Sumber daya berbasis komunitas melacak kelemahan keamanan desain perangkat keras
Sistem komputer tidak pernah secanggih dan sekompleks sekarang ini. Demikian pula, tingkat kecanggihan dan prevalensi yang kita lihat dalam serangan siber modern tumbuh pada tingkat yang mencengangkan. Peretas juga mengubah fokus mereka. Sementara industri telah bekerja keras untuk mengeraskan lapisan perangkat lunak selama bertahun-tahun, peretas mulai mengalihkan fokus mereka ke lapisan perangkat keras.
Faktanya, penelitian industri dan akademis telah menunjukkan metode canggih, yang terus ditingkatkan, untuk menyusup ke sistem melalui perangkat keras — terkadang melalui kerentanan perangkat keras-perangkat lunak hibrida. Peretas beroperasi dengan keuntungan besar dengan memanfaatkan berbagai pembelajaran dan teknik yang tersedia di domain publik.
Di sisi lain, kemungkinan tampaknya tidak berpihak pada perancang perangkat keras. Industri ini tidak memiliki tingkat taksonomi umum yang sama dan klasifikasi bersama untuk kelemahan perangkat keras yang telah mapan untuk perangkat lunak selama dua dekade terakhir. Akibatnya, perancang perangkat keras terhambat oleh ketersediaan pengetahuan dan sumber daya bersama saat mereka berusaha meningkatkan ketahanan produk mereka terhadap serangan yang relevan.
Sistem Penilaian Kelemahan Umum (CWSS) (Sumber:Mitre)
Selama bertahun-tahun, sistem Common Weakness Enumeration (CWE) yang dikembangkan komunitas, dan sistem Common Vulnerabilities and Exposures (CVE) telah berfungsi sebagai sumber daya terkemuka untuk melacak kelemahan perangkat lunak berdasarkan kategori dan contoh kerentanan yang diketahui. Arsitek dan pengembang perangkat lunak menggunakan alat ini untuk membantu memastikan bahwa mereka menghindari membangun masalah keamanan ke dalam produk perangkat lunak mereka, sementara peneliti dan vendor berusaha mendeteksi dan menambahkan kerentanan yang baru ditemukan untuk membangun referensi kolektif yang terus berkembang untuk membasmi masalah keamanan perangkat lunak.
Karena peretas terus menggandakan perangkat keras, industri harus mengembangkan jenis sumber daya yang sama untuk membuat katalog dan melacak kelemahan desain perangkat keras guna membantu praktisi menjawab pertanyaan keamanan penting, termasuk:
Di mana titik masuk perangkat keras yang relevan dalam desain saya?
Apa kelemahan umum yang perlu diperhatikan oleh desainer?
Properti perangkat fisik mana yang paling terpengaruh saat suhu, tegangan, atau arus keluar dari rentang pengoperasian? Bagaimana mereka akan disalahgunakan oleh peretas untuk merusak ketahanan keamanan desain saya?
Apa konsekuensi dari serangan yang berhasil ke perangkat keras, tumpukan perangkat lunak yang berjalan di atas, serta sistem terintegrasi secara keseluruhan?
Apa saja contoh masalah terbaru?
Bagaimana kerentanan dapat dideteksi sejak awal dalam siklus hidup pengembangan produk oleh tim validasi untuk meminimalkan biaya perbaikan?
Apa saja pilihan mitigasi yang tersedia? Apa trade-off antara biaya versus efektivitasnya?
Industri membutuhkan standar, akses terbuka ke tingkat wawasan ini tentang masalah keamanan perangkat keras umum. Kami membutuhkan bahasa umum yang dapat digunakan oleh peneliti dan vendor untuk berbagi pembelajaran utama dan praktik terbaik satu sama lain secara efektif.
Kabar baiknya adalah bahwa kita sekarang selangkah lebih dekat ke cawan suci. Sejak musim panas lalu, Intel dan Mitre telah bermitra dan bekerja tanpa lelah untuk memperkenalkan kerangka kerja yang sangat dinanti. Pada Februari 2020, Mitre mengumumkan rilis CWE versi 4.0 yang memperluas penawaran berorientasi perangkat lunak yang ada untuk menyertakan mitra perangkat keras. Menurut pengumuman awal Mitre, pembaruan ini dimaksudkan untuk “membantu perancang perangkat keras untuk lebih memahami potensi kesalahan yang dapat dibuat di area tertentu dari desain IP mereka, serta membantu pendidik [untuk] mengajar profesional masa depan tentang jenis kesalahan yang mungkin terjadi. umumnya dibuat dalam desain perangkat keras.”
