硬件漏洞正变得越来越广泛和昂贵,需要一种通用语言来定义安全漏洞。
几乎每周都有一个硬件安全漏洞被宣布。就在上周,一组研究人员披露了一种名为“鸭嘴兽,是“电源泄漏攻击:针对您受保护的用户机密”的首字母缩写。这是另一种利用硬件位于传统安全抽象之下的简单事实的攻击,在硬件中发现漏洞可能会对堆栈造成巨大影响。
根据国家漏洞数据库,在过去的几年中,硬件漏洞呈指数级增长。这些攻击正变得比以往任何时候都更加广泛、危险和昂贵,并且来自新的攻击载体,就像我们刚刚看到的鸭嘴兽。这就难怪硬件安全正在成为大多数新的asic和soc的设计标志。现在的挑战是如何制定签名标准。这是一个特殊的兴趣小组,它汇集了专家和经验,专注于硬件安全,可以真正帮助铺平道路。
今年7月,Tortuga Logic宣布我被任命为新成立的公司常见弱点列举(CWE) /常见攻击模式枚举和分类(CAPEC) *。对于那些不知道的人,CWE由美国国土安全部(DHS)网络安全和基础设施安全局(CISA)赞助,由MITRE公司(MITRE)维护。
自委员会成立以来,如您所料,已经就CWE/CAPEC相关的各种主题进行了多次讨论。一个非常有趣的话题是,有三个正在进行的、独立的、协同的工作,为行业提供硬件安全保证标准。这次讨论是MITRE决定成立一个新的硬件CWE特殊兴趣小组(HW CWE SIG)的基础。
HW CWE SIG是为硬件设计、制造和安全组织的研究人员和代表建立的论坛,以实现共同的目标。我们的目标是分享意见和专业知识,并利用彼此的经验来支持CWE作为定义硬件安全弱点的通用语言的持续发展和采用。有超过40个代表在商业和政府,包括NVIDIA, Lattice半导体,Accellera,英特尔,巴特尔,博世,BAE, Synopsys和Tortuga逻辑仅举几例,HW CWE SIG是一个辉煌的开端。
HW CWE SIG的成立还汇集了三个独立的安全保证标准团队的代表。第一个是于2019年启动的Accellera知识产权安全保障工作组。该小组的任务是在集成到更大的系统时为硬件IP安全风险创建标准。该工作组由Intel和Synopsys担任主席,包括NVIDIA、Qualcomm、Cadence和Tortuga Logic等贡献者。
Accellera工作组最初的工作范围是定义一种自动化的系统方法,在涉及安全风险的情况下,利用现有的知识产权标准进行规范、设计、验证和集成。工作组发表了一份初稿IP安全保障标准白皮书提供了对这些重点领域的深入了解。现在随着HW CWE SIG的成立,Accellera工作组中的许多相同的公司和团队成员在两个团队中都有代表。这为IPSA小组提供了一个有价值的场所,以获得有关相邻硬件安全计划的见解,并最终加强结果。
在Accellera工作组成立后不久,MITRE宣布了CWE 4.0,它首次包含了常见硬件弱点的分类。这项工作是在英特尔和MITRE的大力推动下于2020年2月推出的,自成立以来,随着许多额外的硬件CWEs的加入,这项工作已经增长。当前的4.2版本现在记录了75个以硬件为重点的CWEs。为此,MITRE再次聘请了一些专注于硬件安全的关键公司,如英特尔和Tortuga Logic来开发和记录硬件CWEs。这些公司现在都是HW CWE团体的一部分。
与此同时,美国政府国防部也启动了一个名为硬件漏洞数据库的并行项目,该项目专注于对政府感兴趣的硬件漏洞进行编目。来自这一倡议的代表也加入了HW CWE SIG,以提供政府感兴趣的重叠领域的见解。
最后,在同一时期,Tortuga Logic开始记录硬件安全CWE方法和指南。我们的Radix安全验证解决方案现在可以检测和防止80%的硬件CWEs, pre-silicon。通过利用通用硬件CWE列表,硬件安全和开发团队现在可以利用5步CWE验证流程,在将ASIC或SoC提交到硅之前简化威胁建模和安全验证。这种方法在应用程序安全领域得到了很好的采用,可以有效地构建安全软件以降低业务风险,我们的安全团队在硬件设计中实现了相同的过程方面做得非常出色。
要了解关于如何基于CWE列表编写安全规则检查的更多信息,请参阅使用CWEs白皮书的可度量硬件安全性和硬件常见弱点枚举(CWE)的基数覆盖率。指南.
* CWE/CAPEC委员会包括以下组织的代表:云安全联盟,信息技术软件质量联盟,网络安全和基础设施安全局,GrammaTech,英特尔,微焦点,主教法冠(CWE/CAPEC委员会主持人),美国国家标准与技术研究所(NIST),打开Web应用程序安全项目,无,Synopsys对此,Università degli Studi di Milano - Bicocca,Veracode除了龟岛的逻辑.
|
|
|
|
|
|
|
|
留下回复