Εργαλείο μεταγλωττιστή για λειτουργική ασφάλεια και ασφάλεια στον κυβερνοχώρο
Το 2020 η Οικονομική Επιτροπή των Ηνωμένων Εθνών για την Ευρώπη δημοσίευσε τον κανονισμό για τις ενιαίες διατάξεις σχετικά με την έγκριση των οχημάτων όσον αφορά το σύστημα διαχείρισης του κυβερνοχώρου και της ασφάλειας στον κυβερνοχώρο, γνωστό και ως WP.29.
Στην ΕΕ, την Ιαπωνία, την Κορέα και το Ηνωμένο Βασίλειο, ο εν λόγω κανονισμός ενσωματώνεται στη νομοθεσία για την έγκριση του τύπου οχημάτων, καθιστώντας τη συμμόρφωση με τον κυβερνοχώρο ως μη διαπραγματεύσιμο για την εξασφάλιση της πρόσβασης στην αγορά.
Παρόλο που το WP.29 δεν αναφέρει το πρότυπο μηχανικής ISO/SAE 21434: 2021 - WP.29 Κανονισμός. Η επίδειξη της συμμόρφωσης με το πρότυπο ISO Cybersecurity θα πρέπει να προστατεύει τους ΚΑΕ και τους προμηθευτές τους από την ευθύνη.
Εξειδικευμένος μεταγλωττιστής
Το πρότυπο ISO 26262 αφιερώνει ένα κεφάλαιο στα κριτήρια για τον προσδιορισμό του απαιτούμενου επιπέδου εμπιστοσύνης σε ένα εργαλείο λογισμικού και παρέχει μεθόδους για την προϋπόθεση για το εργαλείο για τη δημιουργία αποδεικτικών στοιχείων ότι είναι κατάλληλο να χρησιμοποιηθεί για την ανάπτυξη λογισμικού που σχετίζεται με τη λειτουργική ασφάλεια.
Τέσσερις μέθοδοι χαρακτηρίζουν ένα εργαλείο λογισμικού: αυξημένη εμπιστοσύνη από τη χρήση. Αξιολόγηση της αναπτυξιακής διαδικασίας · επικύρωση του εργαλείου λογισμικού · και την ανάπτυξη σύμφωνα με ένα πρότυπο ασφαλείας.
Για υψηλότερα επίπεδα ακεραιότητας ασφαλείας αυτοκινήτων (ASIL), μόνο οι τελευταίες δύο μέθοδοι είναι κατάλληλες. Η επικύρωση εργαλείων σημαίνει τη χρήση μέτρων για να αποδείξει ότι το εργαλείο λογισμικού πληροί συγκεκριμένες απαιτήσεις για το σκοπό του.
Δύο διαφορετικές προσεγγίσεις χρησιμοποιούνται για την ικανοποίηση των απαιτήσεων επικύρωσης εργαλείων ISO 26262. Ορισμένοι προμηθευτές μεταγλωττιστή εκτελούν την επικύρωση εργαλείων στο σπίτι και προσκαλούν ένα φορέα αξιολόγησης συμμόρφωσης για να πιστοποιήσουν ότι το εργαλείο και η τεκμηρίωση της ασφάλειας είναι κατάλληλα για το σκοπό. Ο πελάτης λαμβάνει ένα πιστοποιημένο εργαλείο μεταγλωττιστή και χρειάζεται μόνο για να εφαρμόσει τις οδηγίες από το εγχειρίδιο ασφαλείας για να δείξει ότι η περίπτωση χρήσης είναι συμβατή με μια υπόθεση χρήσης. Άλλοι προμηθευτές προσφέρουν μια πιστοποιητική (Versus certified) Toolset Plus μια μεθοδολογία προσόντων εργαλείων με εργαλεία υποστήριξης και τεκμηρίωση.
Η μεθοδολογία πιστοποίησης εργαλείων είναι γενικά πιστοποιημένη και ο πελάτης πρέπει να εκτελέσει το προσόντα εργαλείων, η οποία μπορεί να συνοψιστεί ως:
* Καθορισμός της υπόθεσης χρήσης για τον καθορισμό των απαιτήσεων που πρέπει να ικανοποιηθούν από το εργαλείο
* Επιλογή των κατάλληλων δοκιμών για την επαλήθευση αυτών των απαιτήσεων
* Εκτέλεση των δοκιμών και ανάλυση των αποτελεσμάτων των δοκιμών
* Δημιουργία της τεκμηρίωσης ασφαλείας και εφαρμόζοντας την καθοδήγηση από τα έγγραφα ασφαλείας.
