Việc khai thác phần mềm không tốn kém - và đó là một vấn đề bảo mật lớn

Chi phí để hack điện thoại của bạn là bao nhiêu? Dự đoán tốt nhất cho một chiếc iPhone là từ 0 USD đến $65,000 - và mức giá đó chủ yếu phụ thuộc vào bạn. Nếu bạn bỏ qua bản cập nhật bảo mật thực sự quan trọng thì chi phí sẽ gần bằng 0 USD.

Nói rằng bạn đã cập nhật. Con số 65,000 USD đó là chi phí cao hơn để khai thác một cá nhân trung bình - chuyển sang Android, Mac hoặc PC và chi phí có thể thấp hơn rất nhiều. Apple đã đầu tư nguồn lực khổng lồ trong việc làm cứng iPhone. Giá yêu cầu cho một hoạt động khai thác riêng lẻ, thay vì dưới dạng dịch vụ, có thể tăng cao tới 8 triệu đô la. So sánh điều đó với chi phí khai thác một trình đọc PDF như Adobe Acrobat - nổi tiếng với các lỗ hổng bảo mật - theo đó Báo cáo nghiên cứu của TrendMicro (PDF) là $250 trở lên.

Chuyển từ nhắm mục tiêu vào một người cụ thể sang nhắm mục tiêu vào bất kỳ ai trong số hàng nghìn người tại một công ty lớn và có vô số cách để xâm nhập. Kẻ tấn công chỉ cần tìm cách rẻ nhất.

Việc một lỗ hổng iPhone hiện đại được bán với giá hàng triệu USD so với hàng trăm chiếc cho một lỗ hổng Adobe Acrobat là một thành tựu phi thường đối với Apple, đáng để ăn mừng và cố gắng nhân rộng ở những nơi khác. Nó phản ánh rằng các công ty công nghệ lớn đã âm thầm chi những nguồn lực khổng lồ để tăng chi phí khai thác phần mềm trong 20 năm qua.

Làm thế nào để chúng tôi tăng chi phí khai thác?

Bên ngoài các công ty công nghệ lớn nhất, ý tưởng cố gắng làm cho phần mềm khó bị khai thác hơn thường được coi là một nguyên nhân thất bại. Hãy tưởng tượng có một con sâu đang di chuyển trên mạng của bạn. Thật khó để yêu cầu 1,000 nhân viên văn phòng khởi động lại máy tính của họ, vì vậy bạn đặt tường lửa ở chu vi mạng để chặn các gói mạng của sâu. Điều đó sẽ ngăn chặn sâu, nhưng máy vẫn dễ bị tổn thương nếu nó xâm nhập vào mạng. 

Phương pháp hiện đại (không tin tưởng, do Forrester tiên phong) giả định rằng “chu vi” đã bị xâm phạm — vì vậy giờ đây mỗi thiết bị và ứng dụng, bất kể vị trí mạng, đều cần phải được tăng cường. Làm sao? Bằng cách tăng chi phí để khai thác chính phần mềm.

Mặc dù đây được coi là một cách tiếp cận cực kỳ tốn kém nhưng nó đang trở nên phổ biến. Dưới đây là một số kỹ thuật đã làm tăng đáng kể chi phí khai thác phần mềm, cùng với nguyên nhân khiến chúng trở nên đắt đỏ hoặc khó triển khai:

• Kiến trúc an toàn theo thiết kế: Thiết kế khả năng xảy ra các mẫu lỗ hổng phổ biến dẫn đến việc khai thác. Điều này có hiệu quả đáng kinh ngạc và một phần của kiến ​​trúc iPhone điều đó không được công chúng đánh giá cao. Bảo mật theo thiết kế có thể xảy ra ở lớp phần cứng hoặc ở lớp ngôn ngữ, như với một ngôn ngữ như Rust, được thiết kế bởi Mozilla để giảm xác suất về các lỗi lập trình gây ra lỗ hổng bảo mật trên Firefox. Firefox được phát hành vào năm 1998 và Rust vào năm 2018; sau năm năm làm việc chăm chỉ, Rust hiện chiếm 10% mã Firefox. Hãy tưởng tượng nỗ lực cần có để chuyển toàn bộ hệ điều hành như Linux. Trừ khi bạn bắt đầu lại từ đầu, việc triển khai bảo mật bằng thiết kế rất khó và chậm.
• Giảm thiểu khai thác phần cứng và hệ điều hành: Có thể cho rằng, đây là một phạm vi rộng hơn, nhưng nếu nó được tích hợp sẵn thì nó có thể hiệu quả vì không có sự so sánh trực tiếp nào với việc chạy ứng dụng bên ngoài phạm vi vì nó yêu cầu hệ điều hành phải thực thi nó. Cách tiếp cận này là một phần quan trọng trong quá trình tăng cường vào đầu những năm 2000, đặc biệt là khả năng ghi hoặc thực thi của Linux và Ngăn chặn thực thi dữ liệu của Microsoft. Các phương pháp tiếp cận gần đây hơn, chẳng hạn như tính toàn vẹn của luồng điều khiển, về mặt lý thuyết là hợp lý, nhưng thường có chi phí hiệu suất mà các nhà phát triển thường không sẵn sàng trả.
• Trả tiền cho các lỗ hổng (còn được gọi là tiền thưởng lỗi): Có lẽ trớ trêu thay, một trong những kỹ thuật rẻ nhất lại là trả tiền cho tin tặc để chia sẻ những gì họ tìm thấy. Về lý thuyết, tin tặc có thể kiếm tiền từ việc khai thác với giá cao hơn nhiều so với số tiền mà nhà cung cấp sẽ trả. Nhưng trên thực tế, việc tối đa hóa giá trị được trích xuất tốn rất nhiều công sức và có thể khiến tin tặc gặp khó khăn về mặt đạo đức. Tiền thưởng tìm lỗi đặc biệt lý tưởng cho các công ty có nhiều dịch vụ kết nối Internet vì chúng đòi hỏi ít công sức để thiết lập.
• Công cụ kiểm tra tự động: Bắt đầu từ đầu những năm 2000, một số công ty khởi nghiệp đã xuất hiện xung quanh việc kiểm tra tự động các vấn đề bảo mật. Ý tưởng tìm mã lỗi trong mã có vẻ trực quan nhưng dễ bị nhiễu vì người đánh giá có bối cảnh khó mã hóa trong phân tích giai đoạn biên dịch. Nó vẫn phổ biến vì nó tương đối ít ma sát khi triển khai: Thiết lập một công việc quét mã khi nó di chuyển trong vòng đời phát triển. Có một thị trường rộng lớn các công cụ quét mã tại thời điểm xây dựng (SAST) và thời gian chạy (DAST); lời phàn nàn phổ biến nhất về các công cụ này là chúng có nhiều kết quả dương tính giả.
• Đánh giá mã thủ công hoặc tự động: Chuyển giao kiến ​​thức chuyên môn từ các nhà phát triển cấp cao hơn sang các nhà phát triển cấp dưới hơn hoặc sử dụng các công cụ tìm kiếm hoặc tự động tìm các mẫu chống đơn giản. Điều này có thể có hiệu quả không tương xứng. Tự động hóa đánh giá mã có thể triển khai một cách hiệu quả một phiên bản bảo mật theo thiết kế ít tham vọng hơn, được gọi là “lan can bảo mật”, trong đó thay vì tái kiến ​​trúc từ đầu, nhận xét tự động sẽ hướng dẫn các nhà phát triển theo một cách mới để tránh toàn bộ loại lỗ hổng. 

Giải pháp tiềm năng là gì?

Tôi tin rằng tương lai đòi hỏi ba điều. Đầu tiên, có nhiều kỹ sư bảo mật và kỹ thuật hơn: Thuê các kỹ sư bảo mật có kiến ​​thức nền tảng về phát triển và có được sự lãnh đạo kỹ thuật đồng tình với khái niệm tăng chi phí khai thác phần mềm. Thứ hai, chuyển trọng tâm của chúng tôi từ các công cụ giúp loại bỏ khả năng phát hiện và phản hồi sang xây dựng các công cụ làm tăng chi phí khai thác. Thứ ba, không xây dựng các công cụ mới trong một thế giới biệt lập, tập trung vào bảo mật mà kết hợp với các bên liên quan của nhà phát triển và xem xét nhu cầu của doanh nghiệp để triển khai nhanh chóng.

Phần mềm đang ăn mòn thế giới và phần mềm khai thác thì rẻ. Chúng tôi chắc chắn sẽ không làm chậm cái trước, vì vậy hãy thay đổi cái sau.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/vulnerabilities-threats/its-cheap-to-exploit-software-major-security-problem