Tampilan Desain Perangkat Keras CWE yang baru sudah mencakup 30 masalah perangkat keras yang sering diabaikan oleh perancang perangkat keras. Masalah ini dikelompokkan dalam kategori tingkat tinggi seperti Masalah Manufaktur dan Manajemen Siklus Hidup, Masalah Aliran Keamanan, Masalah Pemisahan Hak Istimewa dan Kontrol Akses, Masalah Sirkuit Umum dan Desain Logika, Masalah Inti dan Komputasi, Masalah Memori dan Penyimpanan, Primitif Keamanan, dan Kriptografi Masalah, dan banyak lagi.
Perkembangan terakhir ini merupakan langkah besar ke arah yang benar, tetapi masih banyak pekerjaan yang harus dilakukan. Koleksi ini diharapkan berkembang dari waktu ke waktu karena kontribusi komunitas memperkenalkan lebih banyak entri dan contoh. Komunitas riset, serta pihak-pihak di industri yang lebih luas, akademisi, dan pemerintah harus bersatu untuk berpartisipasi dan berkontribusi untuk terus membangun CWE perangkat keras kumulatif yang terstandarisasi ini. Dan ada banyak motivasi untuk melakukannya, dengan begitu banyak manfaat jangka panjang yang dapat diperoleh dari upaya ini.
CWE perangkat keras yang kuat akan memungkinkan arsitek untuk mempelajari dan menerapkan mitigasi yang efektif dalam produk mereka untuk mencegah serangan yang diluncurkan oleh peretas dari berbagai titik masuk. Desainer akan tetap mengikuti praktik terbaik secure-by-design dan menghindari jebakan keamanan perangkat keras umum saat membuat produk baru. Insinyur verifikasi akan jauh lebih akrab dengan berbagai jenis kelemahan perangkat keras dan dengan demikian lebih efektif dalam menghilangkan kerentanan selama proses pengembangan. Peneliti keamanan akan lebih siap untuk menentukan dan menyelesaikan masalah keamanan perangkat keras sistemik dan mengembangkan perbaikan yang menghilangkan risiko dan menghalangi penyerang. Para peneliti yang bercita-cita untuk terjun ke lapangan dapat mengambil manfaat dari sumber daya dan taksonomi umum untuk belajar, berkolaborasi, dan bertukar pembelajaran satu sama lain. Industri perangkat keras tentu saja dapat memperoleh manfaat dari komunitas yang lebih beragam, bergabung dengan orang-orang cerdas dari domain penelitian lain untuk membantu mendorong keadaan mutakhir saat ini ke batas berikutnya. Ini hanyalah beberapa dari banyak manfaat yang akan kita lihat saat industri membangun kerangka kerja CWE perangkat keras kumulatif yang terbuka.
Sudah terlalu lama, banyak yang merasa bahwa mengidentifikasi dan mengkategorikan kelemahan perangkat keras, akar penyebab, dan strategi mitigasi adalah perjuangan berat yang tak ada habisnya. Karena perangkat keras terus menjadi target utama bagi peretas yang bergerak maju, kita harus berinvestasi dalam penelitian, perkakas, dan sumber daya yang diperlukan untuk membuat katalog dan mengevaluasi kelemahan perangkat keras dengan urgensi dan cakupan yang sama seperti yang kita miliki untuk ancaman perangkat lunak. CWE 4.0 yang baru adalah langkah awal yang fantastis di mana industri dapat mendukung dan membangunnya — memungkinkan para praktisi untuk berbicara dalam bahasa yang sama saat mereka terus meningkatkan ketahanan keamanan produk perangkat keras yang diandalkan oleh orang-orang di seluruh dunia setiap hari.
>> Artikel ini awalnya diterbitkan pada situs saudara kami, EE Times.