Υπάρχουν κρυμμένα έξοδα με αυτήν την προσέγγιση, όπως η εκμάθηση της μεθοδολογίας των προσόντων και τα συναφή εργαλεία, η χορήγηση χορήγησης των απαραίτητων σουιτών δοκιμών, η εκτέλεση της διαδικασίας επικύρωσης του εργαλείου, η αλληλεπίδραση με τον πιστοποιητή και, τέλος, τι πρέπει να κάνετε εάν αποτύχουν οι δοκιμές.
Εξειδικευμένος μεταγλωττιστής
Ένας μεταγλωττιστής μπορεί να τροποποιήσει (βελτιστοποιήσει) τη συμπεριφορά ενός προγράμματος με τρόπους που ο προγραμματιστής δεν προβλέπεται. Η δομική πρόθεση του προγραμματιστή λογισμικού δεν μπορεί να απεικονιστεί με ακρίβεια στην τελική αναπαράσταση του προγράμματος προέλευσης και ο μεταγλωττιστής μπορεί να επηρεάσει την ασφάλεια του λογισμικού.
Σε αντίθεση με το πρότυπο ISO Functional Safety (FUSA), το πρότυπο ISO Cybersecurity (ISO 21434 Τμήμα 5.4.7 Διαχείριση εργαλείων) δεν καθορίζει τις απαιτήσεις προσόντων εργαλείων. Τα κριτήρια για τον προσδιορισμό του απαιτούμενου επιπέδου εμπιστοσύνης σε ένα σύνολο εργαλείων μεταγλωττιστή για την ανάπτυξη λογισμικού που σχετίζεται με την ασφάλεια στον κυβερνοχώρο είναι άγνωστο και δεν έχει καθοριστεί μέθοδος για να αποδείξει ότι έχουν πληρούνται τα κριτήρια που σχετίζονται με την ασφάλεια στον κυβερνοχώρο.
Το πρότυπο ISO περιέχει αναφορές στο πρότυπο λειτουργικής ασφάλειας ISO. Η αποδεδειγμένη μέθοδος επικύρωσης εργαλείων του προτύπου ISO 26262 είναι κατάλληλη για την προϋπόθεση για ένα σύνολο εργαλείων μεταγλωττιστή που χρησιμοποιείται στην ανάπτυξη ενός λογισμικού συμβατή με τον κανονισμό για τον κυβερνοχώρο. Προκειμένου να εφαρμοστεί αυτή η μέθοδος, πρέπει να δημιουργηθεί τα κριτήρια επικύρωσης εργαλείων για την ανάπτυξη λογισμικού που σχετίζεται με τον κυβερνοχώρο.
Επικύρωση εργαλείων
Ανάλογα με τα κριτήρια επικύρωσης εργαλείων για τη λειτουργική ασφάλεια, τα κριτήρια για την επικύρωση του εργαλείου για την ασφάλεια στον κυβερνοχώρο μπορούν να καθοριστούν ως μέτρα για την απόδειξη ότι το εργαλείο λογισμικού συμμορφώνεται με τις συγκεκριμένες απαιτήσεις ασφάλειας στον κυβερνοχώρο.
Οι κίνδυνοι για την ασφάλεια στον κυβερνοχώρο που μπορούν να εισαχθούν από το εργαλείο λογισμικού και οι αντίστοιχες συμπεριφορές τους θα αναλυθούν με πληροφορίες σχετικά με πιθανές συνέπειες και με μέτρα για την αποφυγή ή την ανίχνευσή τους.
Πρέπει επίσης να εξεταστεί η αντίδραση του εργαλείου λογισμικού σε ανώμαλες συνθήκες λειτουργίας.
Η διαδικασία Missurance Assurance Engineering (MAE) που αναπτύχθηκε από την Εθνική Κυβερνητική Ασφάλεια Η FFRDC μπορεί να χρησιμοποιηθεί για τον προσδιορισμό των απαιτήσεων για την ασφάλεια στον κυβερνοχώρο του σύνολο εργαλείων μεταγλωττιστή. Αυτή η διαδικασία είναι συμβατή με τις μεθόδους ανάλυσης απειλών και αξιολόγησης κινδύνου ISO 21434. Εάν η διαδικασία MAE εκτελείται από τον προμηθευτή εργαλείων και τα αποτελέσματα περιγράφονται στην τεκμηρίωση ασφάλειας και ασφάλειας στον κυβερνοχώρο, αυτό εξαλείφει την ανάγκη για τον χρήστη του εργαλείου να εκτελέσει μια επικύρωση εργαλείων.
Ο χρήστης του εργαλείου πρέπει να αξιολογήσει τον υπολειπόμενο κίνδυνο που σχετίζεται με τη συγκεκριμένη περίπτωση χρήσης που παραμένει μετά την εφαρμογή των οδηγιών.
