Création d'un groupe d'intérêt spécial sur les faiblesses matérielles courantes

Tortuga HW CWE SIG fig0


Il semble que presque chaque semaine, une autre faille de sécurité matérielle soit annoncée. La semaine dernière, une équipe de chercheurs a révélé une nouvelle attaque appelée "Ornithorynque», Un acronyme pour« Attaques de fuite de puissance: cibler vos secrets d’utilisateur protégés ». Il s'agit d'une autre attaque exploitant le simple fait que le matériel se situe en dessous des abstractions de sécurité conventionnelles et la découverte d'une vulnérabilité dans le matériel peut avoir un impact énorme sur la pile.

Selon la base de données nationale sur les vulnérabilités, il y a eu une croissance exponentielle des vulnérabilités matérielles au cours des dernières années. Ces exploits sont de plus en plus répandus, dangereux et coûteux que jamais, et proviennent de nouveaux vecteurs d'attaque comme nous venons de le voir avec Platypus. Il n'est pas étonnant que la sécurité matérielle devienne une approbation de conception pour la plupart des nouveaux ASIC et SoC. Le défi consiste à établir les critères d'approbation. C'est là qu'un groupe d'intérêt particulier, qui rassemble des experts et de l'expérience, axé sur la sécurité matérielle pourrait vraiment aider à ouvrir la voie.

Tortuga HW CWE SIG fig0

En juillet de cette année, Tortuga Logic a annoncé que j'étais nommé à la nouvelle Énumération commune des faiblesses (CWE) / Énumération et classification des schémas d'attaque courants (CAPEC) Conseil d'administration *. Pour ceux qui ne le savent pas, CWE est parrainé par la Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security (DHS) des États-Unis et géré par The MITRE Corporation (MITRE).

Depuis la formation du Conseil, comme vous vous en doutez, il y a eu plusieurs discussions sur divers sujets relatifs à CWE / CAPEC. Un sujet de grand intérêt était qu'il y avait trois efforts continus, indépendants mais synergiques pour fournir des normes d'assurance de la sécurité matérielle à l'industrie. Cette discussion a été à la base de la décision de MITRE de former un nouveau groupe d’intérêt spécial Hardware CWE (HW CWE SIG).

Le HW CWE SIG a été créé comme un forum pour les chercheurs et les représentants d'organisations opérant dans la conception, la fabrication et la sécurité de matériel pour interagir avec un objectif commun. L’objectif est de partager des opinions et de l’expertise et de tirer parti des expériences de chacun pour soutenir la croissance continue et l’adoption de CWE comme langage commun pour définir les faiblesses de la sécurité matérielle. Avec plus de 40 représentants à la fois commerciaux et gouvernementaux, y compris NVIDIA, Lattice Semiconductor, Accellera, Intel, Battelle, Bosch, BAE, Synopsys et Tortuga Logic pour n'en nommer que quelques-uns, le HW CWE SIG a pris un excellent départ.

La formation du HW CWE SIG a également réuni des représentants des trois équipes indépendantes de normalisation d'assurance de la sécurité. Le premier est le groupe de travail Accellera IP Security Assurance, qui a débuté en 2019. La mission du groupe est de créer des normes pour les risques de sécurité IP du matériel lors de l'intégration dans des systèmes plus grands. Le groupe de travail est présidé par Intel et Synopsys et comprend plusieurs contributeurs, dont NVIDIA, Qualcomm, Cadence et Tortuga Logic.

L'objectif initial du groupe de travail Accellera était de définir une approche systématique automatisée pour tirer parti des normes IP existantes pour la spécification, la conception, la vérification et l'intégration là où le risque de sécurité est une préoccupation. Le Groupe de travail a publié un premier Norme d'assurance de la sécurité IP livre blanc donnant un aperçu de ces domaines clés. Désormais, avec la formation du HW CWE SIG, bon nombre des mêmes entreprises et membres de l'équipe du groupe de travail Accellera sont représentés dans les deux équipes. Cela permet au groupe IPSA d'acquérir des informations sur les initiatives de sécurité matérielle adjacentes et de renforcer finalement le résultat.

Peu de temps après la formation du groupe de travail Accellera, le MITRE a annoncé CWE 4.0, qui pour la première fois comprenait une taxonomie des faiblesses matérielles courantes. L'effort, lancé en février 2020 après une poussée significative d'Intel et de MITRE, a augmenté avec l'ajout de nombreux CWE matériels supplémentaires depuis sa création. La version 4.2 actuelle documente désormais 75 CWE axés sur le matériel. Pour cet effort, MITRE a une fois de plus fait appel à certaines des sociétés clés axées sur la sécurité matérielle telles qu'Intel et Tortuga Logic pour développer et documenter les CWE matériels. Ces entreprises font désormais toutes partie du HW CWE SIG.

Dans l’intervalle, le ministère de la Défense du gouvernement américain a également lancé un projet parallèle appelé Hardware Vulnerability Database, qui se concentre sur le catalogage des vulnérabilités matérielles présentant un intérêt pour le gouvernement. Des représentants de cette initiative ont également rejoint le HW CWE SIG pour donner un aperçu des domaines qui se chevauchent et qui présentent un intérêt pour le gouvernement.

Enfin, au cours de cette même période, Tortuga Logic a commencé à documenter une méthodologie et un guide CWE sur la sécurité matérielle. Notre solution de vérification de sécurité Radix peut désormais détecter et empêcher 80% des CWE matériels, pré-silicium. En tirant parti d'une liste matérielle CWE commune, les équipes de sécurité et de développement du matériel peuvent désormais profiter d'un processus de validation CWE en 5 étapes pour rationaliser la modélisation des menaces et la vérification de la sécurité avant de valider un ASIC ou un SoC sur silicium. Cette méthodologie a été bien adoptée dans le domaine de la sécurité des applications pour créer efficacement des logiciels sécurisés afin de réduire les risques commerciaux, et notre équipe de sécurité a fait un travail fantastique pour permettre ce même processus de conception matérielle.

Pour en savoir plus sur la façon d'écrire des vérifications de règles de sécurité basées sur la liste CWE, consultez le livre blanc Mesure de la sécurité matérielle avec CWE et Radix Coverage for Hardware Common Weakness Enumeration (CWE) Guider.

* Le conseil d'administration de CWE / CAPEC comprend des représentants des organisations suivantes: Alliance pour la sécurité dans le cloud, Consortium pour la qualité des logiciels informatiques (CISQ), Agence de la cybersécurité et de la sécurité des infrastructures (CISA), GrammaTech, Intel, MicroFocus, MITRE (Modérateur du Conseil CWE / CAPEC), Institut national des normes et de la technologie (NIST), Ouvrir le projet de sécurité des applications Web, SANS, Synopsys, Università degli Studi di Milano – Bicocca, Veracode en plus de Tortuga Logic.

Jason Oberg

Jason Oberg

(Tous les messages)

Jason Oberg est le CTO et co-fondateur de Tortuga Logic. Son travail a été cité plus de 700 fois et il détient six brevets délivrés et en attente. Il a reçu son B.S. en génie informatique de l'UC Santa Barbara et un M.S. et Ph.D. en informatique de l'UC San Diego.



Source link

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *