深度解析DARPA网络安全漏洞发现计划HARDEN

一HARDEN的源起1部分系统自身的设计方式可谓“引狼入室”目前人们非常关注检测和补救软件中的缺陷或是漏洞，但是让你意想不到的是有些系统的设计方式也会为攻击者创造大量机会。这主要是因为系统设计者主要关注的是确保程序善于执行特定的任务，关注的是设计如何能够最好地支持预期的功能和行为，以及如何在设计中实现这些功能和行为。攻击者也发现，这些设计结构和实施行为可以被重新利用来达到他们的恶意目的。因此，攻击者经常发现，他们可以通过使用系统中已经内置的程序来产生突发行为，从而提供一种利用漏洞的方法。2系统一旦利用类似机制将为攻击者创造持久的漏洞可利用模式当涉及到漏洞时，通常的想法是软件中有一个缺陷，然后有一个精心设计的输入可以触发这个缺陷，导致软件做一些它不应该做的事情，如崩溃或授予攻击者的特权。而现实却有些不同，因为那些现有的缺陷并没有立即暴露出来，所以攻击者需要帮助才能找到它们。而这种帮助却是在不知不觉中由系统本身的功能和设计提供的。DARPA信息创新办公室的项目团队观察到：如果是有很多系统都依赖类似功能的时候，这个问题会变得更加严峻。因为，当攻击者在一个系统上发现了一个漏洞，这可以为如何为其他系统找到类似的漏洞提供很大的提示，虽然这些系统是由不同的供应商独立开发的，但利用了类似的机制。这就为攻击者创造了持久的漏洞可利用模式，可以在一大批程序中使用。DARPA将这种模式通俗地描述为“紧急执行引擎（EnginesofEmergentExecution，EE）”。那么有什么方法可以防御“紧急执行引擎”呢？二HARDEN做什么用？为此，DARPA期望通过“强化开发工具链防御紧急执行引擎（HARDEN）”计划探索新的理论和方法，并开发实用的工具，以便在整个软件开发生命周期中预测、隔离和缓解计算机系统的突发行为。具体来说，HARDEN将通过破坏攻击者使用的持久的漏洞可利用模式，并剥夺攻击者的“紧急执行引擎”，来防止其对集成系统的利用。三HARDEN的优势1在软件设计层面破坏潜在漏洞执行引擎的理念远胜于打补丁网络安全漏洞层出不穷，而常规的打补丁的方式往往只解决一个特定的漏洞，披露漏洞后及时发布其安全补丁。另一方面，今天的软件开发工具链和测试方法提供了非常有限的方法来推理编写和设计的代码的对抗性重用。这导致在不知情的情况下，在系统中创建了稳定、可靠的紧急执行模式，对手可以在攻击中重用这些模式。例如：利用浏览器的内存管理算法和web脚本的web浏览器漏洞攻击以及利用可信计算系统管理模式的现代bootkit。为防止这种对抗性代码重用，HARDEN计划通过创建实用的工具、技术，在软件开发生命周期的早期阶段推理并且标记出具有高度对抗性重用和紧急执行潜力的代码段和设计模式。这样的理念远优胜于打补丁的缓解方法，达到破坏驻扎在设计层面的潜在漏洞执行引擎，将可能发生的，可能被重复利用的漏洞扼杀在摇篮中，从根本上改善集成系统软件的安全性。2具备网络安全行业优秀的研发团队与安全工具另外，HARDEN计划具备强大的优秀研发团队。为了减轻和防止集成计算系统中的漏洞利用，DARPA选择了Inter、UCSanDiego、Galois、KuduDynamics、NarfIndustries、RiverLoopSecurity、RiversideResearchInstitute等多个实力团队来共同研究该解决方案。据DARPA信息创新办公室的项目经理谢尔盖·布拉特斯最新透露：内存安全问题一直是整个行业中大多数软件漏洞的原因。而DARPA将利用Inter的加密能力计算系统，这是第一个无状态内存安全机制，可有效地用高效的加密技术取代低效的元数据，大大增强其安全性。四HARDEN主要研究内容HARDEN计划使用正式的验证方法和人工智能辅助程序模型、分析和开发实用工具，通过破坏攻击者使用的健壮、可靠的攻击模式来防止其利用“紧急执行引擎”。