专家座谈:成本、权衡和安全如何影响网络攻击。
半导体工程公司坐下来讨论芯片安全与Vic Kulkarni,副总裁兼首席策略师有限元分析软件;的联合创始人兼首席技术官Jason Oberg龟岛的逻辑;Borsetta首席执行官兼创始人Pamela Norton;Ron Perez,安全架构的研究员和技术主管英特尔;蒂姆·惠特菲尔德,公司战略副总裁手臂.以下是那次谈话的节选,是在虚拟硬件安全峰会.要查看本讨论的第二部分,请单击在这里.第三部分是在这里.
(从左至右):Ron Perez,英特尔安全架构研究员和技术主管;Tortuga Logic的联合创始人兼首席技术官Jason Oberg;Arm战略副总裁Tim Whitfield;Borsetta首席执行官兼创始人Pamela Norton;Vic Kulkarni, ANSYS副总裁兼首席策略师。
SE:随着芯片越来越多地用于安全关键型、任务关键型应用,以及更复杂、更集成的系统,这些设备的安全变得越来越难。不保护这些设备的成本正在上升,但实现安全的成本也在上升。从金钱和硬件资源的角度来看,谁来为这一切买单?
佩雷斯:我们都是这样做的——我们作为技术人员,作为供应商,作为我们客户的供应商,以及我们的客户和最终用户。现在,我们都以不同的方式为此付出代价。有时,不解决安全问题的代价可能会以品牌影响或销售损失的形式出现。但在安全方面的投资也是有成本的,你真的不知道多少才够。
诺顿:我们确实在努力与美国政府合作,制定一些标准和框架。现在我们正在把越来越多的计算能力推向边缘,这也带来了很多关于隐私和安全的问题。作为一个团体,作为一个实体,我们可以帮助推动伟大芯片技术的发展和加速。我们希望创建一个信任因子,它有一个与芯片相关的评分机制。
Whitfield最近的一份报告称,到2021年,网络犯罪造成的损失将达到6万亿美元左右。这就是不认真对待的代价。这还是在你谈到名誉和业务受损之前。这是一个共同的责任。在设计和标准方面,这是我们都必须承担的成本。
Kulkarni:早期采用者当然最重视安全性,他们可能会为安全性支付溢价。我们都在朝着这个方向努力。但是在大量的物联网其中包括10亿到20亿个物联网节点。麦肯锡最近的一项调查显示,在物联网领域工作的受访者中,40%的人不愿意为安全买单。所以早期采用者和大规模使用者之间的分歧非常明显。处理该问题的一种方法是创建CWE(常见弱点枚举)标准,类似于ISO 26262,以此类推。有了这些更高层次的分级,人们将能够以当前的定价结构支付。这是可能的。
奥伯格通常情况下,安全是事后才考虑的。当你实际添加时,这会导致非常高的成本。通常发生的情况是,你经历了整个开发生命周期,你接近尾声,然后你实际上想要实现一些安全措施,无论是添加一个功能,还是可能实际上做外部渗透测试,诸如此类。在这一点上,它可能是非常昂贵的。但是,如果您将其添加到您的流程中,则可以极大地降低成本。显然,把这种过程和计划放在一起是需要基础设施成本的。但如果它是DNA的一部分,你就可以让自己发布一个安全的产品,一个缓解的产品,而不需要在安全方面付出巨大的成本。显然,这不是免费的。这只是一个问题,你让它有多便宜,多容易得到。
佩雷斯:维克在麦肯锡的研究中提出了一个有趣的观点。根据我的经验,没人愿意为安全买单。我们的客户,我们的公司都不愿意为安全买单。但我们有些人认识到需要这种保证。你可以称之为风险管理,随你怎么称呼。也许这只是对你的特定业务或领域的保守看法。但不管是什么,我们都愿意为额外的保障买单,这很像保险。
SE:安全一直都很重要风险与成本之间的权衡.在汽车和军事/航空等市场,这一公式是否发生了变化?
