麻省理工学院发布评估网络安全方法的框架

麻省理工学院(MIT)的研究人员发布了一个名为Metior的新框架，旨在评估不同网络安全混淆方案的有效性。

根据周三发布的一篇博客文章，该框架定量评估了攻击者可以从受混淆方案保护的受害程序中学到的信息。

传统的安全方法旨在阻止侧信道攻击，这种攻击涉及观察程序的行为以获取秘密信息，对于现实世界的系统来说，计算成本可能很高，而且不切实际。

相反，工程师经常使用混淆方案来限制攻击者获得敏感信息的能力，而不会完全消除它。

Metior允许工程师和科学家研究各种因素，如受害者程序、攻击者策略和混淆方案配置，以确定信息泄漏的程度。

研究生Peter Deutsch是一篇关于Metior的开放获取论文的主要作者，他表示，该框架有助于评估多种安全方案，并在微处理器芯片设计过程的早期确定有前途的架构。

通过将通过混淆方案的信息流映射为数学表示，Metior应用信息论技术来分析攻击者如何从受害者那里学习信息。

研究人员在三个案例研究中应用了Metior，为不同攻击策略的有效性提供了新的见解，并揭示了尚未完全理解的行为。

根据KnowBe4的数据驱动防御布道者Roger Grimes的说法，meteor是一种很好的方法，可以将理论转化为实际的风险评估。

Grimes补充道：“我要缓和这个框架的风险分析的唯一一件事是，这类侧通道攻击非常罕见。在现实世界的攻击者对现实世界的受害者进行攻击之前，这实际上是零风险。”