该计划将力图解决以下技术挑战：克服典型软件行为模型的状态爆炸；为软件开发人员提供预期行为的注释和紧急行为的预测；实现软件架构师和开发人员进行有关漏洞发现紧急执行引擎的有效沟通方法；在共同的开发流程和工具中预测和防止潜在的漏洞发现紧急执行引擎；创建紧急执行模型，在漏洞发现紧急执行引擎设计中，抽象出与紧急行为不相关的部分；在几个抽象层上建模接口和应用程序编程接口，以及这些层之间的交互；开发抽象的有效分层表示，以推理紧急执行模型等。1技术用例HARDEN计划将解决集成软件系统的以下技术用例：（1）对美国防部极为重要的信任根和供应链信任管理用例，如统一的可扩展固件接口(UnifiedExtensibleFirmwareInterface，UEFI)，和国防部特定的传感器开放系统体系结构(SensorOpenSystemArchitecture，SOSA)；（2）用于将平板电脑用户界面系统与可信计算机（例如任务计算机）安全连接的集成技术。UEFI体系结构被业界广泛采用，用于管理现代计算系统的可信任引导过程和完整性，以取代传统的基本输入/输出系统(BasicInputOutputSystem，BIOS)和芯片组固件，为信任根和供应链信任管理提供可靠的体系结构基础。然而，UEFI架构中暗藏了丰富的且不同类型的EE行为，并为攻击者提供了一个复杂的攻击面。该攻击面可渗透到整个技术堆栈的各个层，从启动进程到独立驱动程序，再到受保护的内存和主处理器区域，再到网络连接和整个供应链。HARDEN分析和工具将破坏UEFI架构所有抽象层上EE行为的可组合性，以防御最新的威胁并预测未来的威胁。SOSA是由空军生命周期管理中心提出的，具有广泛的行业参与其中。SOSA的目标是为各种下一代的国防部传感器系统创建标准。SOSA关注的重点领域是对传感器系统的启动过程进行建模和验证，以确保系统在传感器投入运行之前的完整性。作为SOSA工作的补充，HARDEN将探索可信计算系统启动过程中涉及的相关固件接口和事件，帮助制定标准以确保系统可靠性，并帮助创建工具来验证SOSA系统是否符合这些标准。作战人员用户界面用例将探索现代用户界面元素（如飞行员平板电脑）与飞机任务系统网络的安全集成。因为飞行员的平板电脑和飞机任务计算机之间的通信呈现出大型攻击面。HARDEN计划将创建最先进的集成系统分析能力，以确保值得信赖的飞行员平板电脑的任务目标。如果成功，HARDEN方法和工具将服务于其他类型的国防部集成系统，在其设计和实施中预测并预防可利用的EE行为。2关键技术领域HARDEN计划分为四个技术领域(TA)，以支持计划目标：1.TA1：开发模型检测工具2.TA2：紧急执行模型建模3.TA3：开发测试与支撑4.TA4：集成和评估系统工程关键技术1：开发模型检测工具TA1主要构建用于有效检查TA2开发的紧急执行(EE)模型的工具；创建TA2模型所预期的EE通用缓解器；将这些工具与通用软件开发生命周期(SDLC)和集成开发环境(IDE)集成在一起，为系统设计人员和开发人员提供有效和易懂的EE警告。这些工具将通过TA4开发者进行评估。此外，这些工具还将用于TA3的样本系统的白盒测试。关键技术2：紧急执行模型建模TA2将侧重于创建对EE行为建模的能力。TA2开发者将开发建模方法、语言和工具来描述不同抽象级别上的紧急执行，对紧急执行模型建模；为正在测试的系统中所有相关接口创建紧急执行模型。强大的TA2应解决从源代码、构建系统或编译的二进制代码中派生紧急执行模型的自动化问题，并应设法将生成此类模型所需耗费的人力最小化。TA2建模可以利用现有规范、接口控制文档、源代码和相关元数据、构建链、单元测试和其他可用的用例代码库信息。关键技术3:开发测试与支撑TA3将重点关注前沿开发模式，与TA2开发者密切协调，提供TA2开发的专业知识，以帮助紧急执行(EE)模型的建模和开发；测试拟议的EE缓解措施的实际有效性；通过与SOTA工具（全称State-Of-The-Art，用于描述机器学习中取得某个任务上当前最优效果的模型）的比较，测试TA1工具预测EE的实际有效性。DARPA要求TA3开发者解决以下难题：与TA4开发者合作，解释评估和选择不同架构设计的方法；描述技术用例将如何解决在跨集成系统中HARDEN技术的局部部署问题(例如，只有一些系统包含了HARDEN技术)；探索与HARDEN技术本身安全性有关的各种选项（特别是在防御受损设备的篡改和泄漏方面）；集成包含各种平台、操作系统和应用程序环境的系统。关键技术4：集成和评估系统工程TA4重点部署由TA1和TA2开发的工具和模型，以便在一个适合于基础研究的著名开源软件系统中预测和减轻漏洞发现紧急执行引擎；构建用于演示TA1、TA2和TA3开发的HARDEN技术能力的测试床，并与TA3开发者协作，根据程序指标对这些能力进行评估和安全测试；建立技术过渡计划，与国防部服务部门(陆军、海军、空军和/或海军陆战队)合作，向对HARDEN技术感兴趣的国防部系统进行过渡性应用(例如，无人机航空电子设备)。3研究进展情况HARDEN计划为期48个月，分为三个阶段：第一阶段是18个月的开放源码组件规模阶段，大致时间是从2021年9月至2023年3月；第二阶段是可选的18个月开放源码子系统规模阶段，大致时间是从2023年4月至2024年9月；第三阶段是一个可选的12个月综合系统阶段，重点是将该技术扩展到与国防部相关的集成系统，大致时间是从2024年10月至2025年9月。目前HARDEN计划处于第一阶段与第二阶段的过渡期。在2022年，HARDEN计划完成了在所有可用的抽象层，从编译的二进制代码到编译器抽象的中间表示，再到最高层次的架构抽象，制定开发工具链来推理紧急行为的方法。2023财政年度HARDEN计划主要开发任务包括：为可组合的紧急行为开发模型和缓解措施，即使安全缓解措施已经可以减少任何单一行为或缺陷的影响；探索自动技术，以识别可实现的紧急行为的组合，并建议对实现进行转换；将概念和技术应用于关键的系统元素，如引导加载器和高可靠性集成军事软件系统，目的是演示在SDLC早期阶段减轻复杂代码重用和紧急执行漏洞发现的能力。五几点认识网络安全漏洞是网络空间系统构建的必然结果和客观存在，日益成为全球网络空间安全事件的主要诱因，一旦被恶意主体利用攻击，就会对信息系统安全造成损害，进而对国家、社会和公众造成重大损失。随着漏洞的资源属性和战略地位不断提高，“谁能利用好漏洞，谁就能在网络空间占据先锋”成为当前“网缘政治”的新名言。美国也基于漏洞治理领域先发优势，从漏洞分析技术、漏洞发现理念、漏洞治理机制上多维度发力关注网络安全漏洞治理，足以见其重视程度。1技术上，HARDEN计划可望推动漏洞分析技术的发展目前，软件漏洞分析技术主要分为：软件架构安全分析技术、源代码漏洞分析技术、二进制漏洞分析技术和运行系统漏洞分析技术四类。各技术分别依次应用于是软件开发生命周期（SDLC）中需求分析与设计阶段、编码实现、运行测试，部署维护的四个阶段。通常软件架构是软件的“骨架”，是SDLC中代码编写的基础，其重要性不言而喻，而软件架构安全分析技术在国内外尚处于探索和发展阶段。HARDEN开发的软件架构安全分析技术将通过场景分析法、用例分析法、威胁建模法有助于在SDLC早期阶段（需求分析与设计阶段）有效缓解复杂的代码重用和紧急执行漏洞，为美国零信任架构和集成军事软件系统提供更强大的信任根的同时或将成为软件架构安全分析技术的里程碑。2理念上，更大尺度地接受白帽黑客发现军事网络漏洞美国国防部已更大尺度的接纳利用白帽黑客发现军事网络安全漏洞的理念，鼓励军队外部人员在国防部庞大的可公开访问的信息网络和系统中发现漏洞。今年3月，美国防部网络犯罪中心披露，目前已经处理了45000份漏洞报告。虽然机密系统仍未对外开放，但美国防部不断向白帽黑客扩大“攻击面”。除面向公众的网站和应用程序外，白帽黑客还获准搜索所有可公开访问的美国防部信息系统，包括数据库、网络、物联网设备和工业控制系统等。3机制上，形成漏洞发现与验证以及修复的完整闭环