奥伯格:那绝对是正确的。实现安全性有几个驱动因素。风险降低了,这通常是因为有人被烧伤了。他们了解暴露弱点的影响。或者他们被迫通过标准来做这件事,这是更加二元的。他们这样做要么是为了销售他们的产品,要么是为了不在那个市场上销售。但是在硬件领域,这种风险/成本权衡的趋势正在急剧增长。显然,如果你看看某些市场,你会发现他们对风险的容忍度远远低于其他市场。例如,对于一个物联网小部件,他们的风险承受能力将会很高。如果有人破门而入,也不会对业务造成很大影响。 If you look at a defense system, the risk tolerance is extremely low. It’s as close as you can get to zero tolerance. That is going to play a huge role in how much they’re willing to spend. A lot of organizations are looking at it this way: ‘What’s my ROI, how much money should I spend to decrease my risk?’ That is definitely the right way of thinking about these problems, because it allows you to help measure risk based on how much you’ve invested.
佩雷斯:总的来说,公式和算法没有改变。这仍然是一个风险权衡的问题。考虑到与模拟技术相比,我们在数字/逻辑上所做的事情要多得多,风险的数量肯定已经发生了变化,这使得等式的这一部分变得更大了。现在安全因素在这个等式的风险方面比过去你引用的例子——军事/航空,汽车——但越来越多,一切。
Whitfield:我同意。方程没有变。但是有更多的设备需要安全性,而安全性不能是可选的。随着我们看到越来越多的联网设备,关键是要为特定的应用程序找到合适的安全级别。所以很明显,当你进入军事/航空领域时,有功能安全方面,杰森谈到了零容忍。但我们必须在每台设备上找到合适的安全级别。它不能是可选的。
诺顿:我们在国防部内部看到的具体情况是,他们被排除在利用一些最新技术之外,因为在可信的代工中,最小的节点是12纳米。所以他们正在资助如何在芯片上生产这个系统的计划。即使它是在不受信任的铸造厂生产的,它也需要被信任。我们一直在研究的一些技术将帮助他们在不受信任的设施中生产更小的外形。他们试图找到各种方法来降低风险,但目前成本非常高,因为他们使用的SoC芯片数量非常少。
Kulkarni:就航空航天和国防的节点而言,你是完全正确的。然而,我对最近进入DARPA AISS项目的数十亿美元资金感到非常鼓舞。从7nm到5nm是我们现在讨论的大多数质数。这是非常令人鼓舞的,因为政府想把最新的技术带到美国。此外,零信任环境是木马和其他故障注入可以应用的地方。人们对此非常关注,并在寻找新的技术。这对我们在安全领域的所有人来说都是一个重要的机会。此外,我发现有时安全性和复杂性是不相容的。人们常说,因为新的漏洞被发现,客户很难弄清楚他们到底有多安全,尽管他们努力了。而不是问一些标准的问题,比如“我如何优化CPU?”’ we need to start asking, ‘How do I create security across multiple domains?’ We need to look at hardware, software, OS, application, cloud, and so on. And that creates a hierarchy of security.
SE:在过去,只有联邦政府真正关心特洛伊病毒。这种情况正在改变吗?人们真的找到它们了吗?
奥伯格:木马的概念是指有恶意的意图。有人故意这么做的。您可以对此进行辩论,但有些问题没有被指出来,要么是因为一个错误,要么是因为文档不好。这是非常普遍的。如果你看看最终的结果,不管它是否是有意的,你仍然会导致一个漏洞。在政府/国防部应用之外,硬件设计缺陷的概念,无论是偶然的还是故意的,肯定是非常普遍的。不管有人是故意的还是无意的,都应该有一个适当的程序来防止这种情况。
佩雷斯:木马和缺陷之间只有一线之隔。当然有记录在案的恶意案例。这通常是一种对员工不满的情况,它与某人恶意植入东西的证据紧密相关。当然,更难的是任何一种国家支持的恶意意图。
SE:随着汽车的自动驾驶越来越多,安全关键型应用的安全模型现实吗?如果有人说某个品牌的所有车都在这个时间左转,会发生什么?我们已经控制住了吗?
