ΣΧΟΛΙΑΣΜΟΣ
Η πρόσφατη δημοσίευση «Επιστροφή στα δομικά στοιχεία: A Path Toward Secure and Measurable Software» από το Γραφείο του Λευκού Οίκου του National Cyber Director (ONCD) παρέχει πρόσθετες λεπτομέρειες και στρατηγική κατεύθυνση που υποστηρίζει την Εθνική Στρατηγική Κυβερνοασφάλειας κυκλοφόρησε τον Μάρτιο του 2023. Η στρατηγική σκοπεύει να μεταθέσει ένα πολύ μεγαλύτερο μερίδιο ευθύνης για την ασφάλεια στον κυβερνοχώρο σε προμηθευτές λογισμικού, παρόχους υπηρεσιών και άλλες οντότητες που αναπτύσσουν εφαρμογές λογισμικού. Αυτή η τελευταία έκθεση παρέχει μια πιο συγκεκριμένη κατεύθυνση, δίνοντας έμφαση σε μια επιθετική στροφή προς Γλώσσες προγραμματισμού ασφαλείς για μνήμη με πρακτικές ανάπτυξης λογισμικού.
Η επιτακτική ανάγκη για την ασφάλεια της μνήμης
Οι παραδοσιακές γλώσσες προγραμματισμού είναι συχνά ο αδύναμος κρίκος στην ανάπτυξη λογισμικού, με τις ευπάθειες στην ασφάλεια της μνήμης να οδηγούν σε σημαντικά περιστατικά. Παρά τις εκτενείς αναθεωρήσεις κώδικα και άλλα μέτρα ασφαλείας, αυτές οι ευπάθειες εξακολουθούν να υφίστανται, αντιπροσωπεύοντας έως και το 70% των ζητημάτων ασφαλείας σε αυτές τις γλώσσες. Η στροφή προς γλώσσες προγραμματισμού που είναι ασφαλείς για τη μνήμη, όπως υποδεικνύεται από τον οδικό χάρτη της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), είναι ένα κρίσιμο βήμα προς την ανάπτυξη λογισμικού ασφαλούς σχεδιασμού.
Πλοήγηση στις πολυπλοκότητες του παλαιού συστήματος
Μία από τις πιο τρομακτικές προκλήσεις σε αυτή τη στρατηγική αλλαγή είναι η αντιμετώπιση των παλαιών συστημάτων που αναπτύχθηκαν σε C και C++. Αυτά τα παλαιού τύπου συστήματα δεν είναι μόνο πολυάριθμα αλλά συχνά κρίσιμα για τις λειτουργίες πολλών οργανισμών. Η επανεγγραφή αυτών των συστημάτων σε σύγχρονες γλώσσες που είναι ασφαλείς για τη μνήμη μπορεί να είναι δαπανηρή και περίπλοκη, με αποτέλεσμα τον χρόνο διακοπής λειτουργίας των κρίσιμων επιχειρηματικών διαδικασιών.
Επιπλέον, τα τρωτά σημεία ασφάλειας της μνήμης παρατηρούνται κυρίως σε επίπεδο λειτουργικού συστήματος, επηρεάζοντας σημαντικές πλατφόρμες όπως η Microsoft και το Linux. Αυτή η κατηγοριοποίηση των θεμάτων σε επίπεδο χρόνου εκτέλεσης και όχι σε επίπεδο εφαρμογής, υπογραμμίζει την ευρύτερη πρόκληση στην ασφάλεια στον κυβερνοχώρο: η επιδίωξη προηγμένων μέτρων ασφαλείας πρέπει να εξισορροπηθεί με τις πρακτικές και το κόστος εφαρμογής αυτών των αλλαγών, ειδικά για καθιερωμένα συστήματα.
