Advertisements
Advertisements
Cyber Security Aktuell

7 Grundlagen für mehr sicherheitsbewusste Designautomatisierung

Heutzutage ist es ein wichtiges Element für die Produktsicherheit, Entwickler ständig über die neuesten Best Practices für Secure-by-Design auf dem Laufenden zu halten. Können jedoch häufige Sicherheitsfehler verhindert werden, ohne dass Hardware-Designer zuerst zu erstklassigen Sicherheitsexperten ausgebildet werden?

Electronic Design Automation (EDA)-Lösungen sind Softwareprogramme, die Entwickler bei der Entwicklung elektronischer Systeme und Halbleiterchips unterstützen. Welche neuen Möglichkeiten sollten heutige EDA-Lösungen für die Sicherheitsgewährleistung neben dem traditionellen Fokus auf funktionale Korrektheit bieten? Hier sind sieben Merkmale, die meiner Meinung nach eine hocheffektive sicherheitsbewusste Designautomatisierungslösung bieten sollte.

Leiten Sie Benutzer an, Kompromisse beim Design einzugehen, indem Sie sowohl Funktionalität als auch Sicherheit berücksichtigen
Um dies zu erreichen, muss eine intelligente EDA-Lösung verschiedene Mechanismen bieten, um die Sicherheitsrobustheit eines Designs basierend auf seinen Sicherheitszielen zu charakterisieren. Es reicht jedoch nicht aus, Messdaten zu melden und davon auszugehen, dass die Benutzer wissen, was sie damit tun sollen. Gemessene Daten sollten in aufschlussreiche, leicht verständliche Metriken übersetzt werden, und diese Metriken sollten zu umsetzbaren, präskriptiven Anleitungen führen, denen Benutzer folgen können, um ihre Designs zu verbessern. Gleichzeitig sollten die Sicherheitsmetriken zusammen mit funktionalen Metriken wie Leistung, Stromverbrauch und Die-Größe dargestellt werden, um Benutzer bei wichtigen Design-Kompromissentscheidungen zu unterstützen.

Informieren Sie Benutzer über Best Practices für die Sicherheit, wenn Designentscheidungen getroffen werden
Während das Lernen im Klassenzimmer eine Möglichkeit ist, sich solches Wissen anzueignen, kann das Nutzen von Momenten am Arbeitsplatz, um das Bewusstsein der Benutzer zu schärfen, dazu beitragen, die Akzeptanz wichtiger Praktiken des „Secure-by-Design“ zu verstärken. Die nächste Generation von EDA-Lösungen sollte die Rolle eines virtuellen Sicherheitsberaters spielen, der Benutzer bei der Erstellung eines sicheren Produkts bei jedem Schritt unterstützt. Die Herausforderung besteht darin, wie die EDA-Lösung den Kontext verstehen kann, um Empfehlungen zu geben, die zeitnah, genau und präskriptiv, aber nicht übermäßig aufdringlich sind.

Erkennen Sie Sicherheitsprobleme in Echtzeit, wenn Code geschrieben wird
Wie können wir eine intelligentere Lösung entwickeln, die Benutzer warnt, wenn sie dabei sind, Sicherheitslücken in ihre Designs einzubauen? Eine der größten Herausforderungen bei den heutigen Lösungen ist ihre Unfähigkeit, die Absichten der Designer zu verstehen. Designsprachen wie SystemVerilog bieten Designern nicht die Mittel, um zu vermitteln, ob ein Signal, ein Register oder eine Schnittstelle als vertrauenswürdig angesehen werden sollte. Ohne ein gutes Verständnis der Sicherheitsanforderungen laufen Tools während der Evaluierung oft blind. Dies führt zu einer hohen Anzahl falsch positiver und falsch negativer Ergebnisse.

Stellen Sie über das bloße Auffinden von Problemen hinaus zuverlässige Minderungsoptionen bereit, um diese zu beheben
Bisher gibt es wenig Forschung, die sich auf die automatische Generierung von Fixes selbst für funktionale Probleme konzentriert, ganz zu schweigen von Sicherheitslücken. Dieser Forschungsbereich könnte mehr Hilfe von der akademischen Gemeinschaft und insbesondere von Experten für maschinelles Lernen gebrauchen. Geht man noch einen Schritt weiter, gibt es oft mehrere Möglichkeiten, ein Sicherheitsproblem anzugehen, aber jede kann sich unterschiedlich auf die Leistung, den Stromverbrauch und die Größe des Designs auswirken. Eine sicherheitsbewusste Lösung würde Optionen bieten, die nicht nur für die Sicherheit optimiert sind, sondern auch Schaltungs-Timing-Einschränkungen, Leistungsbudgets und Chip-Größenanforderungen basierend auf den Präferenzen der Benutzer erfüllen.