Ο προμηθευτής εργαλείων πρέπει να αναλύσει την αντίδραση του εργαλείου λογισμικού σε ανώμαλες συνθήκες λειτουργίας χρησιμοποιώντας τη διαδικασία MAE. Τα ευρήματα μεταφράζονται σε κατευθυντήριες γραμμές και περιλαμβάνονται στο εγχειρίδιο ασφάλειας και ασφάλειας στον κυβερνοχώρο των εργαλείων. Ο χρήστης του εργαλείου πρέπει να εφαρμόσει τις παρεχόμενες οδηγίες και να αξιολογήσει τον υπολειπόμενο κίνδυνο για μια περίπτωση χρήσης.
Η διαδικασία MAE (Εικόνα 1) παρέχει μια αναλυτική προσέγγιση για τον προσδιορισμό των περιουσιακών στοιχείων του κυβερνοχώρου που είναι πιο κρίσιμα για την ολοκλήρωση της αποστολής, την κατανόηση των απειλών στον κυβερνοχώρο και τους συναφείς κινδύνους για τα περιουσιακά στοιχεία αυτά και την επιλογή μέτρων μετριασμού για την πρόληψη και/ή την καταπολέμηση των επιθέσεων.
Η ανάλυση αποτυχίας και η ανάλυση των αποτελεσμάτων (FMEA) και η ανάλυση εκτίμησης και αποκατάστασης απειλής (TARA) εξασφαλίζουν την ακεραιότητα του λογισμικού του χρήστη του εργαλείου και όχι την ακεραιότητα του σύνολο εργαλείων μεταγλωττιστή σύμφωνα με το στόχο του ISO 21434 να αντιμετωπίσει την ασφάλεια στον κυβερνοχώρο σε ηλεκτρικά και Τα ηλεκτρονικά συστήματα εντός οδικών οχημάτων όπου τα συστήματα εξωτερικά του οχήματος δεν βρίσκονται στο πεδίο εφαρμογής του ISO 21434. Η ακεραιότητα του εργαλείου μεταγλωττιστή και τα αρχεία που λειτουργούν διέπονται από άλλα πρότυπα όπως το ISO/IEC 27001 (Διαχείριση Ασφάλειας Πληροφοριών). Είναι σημαντικό τόσο ο προμηθευτής εργαλείων όσο και ο χρήστης να συμμορφώνονται επίσης με ένα πρότυπο ασφαλείας πληροφορικής.
Το FMEA χρησιμοποιείται για τον εντοπισμό των πιθανών κινδύνων για την ασφάλεια στον κυβερνοχώρο που μπορεί να εισαγάγει το εργαλείο μεταγλωττιστή στο λογισμικό του χρήστη. Ο στόχος του εργαλείου μεταγλωττιστή είναι η συμπεριφορά του λογισμικού που καταρτίζεται για να ικανοποιήσει τις προθέσεις του χρήστη υπό τις κανονικές συνθήκες και υπό συνθήκες επίθεσης στον κυβερνοχώρο. Η προδιαγραφή γλώσσας ISO C και C ++ επιτρέπει στους μηχανικούς μεταγλωττιστή να εφαρμόζουν μετασχηματισμούς στο λογισμικό που είναι σωστές με βάση μια νομιμοποιητική ερμηνεία των προτύπων ISO C και C ++, αλλά που θα εκπλήξουν πολλούς προγραμματιστές λογισμικού. Επομένως, είναι ευεργετικό εάν το FMEA εκτελείται από μια ομάδα μηχανικών που έχουν μια εις βάθος κατανόηση των απαιτήσεων, της αρχιτεκτονικής, του σχεδιασμού και της εφαρμογής των μεταγλωττιστών. Για κάθε προσδιορισμένο τρόπο αποτυχίας, πρέπει να παρέχεται ένα ή περισσότερα μέτρα μετριασμού για τη μείωση του κινδύνου.
Η μεθοδολογία TARA προσδιορίζει και αξιολογεί τα τρωτά σημεία του κυβερνοχώρου και επιλέγει αντίμετρα για την άμβλυνση αυτών των τρωτών σημείων. Η μεθοδολογία είναι συμβατή με τις απαιτήσεις του ISO 21434.
