息或行动选项。
事件: “事件 “一词是指未经合法授权而实际或即将危及信息系统信息的完整性、保密性或可用性,或未经合法授权而实际或即将危及信息系统的事件。
根据这些定义,CISA 制定了人工智能网络安全事件的工作定义:“未经合法授权,实际或即将危及人工智能系统、人工智能系统启用和/或创建的任何其他系统或存储在任何这些系统上的信息的保密性、完整性或可用性的事件"。
网络安全事件通常源于软件或系统中的漏洞。美国国家标准与技术研究院(NIST)将漏洞定义为 “信息系统、系统安全程序、内部控制或实施中可能被威胁源利用或触发的弱点”,是人工智能系统网络安全的核心。该手册还有助于协调披露关键基础设施中与人工智能系统相关的漏洞。
信息共享: 保护与机制
通过 JCDC 共享信息,公司可从加强协调和政府支持中获益,并获得在可信环境中就人工智能网络安全问题进行合作的能力。JCDC 为关键基础设施部门的重要网络安全问题提供了沟通机制,使企业能够讨论和应对人工智能网络安全方面的共同挑战。JCDC 的召集能力可帮助企业获得有价值的威胁情报、缓解策略和协作性网络安全环境。
通过共享信息,JCDC 加快了对网络威胁的协调响应,并帮助政府合作伙伴收集必要信息,以确定是否应启动国家事件响应机制。此外,JCDC 还制作和分发相关的网络威胁情报、漏洞管理见解和缓解策略,使公司能够更好地管理和消除新出现的威胁。
信息共享保护
《网络安全信息共享法案(2015)》(CISA 2015)为非联邦实体提供了保护,使其可以按照特定要求与政府共享网络威胁指标和网络安全防御措施,并规定尽管有任何其他法律,它们也可以这样做。这些保护措施包括不放弃特权、保护专有信息、免于根据《信息自由法》(FOIA)进行披露、禁止在监管执法中使用等。《网络安全信息共享法案(2015)》还要求国土安全部具备与联邦政府和私营部门实体共享网络威胁指标的能力和流程,并为通过该流程共享的信息提供责任保护。该法规还为按照法定要求与州、地方、部落和领地 (SLTT) 实体共享的网络威胁指标和防御措施制定了保护措施,包括根据 SLTT 信息自由法,这些信息免于披露。《网络安全信息共享法案(2015)》不涵盖法律规定的非网络威胁指标或防御措施的共享信息。与人工智能相关的信息只要符合网络威胁指标或防御措施的条件,就属于该法的管辖范围。
信息共享机制
CISA 制定了管理和保护 JCDC 合作伙伴共享数据的流程。
JCDC 内部的信息共享
CISA 利用交通灯协议 (TLP) 作为其主要的传播控制标记系统。JCDC 内部通过电子邮件共享的所有数据均应明确标注相关的 TLP 名称。同样,其他利益相关者也可通过电子邮件与 JCDC 共享信息,CISA.JCDC@cisa.dhs.gov,并遵循 TLP 标记系统。某些 TLP 标记要求在向组织外传播前获得信息来源的许可。所有组织都应在分享前寻求适当的许可。下文 “主动信息共享 ”和 “关于事件或漏洞的信息共享 ”部分提供了有关与 JCDC 共享的有价值信息类型的更多指导。
有时,JCDC 合作伙伴可能希望在不注明出处的情况下共享信息。在这种情况下,这些合作伙伴可直接与 CISA 共享,由 CISA 在不注明出处的情况下继续共享。合作伙伴在与 CISA 共享信息时,应提供有关如何处理其信息的详细说明,并指定信息使用的任何限制(如清单 1 所述)。 有了这些保障措施和协议,CISA 可在 JCDC 内部营造一个共享关键网络安全信息的安全环境,鼓励积极参与并保护敏感数据。附录 A 提供了表 1 的填充示例。
表 1:信息处理限制与背景
新漏洞协调实践
要报告新发现的产品和服务中的网络安全漏洞,JCDC 合作伙伴应使用 CISA 的协调漏洞披露流程。合作伙伴可通过 CISA 协调漏洞披露页面上的 “报告漏洞 ”链接安全地提交漏洞。如果 JCDC 合作伙伴对此流程有疑问或担忧,请联系 JCDC 代表。该代表可将合作伙伴与 CISA 漏洞管理人员联系起来。
其他需要考虑的漏洞协调最佳实践:
制定并实施漏洞披露政策 (VDP),以便安全研究人员和其他人员了解哪些类型的测试可用于哪些系统,以及向何处发送漏洞报告。有关 CISA 与联邦机构共享的 VDP 示例,请参阅 Binding Operational Directive 20-01。联合数据中心合作伙伴应酌情修改 VDP 模板。
如果在 JCDC 合作伙伴运营的系统中发现漏洞,各实体应按照该合作伙伴的 VDP,根据其特定指南报告问题。
如果 JCDC 合作伙伴发现已部署的联邦政府系统中存在漏洞,则应按照其 VDP 中的要求通知系统所有者。作为最后手段,可通过卡内基梅隆大学软件工程研究所 (SEI) CERT 协调中心向 CISA 报告这些问题。
事件报告
要报告事件,JCDC 合作伙伴应使用 CISA 的自愿网络事件报告门户。报告实体应在表格中提供的解释性文本框中描述事件中与人工智能相关的任何方面。
主动共享信息
JCDC 强烈鼓励合作伙伴尽早主动共享人工智能网络安全事件或漏洞的可操作信息。鉴于人工智能系统的复杂性以及在识别安全问题及其根源方面的挑战,JCDC 合作伙伴应持续、主动地共享有关恶意活动、趋势、发布前出版物和评估的关键信息。持续的信息共享可使所有合作伙伴保持对不断变化的环境的态势感知,从而实现对关键威胁的早期检测、识别和修复。通过建立一个信息灵通、相互协作的网络防御网络,JCDC 加强了对所有关键基础设施部门的人工智能系统的保护和恢复能力。
表 1 所列的主动信息共享类别有助于 CISA 和 JCDC 合作伙伴评估已观察到的相关信息,了解行动环境的复杂性,并就潜在的防御行动做出明智决策。另请参阅附录 B,了解鼓励合作伙伴主动共享信息的事件示例。
表 1:主动信息类别
共享有关事件或漏洞的信息
JCDC 合作伙伴应表2,自愿共享有关人工智能网络安全事件或漏洞的信息。其他利益相关方可通过电子邮件与 JCDC 共享自愿信息,电子邮件地址为 CISA.JCDC@cisa.dhs.gov。该核对表有助于突出可操作的数据,以简化 JCDC 与合作伙伴之间的共享流程。附录 A 提供了表2 的填充示例。 JCDC 鼓励合作伙伴遵循核对表,同时也欢迎共享任何相关信息,即使未满足核对表的所有要点。
此外,使用网络表格自愿报告事件或产品或服务中的漏洞是通过加密渠道向 CISA 提供所有相关信息的好方法。如果使用网络表格,JCDC 合作伙伴应通过电子邮件通知 JCDC 代表。
表 2:主动信息共享
CISA 的信息分析和业务使用
图 1:CISA集体行动方法
作为从 JCDC合作伙伴收集信息的中心枢纽,CISA管理和协调所需的集体行动(见图1)。当 CISA收到有关网络安全事件或漏洞(包括人工智能特有的事件或漏洞)的信息时,它首先会将信息输入中央跟踪平台进行汇总和验证。在此阶段,CISA会删除任何可能不构成威胁的合法或良性指标,并确保从数据集中删除任何可识别受害者身份的信息,以保护隐私。
接下来,CISA继续分析和丰富数据。这包括确认指标是否与特定合作伙伴(如云服务提供商或互联网服务提供商)相关,以酌情促进协调。可利用CISA 现有数据进一步丰富信息。CISA会进行额外的分析,通过透视相关信息来获取更多见解。
然后,CISA可考虑进行内部和外部协调,根据共享的信息采取适当的防御行动。收集、匿名和丰富的指标可输入入侵检测系统,以保护联邦文职行政部门(FCEB)机构、州、地方、部落和领土(SLTT)实体以及关键基础设施资产。在某些情况下,可为联邦文职行政机构实施域块,以应对威胁。
如其 TLP级别所示,信息还可与行业、美国联邦政府、SLTT和国际合作伙伴共享,以支持网络防御目的。在共享信息的过程中,JCDC合作伙伴可能会获得并进一步分享更多的见解,从而在所有相关合作伙伴之间形成多向信息流。这种丰富的信息流可促成分析交流、公共网络安全咨询(与JCDC 合作伙伴协调)以及更广泛的跨部门合作,共同应对网络威胁。
加强协作
图 3:CISA信息共享与协作流程
