0
0
Mencione a segurança de TI e a maioria das pessoas pensa imediatamente em proteções baseadas em software contra ameaças baseadas em software: ransomware, vírus e outras formas de malware. Mas o reconhecimento da importância da segurança de hardware – sobre a qual toda a segurança de software é construída – também está (felizmente) crescendo.
Os padrões de segurança de hardware estabelecidos, como a Inicialização Segura e o TPM (Trusted Platform Module), garantem que os sistemas de computador não sejam adulterados ou comprometidos durante a inicialização. A criptografia baseada em hardware é amplamente utilizada para proteger dados em discos rígidos e redes.
Mas, para combater ameaças de segurança cada vez mais sofisticadas, espera-se que surjam salvaguardas de segurança mais avançadas no nível do hardware. Em última análise, as organizações que buscam estratégias abrangentes e integram as mais recentes proteções de hardware e software alcançarão a melhor postura de segurança. O código aberto continuará a desempenhar um papel fundamental nessa evolução.
As arquiteturas de conjunto de instruções (ISAs) estabelecem as bases para o comportamento seguro do software
Arquiteturas de conjuntos de instruções estabelecidas e emergentes oferecem tecnologias de segurança baseadas em hardware poderosas e promissoras.
Alguns ISAs incluem recursos de segurança internos para mitigar vulnerabilidades e ataques, como criptografia baseada em hardware, proteção de memória e prevenção de execução de dados.
Vários ISAs populares estão em amplo uso hoje. O x86 existe há décadas, e os recursos de segurança do x86 ISA podem protegê-lo se você estiver lendo isso em um desktop ou laptop baseado em Intel. O Arm também possui recursos de segurança no nível ISA, tornando-o o ISA de escolha para dispositivos móveis (e provavelmente está nos bastidores se você estiver lendo isso em um telefone ou tablet). O RISC-V é um ISA mais recente que se destaca como uma opção 100% gratuita e de código aberto que está ganhando uma adoção notavelmente rápida por causa de sua flexibilidade e recursos como plataforma de pesquisa.
Uma organização que seleciona um ISA deve considerar sua compatibilidade com outras ferramentas e softwares de segurança para garantir uma postura de segurança coesa.
O burburinho sobre o CHERI de código aberto e como ele demonstra o alto potencial dos ISAs
O CHERI emergiu como um empolgante projeto de segurança baseado em hardware em desenvolvimento conjunto pela Universidade de Cambridge e pela SRI International.
A CHERI abrange vários ISAs, incluindo CHERI MIPS e CHERI Arm. O projeto de pesquisa de código aberto está ganhando atenção por seu modelo de proteção exclusivo, que introduz limites e permissões impostos por hardware que controlam o acesso a regiões de memória. O CheriBSD, uma extensão habilitada para recursos do FreeBSD aberto, implementa os recursos de proteção de memória e compartimentação de software do CHERI ISA.
O CHERI ainda está na fase de P&D, mas os protótipos existentes são promissores.
A plataforma Morello da Arm – o protótipo CHERI mais avançado – combina a versão mais recente do CheriBSD com um núcleo de alto desempenho para criar um poderoso sistema no chip e uma placa de desenvolvimento. Esta plataforma oferece um ambiente de desktop seguro para memória para o desenvolvimento de software. Existem implementações de FPGA para RISC-V de código aberto, com o trabalho progredindo na padronização do CHERI para RISC-V. Parceiros, incluindo Google, Microsoft e muitos outros, têm explorado ativa e ansiosamente o CHERI-RISC-V e a plataforma Morello.
O surgimento do CHERI e projetos similares representam uma revolução potencial na segurança de TI. A proteção de memória e o controle de acesso a dados que a CHERI oferece podem conceder às organizações ampla imunidade a ataques e vulnerabilidades. Ataques baseados em memória, como estouros de buffer e explorações de uso após a liberdade, tornam-se evitáveis. Os projetos do tipo CHERI também oferecem compartimentação de alto desempenho, atendendo à necessidade crítica das organizações de impedir que invasores acessem dados confidenciais.
O código aberto acelera a evolução da segurança de hardware
A colaboração e o compartilhamento de conhecimento intrínsecos aos projetos de código aberto aceleram o quão bem as tecnologias de segurança de hardware novas e existentes se desenvolvem. Com o código-fonte e os designs de hardware abertos para desenvolvedores e especialistas em segurança revisarem, testarem e relatarem pontos fracos e trabalharem juntos para corrigir e melhorar, a inovação de segurança baseada em hardware de código aberto traz um nível de contribuições criativas e testes que o desenvolvimento de código fechado não pode igualar.
No caso do CheriBSD (uma adaptação do sistema operacional FreeBSD), a capacidade de construir em um sistema operacional Unix-like de código aberto desempenhou um papel essencial no progresso que a solução alcançou.
O papel crescente da segurança de hardware
À medida que as ameaças à segurança aumentam em sofisticação e o grande perigo que representam, as organizações devem aproveitar todas as proteções disponíveis para derrotar esse desafio crescente.
Soluções de segurança emergentes baseadas em hardware, como o CHERI e outros novos ISAs de código aberto, oferecem avanços convincentes nas proteções fundamentais que uma organização pode empregar. Implantadas como parte de uma estratégia de segurança abrangente, essas ferramentas representam uma mudança bem-vinda e necessária na força e nas possibilidades das posturas de segurança corporativa no futuro.
FONTE: HELPNET SECURITY