Integrieren Sie nahtlos erstklassigen Schutz
Nehmen Sie als Beispiel Speicherbeschädigungsfehler in der Softwaresicherheitsdomäne. Die Forschung hat in den letzten zehn Jahren große Fortschritte gemacht, indem sie hardwarebasierte Minderungsmaßnahmen anbietet, die darauf laufende Software-Workloads schützen. Diese systemischen Minderungen erhöhen die Angriffsbarriere erheblich und minimieren die negativen Auswirkungen von Software-Exploits, was den Erfolg praktischer Angriffe erheblich erschwert. Während Softwareentwickler es möglicherweise weiterhin versäumen, nicht vertrauenswürdige Eingabedaten vor der Verwendung zu validieren, können viele dieser Fehler nicht mehr ausgenutzt werden, wenn hardwarebasierte Schutzmaßnahmen wie z Control-Flow-Enforcement-Technologie (CET) sind aktiviert. Die Hardwareindustrie benötigt ähnliche Forschungsinvestitionen, um Designern zu helfen, wie z. B. fehlerresistente Standardzellenbibliotheken, selbstheilende Schaltkreise und Krypto-Primitive mit konstanter Zeit/Leistung. Eine sicherheitsbewusste EDA-Lösung kann dann diese erstklassigen Abwehrmaßnahmen integrieren und belastbare Schaltkreise nahtlos ohne direkte Benutzereingriffe synthetisieren.

Empfehlen Sie die effizienteste Teststrategie für eine bestimmte Abdeckungsgarantie
Nicht alle Sicherheitseigenschaften können nur durch eine statische Analyse des Designs verifiziert werden. Hardware-Simulations- und -Emulationstechniken werden häufig angewendet, um das Laufzeitverhalten zu bewerten, das für die Identifizierung von Schwachstellen im Zusammenhang mit Race-Conditions, Interaktionen mit Firmware, Sicherheitsabläufen und mehr unerlässlich ist. Darüber hinaus werden häufig formale Verifikationstechniken eingesetzt, wenn der Verifikationsraum einfach zu groß ist, um mit Brute Force zu testen.

Heutzutage liegt die Last, zu ermitteln, welche Verifizierungsmethodik zu verwenden ist, welche Tests durchzuführen sind und welche Parameter zu verwenden sind, auf den Schultern des Entwicklungsteams. Selbst für erfahrene Verifikationsexperten ist es eine offene Herausforderung, alle Sicherheitseigenschaften zu verifizieren, ohne wertvolle Testzyklen für redundante Testfälle zu verschwenden.

Lernen Sie kontinuierlich von Benutzern
Kein System ist perfekt, auch nicht für eine smarte EDA-Lösung. Um seine Genauigkeit und Qualität im Laufe der Zeit zu verbessern, muss es kontinuierlich von den Benutzern lernen. Benutzer haben jedoch nicht immer Recht. Außerdem könnten widersprüchliche Rückmeldungen von verschiedenen Benutzern bereitgestellt werden, da jeder einzigartige Vorlieben und Prioritäten hat. Kontinuierliche Fortschritte in der KI-Forschung würden es einer EDA-Lösung ermöglichen, selektiv aus Crowdsourcing-Feedback zu lernen.

Während die Sicherung von Hardwaretechnologien eine Kunst zu sein scheint, die am besten den Geschicktesten vorbehalten ist, müssen wir unsere Forschungsinvestitionen verdoppeln, um Innovationen in der Automatisierung zu beschleunigen, damit die Industrie skalieren kann. Auf diese Weise können Designer von sicherheitsbewussten EDA-Lösungen der nächsten Generation profitieren, um vertrauensvoll sichere Produkte zu entwickeln.


💙 Intern: Weil wir unabhängig sind, sowie keinen "unendlichen" Gewinn anstreben, geben wir in jedem Monat ungefähr ein drittel, aller Einnahmen aus Werbung und Spenden an die Katastrophenschutzhilfe. 
Wir freuen uns auch über jede kleine Spende z.B. über PayPal.

Ähnliche Artikel.

Nennen Sie diesen Toon: Messer raus

Was wäre ein Cartoon ohne eine clevere Bildunterschrift? Dafür wenden wir uns an Sie, unsere witzigen Leser. Senden Sie uns Ihre Ideen nicht nur für die Chance, $25 zu gewinnen Amazon…

1 of 101