加强协调涉及在常规操作无法完全解决或理解网络安全问题时加强信息共享和扩大合作。在这种情况下,CISA和 JCDC合作伙伴可选择实施额外机制并增加沟通频率,以改进事件响应和补救工作。这些活动都是自愿的,并根据情况按需启动。
CISA 对合作伙伴共享的信息进行评估,决定采取何种行动,并根据情况的变化调整加强协调的程度。CISA在很大程度上依赖于与JCDC 合作伙伴的合作,以评估哪些事件值得进一步分析并确定加强协调的优先次序。附录B 中详述的PyTorch 依赖链受损事件就是一个需要加强协调的活动实例。
信息共享有助于 CISA采取各种有针对性的行动来加强网络安全。这些行动可以单独执行,也可以合并执行,具体取决于已识别威胁或漏洞的性质。这一过程本身是动态的,涉及多个利益相关者之间的合作,通常是同时进行的。CISA采用灵活、综合的方法,根据不断变化的威胁情况调整应对措施,包括但不限于:
为检测和预防目的共享信息: 在美国政府机构、私营部门、SLTT、关键基础设施和国际合作伙伴之间传播关键威胁情报,以加强集体网络安全工作。
揭露并瓦解对手的战术和基础设施: 通过公共网络安全咨询、TLP:CLEAR 或 TLP:GREEN 报告或小组共享,揭露并潜在地降低对手使用的战术、技术和基础设施所带来的风险。
协调应对恶意基础设施的战略: 与相关合作伙伴合作,识别网络攻击中使用的由对手控制的基础设施,并制定有效的缓解策略。
识别并通知受害实体: 识别受网络事件影响或可能受网络事件影响的组织,并及时发出警报,以便迅速采取保护措施。
共享检测能力: 为 JCDC 合作伙伴提供策略,以提高其识别和缓解自身网络中的网络威胁的能力。
制作和分发相关的威胁情报产品: 创建可操作的产品,如威胁咨询和情报报告,其中包括分析、缓解建议和当前威胁状况的更新。
提供主动服务和参与: 主动与合作伙伴接触,提供量身定制的建议、漏洞管理策略和最佳实践,以便在事件发生前加强防御。
通过响应式参与评估不断变化的威胁: 促进实时响应参与,如电话和协调会议,以帮助合作伙伴更好地了解威胁环境,并确定适当的下一步措施。这有助于确保合作伙伴了解预期的行动以及如何有效应对。
作为加强协调的一部分,JCDC与联邦政府合作伙伴密切合作,对重大人工智能网络安全问题做出统一回应。通过这种合作,联邦政府的能力得到了统一,确保在应对重大威胁或漏洞时考虑到所有可用资源和专业知识。与联邦政府合作伙伴协调有助于确保CISA 和 JCDC采取的行动与更广泛的政府工作相辅相成,从而加强事件响应和补救战略的整体有效性。
行动呼吁
JCDC人工智能网络安全合作手册为人工智能社区(包括人工智能提供商、开发商和采用者)自愿共享信息提供了重要指导,以加强集体防御,应对不断变化的网络威胁。随着人工智能应用的加速,人工智能系统的威胁范围不断扩大,带来了新的漏洞和安全挑战。本手册将定期更新,通过政府、行业和国际合作伙伴之间的积极合作来应对这些挑战。
JCDC 合作伙伴应将该手册纳入其事件响应和信息共享流程,根据需要进行迭代改进,并提供反馈。请参阅 “问题与反馈 ”部分的说明。通过持续的合作和实际应用,这种持续的投入可加强和调整该手册。
为加强合作与参与,JCDC邀请人工智能安全专家和利益相关者考虑采取以下行动:
标记技术交流机会: JCDC 合作伙伴应确定并分享与影响人工智能界的新兴威胁、对手或漏洞相关的技术交流机会。这些交流可提供重要的见解,使 JCDC 和 CISA 能够积极应对共同的风险。
确定人工智能界的优先问题: 突出关键问题和风险有助于确保 JCDC 的优先事项与人工智能界确定的最紧迫挑战保持一致。这种一致性有助于更有针对性、更有效地满足关键的人工智能安全需求。
促进事后分析和知识共享: 在社区内开发和共享事后分析、案例研究和教育内容,可促进积极主动地应对人工智能安全挑战。分享经验教训可加强集体应变能力,提高应对未来事件的准备程度。
成为 JCDC 合作伙伴: 加入由来自全球各组织的网络防御者组成的多元化团队,该团队致力于主动收集、分析和共享可操作的网络风险信息,以实现同步的网络安全规划、网络防御和响应。要了解有关 JCDC 的更多信息,请访问 CISA 的 JCDC 网页并发送电子邮件至 CISA.JCDC@cisa.dhs.gov。