Οικονομικά και Τεχνικά Θέματα
Πολλοί οργανισμοί αντιμετωπίζουν τεράστιο κόστος που σχετίζεται με την επισκευή παλαιότερων συστημάτων. Η αλλαγή των πρωτοκόλλων κωδικοποίησης δεν είναι μόνο μια τεχνική απόφαση αλλά και μια στρατηγική απόφαση για τη διασφάλιση της ασφάλειας της ψηφιακής υποδομής του μέλλοντος. Ως αποτέλεσμα, οι υπεύθυνοι λήψης αποφάσεων που εξετάζουν πότε θα αναλάβουν τη μετάβαση πρέπει να αξιολογήσουν τις άμεσες οικονομικές και λειτουργικές επιπτώσεις σε σχέση με τα μακροπρόθεσμα οφέλη.
Ευτυχώς, έχουν ήδη αναπτυχθεί τεχνολογικές καινοτομίες που μπορούν να μειώσουν το κόστος και τη διακοπή της μετάβασης σε ασφαλέστερο κώδικα. Για παράδειγμα, τα εργαλεία ανάλυσης κώδικα μπορούν να αναλύουν εφαρμογές παλαιού τύπου και να προσδιορίζουν ημιαυτόνομα περιπτώσεις όπου ο κώδικας C ή Python εκτελείται χωρίς σωστή απομόνωση. Και λόγω των πρόσφατων προόδων στην τεχνολογία μεταγλωττιστών, ακόμη και οι μη ασφαλείς πρακτικές κωδικοποίησης στη χειρότερη περίπτωση μπορούν να προστατευτούν εάν γραφτούν σε παλαιότερη γλώσσα. Αυτές οι εξελίξεις θα πρέπει να μειώσουν σημαντικά τα εμπόδια στην υιοθέτηση πρακτικών ασφαλούς κωδικοποίησης για οργανισμούς οποιουδήποτε μεγέθους.
Συνεργατική προσπάθεια προς ένα ασφαλές μέλλον
Οι υπεύθυνοι χάραξης πολιτικής και οι πωλητές πρέπει να συνεργάζονται στενά για να εξισορροπήσουν την ενίσχυση της ασφάλειας με τη διατήρηση βασικών υπηρεσιών λογισμικού. Η υιοθέτηση γλωσσών προγραμματισμού που είναι ασφαλείς για τη μνήμη, όπως προτείνεται από το ONCD, είναι ένα κρίσιμο βήμα σε αυτό το ταξίδι και είναι αναπόσπαστο στοιχείο για την προώθηση της συλλογικής μας ασφάλειας στον κυβερνοχώρο.
Αρκετοί ηγέτες του κλάδου έχουν ήδη πραγματοποιήσει σημαντικές επενδύσεις σε γλώσσες που είναι ασφαλείς για τη μνήμη. Τα παραδείγματα περιλαμβάνουν:
-
Γλώσσα προγραμματισμού Rust της Mozilla: Με έμφαση στην ασφάλεια της μνήμης, η Rust προσφέρει μια σταθερή εναλλακτική στις παραδοσιακές γλώσσες προγραμματισμού που συνδυάζει ασφάλεια και απόδοση.
-
Η επένδυση της Microsoft στο Rust: Αναγνωρίζοντας ότι οι παλαιότερες γλώσσες έχουν περιορισμούς, η Microsoft αγκάλιασε το Rust και το χρησιμοποίησε σε πολλά νέα έργα όπου η ασφάλεια της μνήμης ήταν μια ανησυχία.
-
Οι προσπάθειες της Google για την ασφάλεια της μνήμης: Η Google έχει επενδύσει σημαντικούς πόρους για την εύρεση και τον μετριασμό των τρωτών σημείων ασφάλειας της μνήμης και έχει ζητήσει τη χρήση γλωσσών που είναι ασφαλείς για τη μνήμη σε νέες εξελίξεις. Την περασμένη εβδομάδα, η Google κυκλοφόρησε μια νέα ερευνητική έκθεση, "Secure by Design: Η προοπτική της Google για την ασφάλεια της μνήμης", υποστηρίζοντας μια στρατηγική ασφαλούς σχεδίασης. Η έκθεση εστιάζει στην υιοθέτηση γλωσσών με ισχυρά χαρακτηριστικά ασφάλειας μνήμης και αναγνωρίζει τους περιορισμούς της εξέλιξης της C++ για να πληροί αυτά τα πρότυπα.