奥伯格:不,功能安全和安全的交集是一个可怕的问题。为了确保系统具有容错能力,显然需要付出很多努力。他们有冗余和所有你需要符合ISO 26262的东西。但当涉及到安全问题时,很多东西都很容易被破坏。您可以找到一个缺陷,即使它是容错和安全关键的,攻击者也会理解这些保护并利用它。除非有安全组件,否则会有人查看系统是如何验证的,查看它满足的安全关键合规性,找到漏洞,然后实际闯入并绕过许多保护措施。还有很多工作要做,显然影响很大。如果你回到风险/成本的权衡,如果你在ADAS系统中发现一个漏洞,导致汽车在应该检测到人的时候没有检测到人,风险是很高的。
佩雷斯:你也在等式中引入了伦理。个人道德——例如,汽车公司是否支付赎金——以及从技术角度来看。如果自动驾驶系统能够感知到有人将会受伤,那么它真的应该向左转吗?还是它会认为这不是当时最好的选择?它真的应该服从它得到的命令吗?
诺顿:更大的担忧是攻击向量正在扩大。我们已经在服务器层面上进行了大量的云处理,现在我们正在把所有这些都推到这些设备上。对于4级或5级自治,就像我们的芯片为无人机所做的那样,有大量的问题涉及在没有人参与的情况下做出决定。有很多道德问题,还有关于设备本身被劫持的问题,有一个数字双胞胎接管并拦截它,让它造成它本不想造成的损害。这就是现在的担忧。从计算效率、性能和功率的角度来看,我们已经取得了这样的进步,而这些小节点上的一切都是如此,然而我们正面临着来自自主设备的极端安全破坏。我们正在处理大量的社会问题。我相信安全始于芯片的构想。我相信在未来,我们将拥有芯片上的新经济。对于我们来说,要在可信的环境中进行机器对机器的事务,我们必须看一看初始阶段。 The IP has been secured. We have a ledger that we can look at the entire history of that chip, including what神经网络已下载,谁的规定下载。那就另当别论了。但我相信,这场对话现在非常重要,要定义它,并确保我们收回控制权,我们有可信的设备来处理人工智能。未来,人工智能将被注入到每一个芯片中。
Kulkarni作为一个行业,我们所有人都应该跳出固有的思维模式。类似的事情也发生在DVD攻击和其他多年来的内容盗版上。我们是否可以一起考虑一个软件/硬件平台,通过主要的行业合作,在汽车或其他边缘计算设备中,固件可以随着IP本身一起更新?而且它对每辆车来说都是独一无二的。因此,相对于那些反对我们所有人的群体,黑帽分子和军事攻击者等等,我们能否创造这样一个环境,为目标设备(可能是一辆汽车)提供唯一的加密?通过人工智能和其他想法,这是可能的。我们能把一个固件包放在一起,真正地在飞行中改变它吗?
Whitfield:是的,很明显前面有一些很大的挑战。帕梅拉关于攻击面和软件/硬件的指数级增长的评论是绝对正确的。但是对于安全关键的应用程序来说,安全性是现实的,它必须是正确的。这将需要新技术、新方法和“安全第一”来解决这些问题。
-Susan Rambo对本文也有贡献。
相关的
芯片和人工智能系统中的安全权衡
以上圆桌会议的第二部分
芯片安全经济学的根本性变化
越来越多价值更高的数据、越来越薄的芯片以及不断变化的客户基础,正迫使半导体安全领域发生姗姗姗迟的变化。
是什么让芯片防篡改?
识别攻击和防范攻击仍然很困难,但已经取得了进展。
安全知识中心
关于硬件安全的头条新闻、白皮书、博客、视频
理解puf
是什么推动了物理上不可克隆功能的复兴,以及为什么这项技术如此令人困惑。
硬件攻击面扩大
电缆出没遵循幽灵,熔解和预示作为潜在的威胁蔓延超出单个设备;人工智能增加了新的不确定性。
确定芯片中真正需要保护的内容
专家座谈:为什么以前的安全方法只有有限的成功。
我们YouTube频道的安全
|
|
|
|
|
|
|
|
留下回复