Η ομάδα ασφαλείας της NVIDIA, όπως πολλές άλλες ομάδες προσανατολισμένες στην ασφάλεια στον κλάδο μας σήμερα, αναζητούσαν μια μετρήσιμη απάντηση στο ολοένα και πιο εχθρικό περιβάλλον κυβερνοασφάλειας και άρχισαν να αμφισβητούν τις στρατηγικές ανάπτυξης λογισμικού και επαλήθευσης.
«Η δοκιμή ασφάλειας είναι σχεδόν αδύνατη. Είναι δύσκολο να ξέρεις αν έχεις τελειώσει ποτέ», δήλωσε ο Daniel Rohrer, Αντιπρόεδρος της Ασφάλειας Λογισμικού της NVIDIA.
Αυτό είναι το πιο σημαντικό σημείο της μελέτης περίπτωσης - ότι η επαλήθευση λογισμικού προσανατολισμένη στις δοκιμές απλά δεν λειτουργεί για λόγους ασφάλειας. Μόλις βγείτε από τη δαπανηρή διαδικασία της ενδελεχούς δοκιμής του λογισμικού σας, μπορείτε να έχετε μια μέτρηση για την ποιότητα των δυνατοτήτων που παρέχετε στους χρήστες, αλλά δεν μπορείτε να πείτε πολλά για την ασφάλεια.
Ο Rohrer συνεχίζει, «Θέλαμε να τονίσουμε την αποδεικτικότητα έναντι της δοκιμής ως προτιμώμενη μέθοδο επαλήθευσης». Ευτυχώς, είναι δυνατό να αποδειχθεί μαθηματικά ότι ο κώδικάς σας συμπεριφέρεται ακριβώς σύμφωνα με τις προδιαγραφές του. Αυτή η διαδικασία είναι γνωστή ως επίσημη επαλήθευση και είναι η θεμελιώδης αλλαγή που έκανε τη NVIDIA να στραφεί προς τη SPARK, ως λύση για επίσημη επαλήθευση λογισμικού.
Το 2018, διεξήχθη μια άσκηση Proof-of-Concept (POC). Δύο εφαρμογές χαμηλού επιπέδου ευαίσθητες στην ασφάλεια μετατράπηκαν από C σε SPARK σε μόλις τρεις μήνες. Μετά από αξιολόγηση της απόδοσης της επένδυσης, η ομάδα κατέληξε στο συμπέρασμα ότι ακόμη και με την ανάπτυξη της νέας τεχνολογίας (εκπαίδευση, πειραματισμός, ανακάλυψη νέων εργαλείων κ.λπ.), τα κέρδη στην ασφάλεια των εφαρμογών και στην αποτελεσματικότητα της επαλήθευσης ήταν μετρήσιμα. Συνειδητοποίησαν σημαντικές βελτιώσεις στην ευρωστία ασφαλείας και των δύο εφαρμογών (Δείτε την ομιλία της NVIDIA στο συνέδριο Offensive Security Research D3FC0N για περισσότερες πληροφορίες σχετικά με τα αποτελέσματα της αξιολόγησης).
Καθώς τα αποτελέσματα του POC επικύρωσαν την αρχική στρατηγική, η χρήση του SPARK εξαπλώθηκε γρήγορα εντός της NVIDIA. Υπάρχουν πλέον πάνω από πενήντα εκπαιδευμένοι προγραμματιστές και πολλά εξαρτήματα έχουν εφαρμοστεί στο SPARK, και πολλά προϊόντα NVIDIA διατίθενται πλέον με στοιχεία SPARK.
Μπορείτε να διαβάσετε την πλήρη μελέτη περίπτωσης, η οποία καλύπτει ορισμένα σημαντικά θέματα που θα πρέπει να είναι πολύ ενδιαφέροντα για άλλους που αμφισβητούν τις δικές τους στρατηγικές κυβερνοασφάλειας.
Recommended Comments
There are no comments to display.
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now