Προχωρώντας προς τα εμπρός: Πρακτικά βήματα για την εκπλήρωση των συστάσεων ONCD
Η πορεία στην τελευταία έκθεση ONCD είναι προκλητική, αλλά πλούσια σε ευκαιρίες. Απαιτεί πρακτικά βήματα από όλους τους παράγοντες της ανάπτυξης λογισμικού και των οικοσυστημάτων κυβερνοασφάλειας, συμπεριλαμβανομένων:
-
Εκπαίδευση και κατάρτιση: Οι οργανισμοί πρέπει να δεσμευτούν ότι θα διδάξουν στις ομάδες τους γλώσσες που είναι ασφαλείς για τη μνήμη και ασφαλείς πρακτικές ανάπτυξης, διασφαλίζοντας ότι οι προγραμματιστές μπορούν να κάνουν τις απαραίτητες αλλαγές.
-
Σχέδια σταδιακής μετάβασης: Οι οργανισμοί θα πρέπει να δημιουργήσουν σχέδια για τη μετάβαση των παλαιών συστημάτων σε γλώσσες που είναι ασφαλείς για τη μνήμη και διαχειρίσιμες. Θα πρέπει πρώτα να αντιμετωπίσουν τους πιο κρίσιμους τομείς και να σταδώσουν αργά το έργο για να ελαχιστοποιηθεί η λειτουργική διακοπή.
-
Αξιοποίηση εργαλείων αυτοματισμού: Οι οργανισμοί θα πρέπει να χρησιμοποιούν σύγχρονα εργαλεία ανάλυσης κώδικα και μεταγλωττιστές που βρίσκουν και διορθώνουν αυτόματα μη ασφαλείς πρακτικές κώδικα, μειώνοντας ταυτόχρονα τον φόρτο των μη αυτόματων διαδικασιών.
-
Πολιτική και διακυβέρνηση: Οι οργανισμοί πρέπει να αναπτύξουν σαφείς δομές διακυβέρνησης που να εμπνέουν την ασφάλεια της μνήμης και τις ασφαλείς πρακτικές ανάπτυξης σε όλο τον κύκλο ζωής ανάπτυξης λογισμικού.
-
Κοινότητα και συνεργασία: Είναι σημαντικό ότι οι οργανισμοί θα πρέπει να προσεγγίσουν έξω από τα τείχη τους και την ευρύτερη τεχνολογική κοινότητα σε φόρουμ, συνεργασίες και έργα ανοιχτού κώδικα για να μοιραστούν τη γνώση, τις προκλήσεις και τις λύσεις σχετικά με την ασφάλεια της μνήμης που συνοδεύει αυτό το ταξίδι.
Βελτίωση ασφάλεια στις εφαρμογές που οδηγεί την ψηφιακή οικονομία είναι ένα υψηλό και σύνθετο αλλά απαραίτητο εγχείρημα που απαιτεί συνεχή συνεργασία μεταξύ του δημόσιου και του ιδιωτικού τομέα. Η τελευταία έκθεση του ONCD είναι ένα σταθερό επόμενο βήμα στην άρθρωση της στρατηγικής. Ωστόσο, χρειάζεται περισσότερη θέληση για να πραγματοποιηθεί το όραμα. Η μετάβαση σε γλώσσες κωδικοποίησης που είναι ασφαλείς για τη μνήμη για νέες εφαρμογές και η ενημέρωση κώδικα παλαιού τύπου είναι τεράστιες προκλήσεις. Ωστόσο, σημειώνεται πρόοδος με τις πρόσφατες εξελίξεις στην ανάλυση λογισμικού και τις τεχνολογίες μεταγλωττιστών και τις δεσμεύσεις που επιδεικνύονται από πολλούς παγκόσμιους ηγέτες τεχνολογίας.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/vulnerabilities-threats/white-house-call-for-memory-safety-brings-challenges-changes-costs
