ذكاء بيانات أفلاطون.
البحث العمودي و Ai.

الأمن السيبراني

إنتل تسخر Hackathons لمعالجة الثغرات الأمنية في الأجهزة

إعادة نشرها من قبل أفلاطون
إعادة نشرها من قبل أفلاطون

التاريخ:

المشاهدات: 0

منذ أول مسابقة اختراق Hack@DAC في عام 2017، ساعد الآلاف من مهندسي الأمن في اكتشاف الثغرات الأمنية القائمة على الأجهزة، وتطوير أساليب التخفيف، وإجراء تحليل السبب الجذري للمشكلات التي تم العثور عليها.

قررت إنتل في البداية تنظيم المسابقة، التي تجذب المتخصصين في مجال الأمن من الأوساط الأكاديمية وشركاء الصناعة حول العالم، لرفع مستوى الوعي حول نقاط الضعف القائمة على الأجهزة وتعزيز الحاجة إلى المزيد من أدوات الكشف، كما يقول آرون كانوبارثي، المهندس الرئيسي والباحث في الأمن الهجومي. في إنتل. ويقول إن الهدف الآخر وراء Hack@DAC، ومسابقات التقاط العلم، وغيرها من فعاليات الهاكاثون هو جذب انتباه مصممي الرقائق، وتحفيزهم على تصميم السيليكون بشكل أكثر أمانًا.

يقول كانوبارثي، الذي تحدث عن الدروس التي تعلمتها إنتل من سنوات إدارة Hack@DAC في مؤتمر Black Hat Asia الأخير في سنغافورة: "هناك وعي قليل جدًا بنقاط الضعف الأمنية للأجهزة بشكل عام". "وفكرنا حقًا كيف يمكننا الحصول على هذا الوعي بين مجتمع البحوث الأمنية؟"

يقول كانوبارثي: "إذا نظرت إلى البرامج، فستجد أن هناك الكثير من أدوات الأمان، مع البرامج أو البرامج الثابتة، ولكن عندما تنظر إلى الأجهزة، لا يوجد سوى عدد قليل من أدوات EDA أو أدوات أتمتة التصميم الإلكتروني".

تعتبر هذه الأنواع من الأحداث فعالة في جمع الأشخاص معًا للعثور على نقاط الضعف ومشاركة معارفهم. تعتبر CTFs طرقًا راسخة لتعليم وتعلم مهارات جديدة وأفضل الممارسات. وتعتقد شركة إنتل أيضًا أنه من المهم منح الطلاب "تجربة عما يعنيه أن تكون باحثًا أمنيًا في شركة تصميم"، كما يقول كانوبارثي.

تقبل Intel الآن المشاركات في Hack@DAC لعام 2024، والذي سيعقد في يونيو في سان فرانسيسكو.

معالجة المشاكل الصعبة

عندما نظمت إنتل لأول مرة Hack@DAC، لم يكن هناك تصميم قياسي أو منصة مفتوحة المصدر لاكتشاف أو مشاركة المعلومات حول نقاط الضعف في الأجهزة، كما يقول هاريش خاطري، المهندس الرئيسي لأبحاث الأمن الهجومي في إنتل. لقد تغير ذلك بفضل تعاون إنتل مع جامعة تكساس إيه آند إم وجامعة دارمشتات التقنية في ألمانيا. قام الأساتذة والطلاب بتنفيذ مشاريع مفتوحة المصدر وقاموا بإدراج نقاط الضعف الموجودة في الأجهزة لإنشاء إطار عمل مشترك لاكتشافها والكشف عن الثغرات الجديدة.

يقول خاطري: "والآن، بدأت الكثير من الأوراق البحثية المتعلقة بأمن الأجهزة في الاستشهاد بهذا العمل".

في عام 2020، انضمت إنتل إلى شركات تصنيع أشباه الموصلات الأخرى في التوافق مع معايير MITRE تعداد نقاط الضعف الشائعة (CWE) الفريق، الذي يسرد ويصنف نقاط الضعف المحتملة في البرامج والأجهزة والبرامج الثابتة لجلب المزيد من التركيز على الأجهزة. لقد كانت محاولة لمعالجة فجوة، نظرًا لأن MITRE حافظت فقط على أنواع ضعف البرامج، ولم يتمكن CWE من معالجة تحليلات السبب الجذري لنقاط ضعف الأجهزة، كما يتذكر كانوبارثي.

يقول كانوبارثي: "إذا تم التعرف على مشكلة في الأجهزة، فسيتم وضع علامة على [CWE] بنوع من التنبيهات الشاملة [التنبيه الذي يفيد] بوجود مشكلة أو أن النظام لا يعمل كما هو متوقع". "ولكن هناك الآن طريقة عرض تصميمية للأجهزة والتي يمكنك حلها لأن هذه هي المشكلة على وجه التحديد. وكان هذا إلى حد كبير نتيجة لبعض الأعمال التي قمنا بها والتي أدت إلى هجوم الاختراق وإنشاء CWE الهجين.

ويضيف خاطري أنه مع قيام الشركات المصنعة لأشباه الموصلات بتسريع تركيزها على إضافة تصميمات يمكن أن تدعم قدرات الذكاء الاصطناعي الجديدة، فإن الباحثين الأمنيين يتطلعون إلى تحديد نقاط الضعف بشكل أقرب إلى تصميم الأجهزة. وقد أدى ذلك إلى تسريع الاهتمام بالجهود الجديدة مثل الجهود التي ساهمت بها Google مشروع أوبن تيتان، وهو تصميم مرجعي مفتوح المصدر وإرشادات تكاملية لتأمين شرائح RoT جذر الثقة.

ويقول خاتري إن الجهود المبذولة وراء عمل Hack@DAC وIntel مع MITRE على CWE أدت إلى تحسين الأدوات. على سبيل المثال، موفر أداة تقييم نقاط الضعف في الأجهزة تدعي Cycuity (التي تستخدم OpenTitan كمعيار لكيفية قياس أدواتها لـ CWEs). يمكن لـ Radix الآن تحديد 80% من نقاط الضعف المعروفة في الأجهزة في قاعدة بيانات CWE.

يقول خاطري: "لقد شهدنا الكثير من التقدم في هذا المجال مقارنة بالوقت الذي بدأنا فيه". "الآن، يتجه الكثير من تركيز مجتمعات الأبحاث الأمنية نحو محاولة تحديد نقاط الضعف الأقرب إلى تصميم الأجهزة."

بقعة_صورة

أحدث المعلومات الاستخباراتية

بقعة_صورة

حقوق النشر @ 2024 Plato Technologies Inc.

الدردشة معنا

أهلاً! كيف يمكنني مساعدك؟