40 / 86
DIGITAL
SECURITY
40
- ELETTRONICA OGGI 455 - GIUGNO/LUGLIO 2016
elaborazione all’interno di enclavi (zone protette) sicure è
senz’altro l’implementazione ottimale.
I componenti logici programmabili permettono di integrare
un’ampia gamma di soluzioni per RoT hardware sotto forma
di chiavi integrate negli strati metallici, nei fusibili e RoT har-
dware per logiche programmabili autenticate. Ciò permette
di implementare una RoT hardware che, se da un lato è inte-
grata (hardened) all’esterno dei percorsi di esecuzione del
codice, è anche programmabile e aggiornabile attraverso
controlli autenticati degli aggiornamenti effettuati.
L’atteggiamento riguardo alla sicurezza complessiva di base
da parte dell’industria dei prodotti per la sicurezza si può
definire di natura reattiva. La metodologia adottata prevede
di identificare le minacce, catalogare e comunicare queste
minacce, collaudare gli aggiornamenti e i patch e rende-
re disponibili gli aggiornamenti e le firme (signature) delle
minacce alle appliances per la sicurezza. Il più importante
cambiamento che si è verificato a livello di funzionalità e
modelli frutto delle attuali ricerche nel campo della sicurez-
za è la capacità di anticipare le minacce e di modellare il
comportamento di eventuali intrusori, al fine di prevenire
nuovi vettori di attacco. Questi cambiamenti, resi possibili
dall’elaborazione ad alte prestazioni, sono favoriti dalle po-
tenzialità offerte dall’hardware programmabile.
Le reti neurali convoluzionali (CNN - Convolutional Neural
Network) di tipo cellulare rappresentano una tecnologia
idonea per l’espletamento di compiti di riconoscimento di
pattern, immagini e parlato. L’impiego di questo approccio
di elaborazione è stato studiato e sperimentato facendo
ricorso a GPU e FPGA (che sono state programmate con
OpenCL ed elementi di codice integrati via hardware nei
blocchi acceleratori FPGA) da parecchi laboratori in ambito
sia accademico sia industriale. Tra le altre possi-
bili applicazioni di questa tecnologia si possono
annoverare la valutazione delle vulnerabilità e
il rilevamento delle minacce di tipo adattativo.
Un esempio di soluzione per la gestione dei pac-
chetti basata su FPGA è riportato in figura 2.
Per implementare un modello di programmazio-
ne a elevato parallelismo, necessario per garan-
tire la validità della legge di Moore nell’ultimo
decennio, sono stati sperimentati tre differenti
approcci: processori multicore e modelli di pro-
grammazione, gestione di macchine virtuali e
threading parallelo, hardware riconfigurabili e
FPGA. In questo articolo ci si soffermerà sull’ap-
proccio basato sull’hardware riconfigurabile.
Il modello hardware basato su FPGA è l’unico fra
le tre implementazioni appena menzionate che
garantisce vantaggi in termini di sicurezza rela-
tivamente alle vulnerabilità del codice pubblica-
to e le RoT hardware. Il sensibile incremento della densità
logica programmabile che caratterizza i dispositivi della li-
nea Stratix 10, oltre alla possibilità di sfruttare le potenzialità
derivate dall’integrazione degli FPGA e dei processori Intel
in un unico chip che saranno prossimamente disponibili
permetterà di migliorare ulteriormente queste funzionalità
a tutto vantaggio di coloro che sviluppano sistemi di sicu-
rezza.
OpenCL e sintesi ad alto livello
I modelli di elaborazione eterogenea, come le reti neurali con-
voluzionali, cui si è accennato in precedenza, e le appliance
che sfruttano l’integrazione su un unico chip di CPU e FPGA,
richiedono funzionalità di programmazione eterogenea per
consentire una reale implementazione pratica. Attualmen-
te, alcune aziende mettono a disposizione elementi tipici dei
prodotti per sicurezza domestica e delle reti che includono
antivirus, firewall e sistemi IDS/IPS (Intrusion Detection/Pre-
vention System).
I prodotti, i contratti di supporto, il codice sorgente dell’ap-
plicazione (codebase) e la modellazione delle minacce codi-
ficate rappresentano un’importante risorsa per i manager dei
sistemi IT, che devono affrontare e risolvere i problemi legati
alla sicurezza aziendale, ma possono anche rappresentare un
ostacolo all’utilizzo di soluzioni innovative come l’hardware
configurabile e le funzionalità di previsione e rilevamento del-
la minacce a elevato parallelismo.
Questo “dilemma dell’innovatore” dà un’opportunità alle
aziende che intendono affacciarsi nel mercato della sicurezza
delle reti, siano esse piccole o grandi realtà, di fornire prodot-
ti per la sicurezza realmente differenziati che fanno ricorso
agli FPGA e supportano modelli di elaborazione eterogenea.
Fig. 2 – Esempio di soluzione per la gestione dei pacchetti basata su FPGA