通过人工智能社区的积极参与,该手册将成为应对未来人工智能安全形势的动态资源。随着关键基础设施所有者和运营商越来越多地使用人工智能工具,业务合作在加强网络安全和推进人工智能技术的安全应用方面发挥着至关重要的作用。
附录A:信息处理限制和自愿信息共享核对表填充示例
以下是基于 2023年 1 月提交给MITRE ATLAS 的真实案例研究 “通过提示注入在 MathGPT 中执行代码 ”的自愿信息共享核对表填写示例。该事件涉及一名行为者利用提示注入漏洞访问应用程序主机系统的环境变量和GPT-3 API 密钥。利用这一访问权限,该行为者对MathGPT 执行了拒绝服务(DoS)攻击,MathGPT是一个采用 GPT-3语言模型回答用户生成的数学问题的公共应用程序。该攻击还可能耗尽应用程序的API 查询预算或完全中断其运行。
尽管 MathGPT团队后来已经缓解了此次事件中发现的漏洞,但本案例研究仍被用于填充自愿信息共享清单。本示例以MathGPT 开发人员在检测到攻击后不久对攻击做出响应的视角编写,就像事件仍在活动一样。
附录B:主动共享信息和加强协调的案例研究
主动信息共享实例:Clearview 人工智能配置错误案例研究
为了说明现实世界中的威胁行为者在日常操作中可能会使用哪些方法来利用人工智能系统,以及这些技术与传统的网络入侵有何不同,我们研究了MITRE ATLAS 关于Clearview AI 配置错误的案例研究。
Clearview AI 开发了一种面部识别工具,可在公开照片数据库(如Facebook、谷歌和YouTube)中搜索匹配的照片。该工具已被执法机构和其他实体用于调查目的。
然而,Clearview AI 的源代码库虽然有密码保护,但配置不当,允许任意用户创建账户。这一漏洞使外部研究人员能够访问包含Clearview AI 生产凭证、云存储桶密钥(包含70K 视频样本)、应用程序副本和Slack 标记的私有代码库。
通过访问这些训练数据和凭证,恶意行为者可以破坏未来的应用程序版本,导致部署模型中的面部识别功能降低或被恶意破坏。这一案例突出表明,需要以超越传统网络安全措施的方式确保人工智能系统的安全。此类系统不仅需要稳健的卫生措施,如强制执行最小权限访问、多因素身份验证以及严格的监控和审计,还需要针对人工智能技术带来的独特风险量身定制特定的保障措施。
在本案例中,安全研究人员通过对抗性方法展示了Clearview AI 系统中的漏洞,详情如下:
策略: 资源开发
o技巧: 建立账户
一名安全研究人员通过错误配置的服务器设置初步访问了Clearview AI 的私有代码库,该设置允许任意用户注册有效账户。
战术:收集
o技术:从信息库获取数据
私人代码库包含用于访问AWS S3 云存储桶的凭据,从而发现了面部识别工具的资产,包括
o已发布的桌面和移动应用程序。
o具有新功能的预发布应用程序。
o Slack 访问令牌。
o原始视频和其他数据
策略:资源开发
o技术: 获取公共 ML人工制品
对手可以下载训练数据,并从源代码和反编译应用程序二进制文件中收集有关软件、模型和功能的详细信息。
战术:影响
o技术: 侵蚀 ML模型完整性
由于访问了这些信息,敌方可能通过降低或恶意操纵面部识别能力来破坏未来发布的 应用程序。
增强协作示例:受损的PyTorch 依赖链
为了说明在非例行或临时信息共享不足的情况下,增强协调情景下可能发生的过程,我们研究了MITRE ATLAS 的另一个案例研究:“PyTorch依赖链受损”。
在此案例中,一伙身份不明的恶意行为者通过破坏与PyTorch 预发布版本相关的Linux 软件包,实施了一次供应链攻击。15他们将恶意二进制文件上传到代码库,该二进制文件与合法的PyTorch 依赖程序同名。结果,PyPI软件包管理器(pip)无意中安装了恶意软件包,而不是正版软件包。这种被称为 “依赖关系混淆 ”的技术暴露了使用受影响的 pip安装版本软件包的 Linux机器上的敏感信息。