Η ροή εργασίας Tara (Εικόνα 2) χρησιμοποιεί τεχνικές λεπτομέρειες του συστήματος για να κατασκευάσει ένα μοντέλο κυβερνοχώρου της αρχιτεκτονικής του συστήματος. Αυτό παρέχει μια βάση για την αναζήτηση του καταλόγου για εύλογους φορείς επίθεσης. Μπορούν να χρησιμοποιηθούν οι συνηθισμένες απαριθμήσεις και ταξινομήσεις της βάσης δεδομένων και ο κατάλογος των διανυσμάτων επίθεσης φιλτράρεται και κατατάσσεται ανάλογα με τον εκτιμημένο κίνδυνο. Ο κατάλογος των τρωτών σημείων συνδυάζεται με τα δεδομένα χαρτογράφησης μετριασμού από τον κατάλογο για να προσδιορίσει έναν αρχικό κατάλογο αντιμέτρων, η οποία φιλτράρεται και κατατάσσεται με βάση το εκτιμώμενο κόστος χρησιμότητας και κύκλου ζωής, παράγοντας έναν πίνακα χαρτογράφησης μετριασμού.
Τα αντίμετρα επιλέγονται βάσει του κόστους και του επιπέδου ανοχής κινδύνου για τη δημιουργία ενός πίνακα αποτελεσματικότητας λύσης που απαριθμεί τα συνιστώμενα αντίμετρα/μετριασμούς και παρέχει λεπτομέρειες σχετικά με την αποτελεσματικότητα κάθε αντιμέτρου σε σχέση με το εύρος των τρωτών σημείων που αξιολογούνται. Μπορούν επίσης να χρησιμοποιηθούν πληροφορίες από άλλες βάσεις δεδομένων, όπως οι τύποι CWE (λογισμικό και υλικό αδυναμίας) και η CVE (αποκαλυπτόμενες ευπάθειες στον κυβερνοχώρο).
Η δυναμική φύση της ασφάλειας στον κυβερνοχώρο σημαίνει ότι είναι απαραίτητη η τακτική επανάληψη των παραπάνω αναλύσεων.
Το αποτέλεσμα της FMEA και της Tara
Τα τρωτά σημεία που προκαλούνται από τον μεταγλωττιστή μπορούν να ταξινομηθούν ως σχετικές με τυπικές κατηγορίες ευπάθειας, επιθέσεις πλευρικών καναλιών, απροσδιόριστη συμπεριφορά και επίμονες παραβιάσεις του κράτους. Οι συναφείς μετριασμοί είναι απαιτήσεις που σχετίζονται με την ασφάλεια στον κυβερνοχώρο που πρέπει να εφαρμοστούν από τον προμηθευτή εργαλείων. Αυτές περιλαμβάνουν την προστασία από τις επιθέσεις που διαθέτουν στοίβες μέσω μεταγλωττιστών που τοποθετούνται-canaries στοίβας, μέτρα για την ανίχνευση του buffer-overflow ή διατάξεις για την υποστήριξη της τυχαιοποίησης της διάταξης μνήμης.
Ο χρήστης του εργαλείου απαιτείται για να πληροί τις γενικές οδηγίες κωδικοποίησης και τις οδηγίες που αφορούν ειδικά το συγκεκριμένο σύνολο εργαλείων μεταγλωττιστή που χρησιμοποιείται. Η συμμόρφωση της Ένωσης Αξιοπιστίας Λογισμικού Μηχανής (MISRA) θεωρείται ελάχιστη και η τήρηση των κατευθυντήριων γραμμών κωδικοποίησης SEI CERT C/C ++ παρέχει πιο ολοκληρωμένη πρόληψη. Οι κατευθυντήριες γραμμές για ένα συγκεκριμένο σύνολο εργαλείων μεταγλωττιστή εξαρτώνται σε μεγάλο βαθμό από τη βελτιστοποίηση από τον προμηθευτή μεταγλωττιστή.
Ορισμένοι προμηθευτές ισχυρίζονται ότι οι απαιτήσεις FUSA και Cybersecurity αναστέλλουν όλες τις βελτιστοποιήσεις που εφαρμόζονται από τον μεταγλωττιστή, ενώ ορισμένοι προγραμματιστές μεταγλωττιστών εφαρμόζουν μια πολύ νομιμοποιητική ερμηνεία του προτύπου ISO C και θεωρούν τους κινδύνους που προκαλούνται από τον μεταγλωττιστή ως παρενέργεια της ανεπαρκούς κατανόησης του χρήστη της γλώσσας προγραμματισμού .
Το μεσαίο έδαφος κρατείται από όσους πιστεύουν ότι οι βελτιστοποιήσεις δεν χρειάζεται να εισαγάγουν τους κινδύνους FUSA και Cybersecurity εάν, και μόνο εάν ο μεταγλωττιστής παρέχει επαρκείς διαγνωστικές πληροφορίες σχετικά με τις εφαρμοσμένες βελτιστοποιήσεις για να καταστεί ο χρήστης του εργαλείου ενήμερους για πιθανές συνέπειες.
