美國國防高級研究計畫局官員週一表示,脆弱的美國網路安全系統間接允許北韓加強其核武庫,但由於現有技術,這種情況很容易避免。
美國國防部高級研究計畫局 (DARPA) 資訊創新辦公室主任凱瑟琳費雪 (Kathleen Fisher) 在周一的機構活動中表示,北韓有能力利用針對美國和其他國家系統的勒索軟體攻擊獲得的資金來支付核武的開發費用。
然而,由於 DARPA 資助以及工業界和五角大樓能夠開發的先進技術,阻止勒索軟體攻擊是可能的。費雪說,問題在於如何將技術交到合適的人手中,而這往往會受到治療授權(ATO)程序等官僚程序的阻礙。
「我們實質上是在用我們糟糕的軟體做法資助北韓發展核武器,」他說。 “我們知道如何做得更好。這一切(北韓的勒索軟體攻擊)就好像更糟糕,因為我們知道如何做得更好。想像一下我們的軟體不會充滿這些漏洞的世界。
「除此之外,還有我們目前的 ATO 流程,這意味著更新我們系統中的軟體需要很長時間,因為 ATO 流程非常慢,我們有很多關鍵任務系統存在已知漏洞、可利用的漏洞,但由於 ATO 流程太慢,我們無法長時間更新,」他說。 “我們無法承受繼續這種做法以及隨之而來的無助。”
Collins Aerospace 首席研究員 Darren Cofer 在 DARPA 演示日展示了該公司在數學上安全且有保證的控制模型組合 (SMACCM) 方面的能力。 (照片由 DARPA 提供。)
由於冗餘,ATO 程序長期以來一直被視為五角大廈採購過程中的一根刺。不同的組織通常有自己的授權官 (AO),他們必須在軟體實施之前為其提供 ATO。 AO 通常有不同的標準,因此經歷此流程的軟體公司每次的操作方式都略有不同,當隔壁的辦公室可能已獲準使用相同的軟體時,就會減慢流程。
去年五月,國防部發布了新指南,強化了ATO 的「互惠」概念,這實質上意味著,如果一個辦公室證明某個系統是網路安全的,那麼所有辦公室都可以接受它,而不必再次經過認證流程。然而,費雪表示,軟體系統缺乏互惠性的現象仍然普遍存在,阻礙了網路安全軟體的進步。
正式方法的影響
費雪表示,雖然 ATO 帶來的困境不太可能很快得到解決,但國防工業基地 (DIB) 仍需要集中精力和資源,將彈性網路安全建置到軟體系統中。
費雪表示,為了防止勒索攻擊,應該更廣泛地採用的一種技術實踐是“形式方法”,即基於數學的方法來生成軟體,並附帶經過驗證的保證和代碼“不會做錯”的證明。
正式方法的一些用例包括先前的 DARPA高保證網路軍事系統(HACMS) 和有保證的微補丁(AMP) 計劃,以及目前的大型遺留軟體驗證安全性和效能增強(V-SPELLS) 計劃。
這些計劃以及其他計劃已經證明,使用正式方法可以確保對手無法滲透系統。例如,透過由 Collin Aerospace(當時為羅克韋爾柯林斯)管理的 HACMS 項目,開發了安全數學保證控制模型組合 (SMACCM),以演示用於創建可抵抗惡意駭客攻擊的無人機軟體的新工具。在該程式的演示過程中,當一群虛構的駭客試圖侵入無人機的系統時,什麼也沒發生,這表明一切都按計劃進行。
替代路線
DIB 和產業合作夥伴有時必須採用非傳統方法來取得網路安全技術,以確保該技術落入營運商和軟體工程師手中。
例如,DARPA 海軍陸戰隊作戰聯絡員 Rob Gerbracht 上校週一告訴記者,DARPA 越來越普遍地進行必要的研究來測試某種方法或技術是否可以執行,然後,一旦其價值得到證明,工業界就可以採用它。然後,他返回五角大樓,他說。
格布拉赫特說:“DARPA 推進的一些技術最終進入了商業領域,並在實際引入很久之後又回到了我們的國防工業基地。”
「有時這是最簡單的方法,」費雪補充道。 「為了盡快實現最大化,一切都已擺在桌面上。 DARPA 不是為了創造技術而創造技術,而是為了國家安全和士兵的安全而創造技術來改變世界。
感謝我們的 Telegram 頻道,您可以隨時了解新經濟情景文章的發布。
這是在 Mon, 24 Feb 2025 10:00:25 +0000 在 https://scenarieconomici.it/darpa-implementa-offensiva/ 的報紙 “Scenari Economici” 上發表的文章的翻譯。