攻击通过以下步骤展开,详情如下:
战术:初始访问
o 技术: ML供应链破坏 - ML 软件
一个名为 torchtriton的恶意依赖包被上传到PyPI 代码库,其软件包名称与以PyTorch-nightly命名的软件包相同。行为者利用系统中现有的优先级规则,诱骗用户下载恶意软件包,而不是合法软件包。恶意软件包包含附加代码,可上传从安装该软件包的机器上获取的敏感数据。
战术:收集
o技术:从本地系统获取数据
恶意软件包调查受影响系统,以获取IP 地址和用户名等基本指纹信息以及其他敏感数据。
战术:渗透
o技术:通过网络手段渗透
所有收集到的信息(包括文件内容)都通过加密域名系统查询上传到外部网域。
MITRE ATLAS 网站上有一份完整的TTPs 演变清单,威胁者可能会使用这些TTPs 来攻击人工智能系统,这些TTPs 是由人工智能安全社区共享的真实世界攻击和现实红队演习提供的。
附录C:自愿共享信息的其他途径
遭遇人工智能网络安全事件的组织可通过多种自愿渠道向联邦政府通报事件,以请求技术援助、报告犯罪或参与业务合作。人工智能社区还开发和部署了更多自愿共享信息的非正式机制,以促进社区对前沿人工智能事件的认识和讨论。除了本手册中描述的联系CISA 的方法外,各组织还应考虑以下选项。
附录D: 其他资源
以下文件提供了组织可参考的其他信息资源,以了解人工智能系统的网络安全。
“
天极按
近日,美国国家标准与技术研究所发布了一份《硬件安全构造的指标和方法》白皮书,评估硬件威胁。 这份长达16 页的文件,探讨了常见的硬件漏洞以及恶意行为者用来利用这些漏洞的攻击模式,并建议采用系统的方法分析风险。
硬件通常被认为比软件安全性更高,因为物理组件更难操控。硬件设计人员还能更好地控制实现细节,从而减轻某些关键攻击。
然而,在设计和制造阶段也可能会引入一些漏洞,导致硬件泄漏敏感信息并影响操作的准确性。例如,Spectre、Meltdown、Inception、Downfall和 Foreshadow都是众所周知的漏洞,显示了硬件漏洞如何在受控实验室环境和现实场景中被利用。要为未来开发更安全的硬件,就必须不断研究不同的硬件漏洞和利用这些漏洞的技术。
为了开发利用和缓解策略,硬件常见弱点枚举特别兴趣小组(HW CWE SIG)分析了 108种源于硬件设计问题的不同硬件漏洞。CWE对硬件和软件漏洞进行了单独分类和维护,因为它们及其利用和缓解技术存在本质区别。此外,美国国土安全部建立的通用攻击模式枚举和分类(CAPEC)对硬件、软件、通信、供应链、社会工程学和物理安全方面可能存在的攻击模式进行了分类。CAPEC还分析了发起此类攻击的可能性、潜在的严重性和执行流程,以及对手可能需要的技能。
这项工作利用综合方法和两个关键指标:威胁和敏感性来分析不同的硬件漏洞(第3 节)以及可以利用这些漏洞的特定攻击模式(第4 节)。第 5节讨论了发起各种攻击模式所需的资源。第6 节包含本分析的总体框架。
1.动机
Mell和 Bojanova系统地分析了 CWE发现的潜在硬件漏洞,并提出了各种安全故障情况。他们的工作探索了这些漏洞的根源,并强调了硬件安全威胁的潜在后果和影响,如由于安全功能不足而导致未经授权访问受限信息、加密输出解密、规避安全保护和硬件过早失效。这些威胁在现实世界中的出现引起了人们对安全问题的极大关注,并强调了进一步研究量化风险和建立标准化衡量标准的必要性,以便在集成电路设计中加以考虑。
本文件以上述分析为基础,介绍了一种分析利用漏洞的各种攻击策略的综合方法。该方法通过测量可利用硬件漏洞的攻击方法的数量来量化硬件漏洞的敏感性。另外一个指标是根据可针对的漏洞数量来评估潜在攻击的威胁程度。该方法具有可扩展性和适应性,可随着新出现的攻击模式和硬件漏洞而发展,以支持开发更安全的未来硬件设计,同时帮助识别和缓解现有系统中的漏洞。
2.硬件
漏洞及其对安全的影响 硬件是使用软件工具设计的,编码复杂,可能会产生错误和漏洞。其中一些漏洞可能会导致硬件产生错误响应或完全停止工作,而另一些漏洞则可能在测试过程中被检测到,并在硬件进入市场前得到缓解。然而,有些漏洞并不会直接影响硬件的运行,反而会导致安全或敏感数据泄露。
这项工作提供了一种分析硬件中此类漏洞的方法。HW CWE SIG 根据各种因素评估了108 种不同的硬件漏洞,如漏洞被检测到的频率以及是否需要修改硬件来缓解漏洞。根据评估结果,HW CWE SIG 确定了最重要的硬件漏洞,如表1 所示。
表1. CWE最重要的硬件漏洞
这些硬件漏洞被用来演示一种适用于所有其他硬件漏洞的分析方法。
3.CAPEC攻击模式
安全分析的一个关键阶段是确定现有攻击模式如何利用不同的硬件漏洞。CAPEC是 MITRE公司发起的一项计划,它提供了一个包含559种已知攻击模式的综合列表,这些攻击模式根据攻击性质(如硬件、软件、通信攻击模式)进行分类。本研究关注的是硬件攻击模式,它还有更多的子分类。
3.1 元攻击模式
在CAPEC中,元级攻击模式是对攻击方法或技术的抽象、高级描述,不指定特定的技术或实现。例如,元攻击模式可以描述权限升级,即攻击者利用漏洞提高自己的权限并采取未经授权的行动。但是,元级攻击模式并不描述可用于权限升级的具体技术。因此,元级攻击模式在架构和设计层面的威胁分析活动中最有帮助。表2 列出了与表1 所示的一个或多个最重要硬件漏洞相关的元级攻击模式列表。
表2. CAPEC元级别攻击模式
3.2 标准攻击模式
在CAPEC中,标准级攻击模式是元级攻击模式的一个子组,侧重于特定的攻击方法或技术。例如,标准攻击模式可以描述对代码签名机制的颠覆,这属于权限升级的元级攻击模式。一些编程语言使用代码签名机制来验证代码的身份,并在适当的环境中将代码与指定权限联系起来。颠覆这一机制有助于攻击者提升权限。因此,标准级攻击模式描述了权限升级的特定机制。
表3 列出了作为表2 中元级攻击模式子类之一的标准攻击模式。
表3. CAPEC 标准级攻击模式
4.资源
利用CAPEC 攻击模式所需的资源 对手利用硬件漏洞或发起攻击需要特定的资源:知识和访问权限。
对手的知识水平分为两类:
1.高知识水平:如果敌方以前有过大量的设计工作经验,可以帮助他们识别被攻击设计的性质,或者他们对芯片的内部运作有一定的了解(例如,某些硬件是如何在程序间共享的),那么他们就被认为具有较高的知识水平。
2.知识水平低: 没有此类经验的对手被认为知识水平较低。
知识水平低的对手可以发起的攻击,知识水平高的对手也可以发起。
对手的访问水平可分为三类:
1.黑盒访问:对手有一个工作系统,可以提供输入并观察输出。
2.灰箱访问:对手拥有一个工作系统,并可随时从一些内部寄存器中获取信息,而无需发起攻击。
3.白箱访问:对手对设计的内部运作了如指掌。
这些访问级别是分等级的,这意味着可以通过黑盒访问发起的攻击也可以通过灰盒或白盒访问发起。
5.硬件漏洞威胁分析方法
本文档提出了一种分析硬件安全威胁的系统方法,旨在适应新发现的攻击模式和硬件漏洞。该框架建立了硬件漏洞与特定攻击技术或标准攻击模式之间的联系。通过映射这些关系,它可以确定有多少攻击技术可以利用特定的硬件漏洞,以及特定攻击可以针对多少漏洞,从而帮助有效地确定缓解工作的优先次序。
全面分析需要进行详尽的搜索,针对每个硬件漏洞评估所有已知攻击模式的潜在可利用性。随着新攻击模式的出现,这种方法需要反复进行大量评估,效率低下且缺乏灵活性。因此,有必要采用一种更具扩展性和适应性的方法,以跟上硬件安全不断发展的步伐。绘制硬件漏洞与攻击模式之间的关系图有助于更有效地确定缓解工作的优先次序。
这项工作提出了一种系统而多用途的方法,用于将硬件漏洞与已知和新出现的攻击模式联系起来。CAPEC数据库在 CWE定义的硬件漏洞和相应的攻击模式之间提供了有限的映射,而且并不涵盖所有的漏洞。例如,CWE-1274描述的漏洞涉及对包含启动代码的易失性内存的不当访问控制。当设备在安全启动过程中缺乏足够的保护措施时,特别是当启动加载程序从非易失性内存转移到易失性内存时,就会出现这种情况。一种可能的利用方法与CAPEC-1一致,涉及访问未受访问控制机制充分保护的功能。这种攻击模式包括针对内存保护、硬件寄存器和基于硬件的标识符的威胁。然而,CAPEC目前并未将 CWE-1274映射到CAPEC-1,这说明覆盖范围存在空白。此外,面对不断变化的攻击载体,手动执行此类映射既耗时又难以维护。建议的框架提供了一种更全面和可扩展的方法,可将硬件漏洞映射到相关的攻击模式。
该方法的第一步是识别元级攻击模式及其可能利用的硬件漏洞。例如,元级攻击188、124和 26 可以利用硬件漏洞CWE-1189,如表4所示。由于元级攻击模式代表了一类通用的攻击策略,而不是具体的实施技术,因此将硬件漏洞与元级攻击模式联系起来更有效、更省时。
表4. 最常见硬件漏洞与CAPEC 元级别攻击模式的映射
本方法的第二步是分析元级攻击模式与相应的标准攻击模式之间的关系,如表5 所示。
表5. CAPEC元攻击模式和标准攻击模式的映射
例如,标准攻击模式167 和 189属于元级攻击模式188。将新发现的攻击技术映射到现有的通用攻击类别是一个相对简单的过程。
该方法的第三步是执行简单的矩阵乘法,以确定最常见硬件漏洞与标准攻击模式之间的相关性。表6显示了表 4和表 5中矩阵相乘的结果。
表6. 最重要硬件漏洞与CAPEC 标准攻击模式的相关矩阵
当发现新的攻击技术时,就会在表5中添加一列。然后,矩阵乘法更新表6,自动将硬件漏洞与标准攻击联系起来。这种方法将原本复杂耗时的将硬件漏洞直接映射到特定攻击技术的过程简化为两项易于管理的任务。因此,该方法变得更加稳健、可扩展和高效。
表 6中的相关性矩阵显示了在存在硬件漏洞的情况下,硬件对攻击的敏感程度。它还显示了攻击如何利用多个漏洞。根据对相关矩阵的解释,提出了两个度量标准。威胁度量计算特定攻击模式可利用的不同硬件漏洞的数量。数量越多,威胁越大。敏感度指标计算的是可利用特定漏洞的不同标准攻击模式的数量。硬件的漏洞会随着可利用它的攻击模式数量的增加而增加。图1 和图 2分别显示了与 CAPEC标准攻击模式和 CWE最重要硬件漏洞有关的指标。
图1. CAPEC标准攻击模式的威胁指标
图2.CWE 最重要硬件漏洞的威胁敏感性
为简单起见,矩阵为二进制(即一个漏洞既可以与攻击模式相关联,也可以与攻击模式无关),但权重可以根据各种因素来选择,例如攻击的成功概率、潜在影响以及发动攻击所需的资源。这些权重可以是主观的,并取决于用户的要求。
该方法的第四步也是最后一步是确定发起标准攻击所需的资源,如图3 所示。
图3. CAPEC 标准攻击模式的资源映射
例如,针对可利用的漏洞发起白盒逆向工程攻击167 需要白盒访问权限。然而,要发起黑盒逆向工程攻击189,则需要黑盒访问。如果对手拥有黑盒访问权限的概率比白盒访问权限高,那么缓解189 的优先级应高于缓解167 的优先级。
6.结论
本研究针对硬件漏洞所带来的威胁这一关键问题,提出了一种全面的方法来量化这些漏洞所带来的脆弱性,以及利用这些漏洞的各种攻击所带来的潜在威胁。该方法有助于设计人员了解不同的硬件漏洞和攻击模式,从而确定优先次序并规划有效的缓解措施。
鉴于硬件安全的不断发展,新的漏洞和攻击策略将不可避免地出现。这项工作强调了不断更新和扩展分析的重要性,而该方法的稳健设计允许进行无缝修改。虽然这项工作的重点是硬件漏洞,但该方法适用于所有已识别的漏洞,包括未来可能出现的漏洞。因此,这些研究结果将为不断增长的知识库做出贡献,有助于缓解现有漏洞并指导开发更安全的硬件架构。持续的研究对于支持安全弹性硬件的决策和设计考虑至关重要。
a
参考文献
Kocher P, Horn J, Fogh A, Genkin D, Gruss D, Haas W, Hamburg M, Lipp M, Mangard S, Prescher T, Schwarz M, Yarom Y (2019) Spectre attacks: Exploiting speculative execution. 2019 IEEE Symposium on Security and Privacy (SP 2019) (IEEE, San Francisco, California), pp 1-19. https://doi.org/10.1109/SP.2019.00002
Lipp M, Schwarz M, Gruss D, Prescher T, Haas W, Fogh A, Horn J, Mangard S, Kocher P, Genkin D, Yarom Y, Hamburg M (2018) Meltdown: Reading kernel memory from user space. Proceedings of the 27th USENIX Security Symposium (USENIX, Baltimore, Maryland), pp 973-990. Available at https://www.usenix.org/conference/usenixsecurity18/presentation/lipp
Advanced Micro Devices (2024) Return Address Security Bulletin, AMD-SB-7005. Available at https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7005.html
Moghimi D (2023) Downfall: Exploiting Speculative Data Gathering. Proceedings of the 32nd USENIX Security Symposium (USENIX, Anaheim, California), pp 7179–7193. Available at https://www.usenix.org/conference/usenixsecurity23/presentation/moghimi [5] Van Bulck J, Minkin M, Weisse O, Genkin D, Kasikci B, Piessens F, Silberstein M, Wenisch TF, Yarom Y, Strackx R (2018) Foreshadow: Extracting the Keys to the Intel SGX Kingdom with Transient Out-of-Order Execution. Proceedings of the 27th USENIX Security Symposium (USENIX, Baltimore, Maryland), pp 991-1008. Available at https://www.usenix.org/conference/usenixsecurity18/presentation/bulck
MITRE, HSSEDI (2025) CWE - Common Weakness Enumeration. Available at https://cwe.mitre.org/index.html
MITRE, HSSEDI (2025) CAPEC - Common Attack Pattern Enumeration and Classification. Available at https://capec.mitre.org/
Mell P, Bojanova I (2024) Hardware Security Failure Scenarios. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Internal or Interagency Report (IR) NIST IR 8517. https://doi.org/10.6028/NIST.IR.8517
文章来源:天极智库
点击下方卡片关注我们,
带你一起读懂网络安全 ↓
📍发表于:中国 北京
