面對網(wǎng)絡(luò )攻擊,何不轉換安全防護思維方式?

發(fā)布時(shí)間:2021-11-30 17:30    發(fā)布者:eechina
萊迪思白皮書(shū)

受數據爆炸性增長(cháng)并大規模向云端遷移、以及5G網(wǎng)絡(luò )全面部署等趨勢的影響,網(wǎng)絡(luò )攻擊(Cyberattacks)正變得更加肆無(wú)忌憚,其攻擊的速度和準確性都在不斷增長(cháng)。多家分析和調研機構的數據證實(shí)了這一現象:根據埃森哲的報告,2020年,40%的網(wǎng)絡(luò )用戶(hù)攻擊源于供應鏈問(wèn)題;Gartner則預測稱(chēng),如果2022年這些公司還沒(méi)有去做及時(shí)的固件升級計劃,補上固件安全漏洞,那么2022年將會(huì )有70%的公司因為固件漏洞遭到各種入侵。

理論上來(lái)說(shuō),沒(méi)有一個(gè)系統能免受攻擊威脅,所有系統都有被攻擊的危險。傳統的網(wǎng)絡(luò )安全(Cyber Security)系統可能會(huì )阻止許多攻擊,但如果當系統固件(Firmware)處于最低級別時(shí),這種傳統的安全手段有時(shí)可能也會(huì )無(wú)能為力。

在長(cháng)期的實(shí)踐積累中,萊迪思(Lattice)發(fā)現一個(gè)真正出色的安全解決方案,是通過(guò)增加網(wǎng)絡(luò )保護恢復(Cyber Resiliency)功能提升網(wǎng)絡(luò )安全系統等級,實(shí)時(shí)檢測任何正在進(jìn)行的固件攻擊,并將系統恢復到已知狀態(tài)。而所有這一切的核心,就在于我們必須確保除了加密固件IP(encrypted firmware IP)的所有者之外,再沒(méi)有其他人可以訪(fǎng)問(wèn)任何加密密鑰。

網(wǎng)絡(luò )安全與網(wǎng)絡(luò )保護恢復的區別

通常來(lái)說(shuō),網(wǎng)絡(luò )安全是指通過(guò)技術(shù)、流程和其他做法來(lái)保護網(wǎng)絡(luò )、設備、應用(程序)和數據免受網(wǎng)絡(luò )攻擊;網(wǎng)絡(luò )保護恢復是指系統在不利的網(wǎng)絡(luò )事件(例如網(wǎng)絡(luò )攻擊)出現時(shí)依然能夠持續交付預期結果,它包括信息安全、企業(yè)持續經(jīng)營(yíng)和全面的組織恢復能力。

簡(jiǎn)單而言,兩者的主要區別在于檢測到網(wǎng)絡(luò )攻擊后的處理方式不同。雖然網(wǎng)絡(luò )安全包括了威脅檢測和預防的概念,但并非所有網(wǎng)絡(luò )安全解決方案都能讓系統根據這一概念實(shí)時(shí)采取行動(dòng)緩和攻擊,解決攻擊造成的安全問(wèn)題,并保持數據流安全傳輸而不中斷業(yè)務(wù)。實(shí)時(shí)威脅檢測和恢復正是網(wǎng)絡(luò )保護恢復的核心所在。

2020年,微軟推出Pluton安全處理器,在可信平臺模塊(TPM)概念的基礎上做了改進(jìn)。根據微軟的描述,“Pluton是從現代計算機中現有的可信平臺模塊演變而來(lái)。TPM存儲操作系統安全相關(guān)的信息并實(shí)現類(lèi)似Windows Hello的功能!蓖ㄟ^(guò)使用Pluton處理器,微軟將單獨的TPM功能集成到CPU中,成功阻斷對單獨放置在主板上的CPU和TPM之間的芯片間總線(xiàn)接口的攻擊。

作為網(wǎng)絡(luò )安全解決方案,Pluton無(wú)疑是非常強大的,但它在操作系統加載之前的啟動(dòng)過(guò)程中并不能保系統。也就是說(shuō),主板上的組件從固件啟動(dòng)、操作系統加載,直到網(wǎng)絡(luò )安全措施處于活動(dòng)狀態(tài),這之間短暫的時(shí)間窗口如今已成為網(wǎng)絡(luò )犯罪分子越來(lái)越感興趣的攻擊途徑。因此,為了增強像Pluton這樣的TPM安全性能,系統還需要在硬件可信根(HRoT)上實(shí)施強大的、動(dòng)態(tài)的、網(wǎng)絡(luò )保護恢復機制。

例如,在進(jìn)行安全啟動(dòng)硬件時(shí),主板上的每個(gè)組件僅在其固件被確認合法后才被激活,整個(gè)驗證過(guò)程由HRoT執行;此外,HRoT還會(huì )持續監控受保護CPU的非易失性固件,以納秒級響應對攻擊做出應對,防止其受到攻擊,這種在沒(méi)有外部協(xié)助的情況下快速恢復系統正常運行的能力,是系統網(wǎng)絡(luò )保護恢復機制的核心所在。

如前文所述,設備固件已經(jīng)成為越來(lái)越流行的攻擊媒介,不管是廠(chǎng)商的路由器,還是在線(xiàn)的安全監控設備,都曾遇到固件被入侵的情況。因此,針對于固件攻擊的保護,美國國家標準與技術(shù)研究所(NIST)定義了一種標準的安全機制(NIST SP-800-193),稱(chēng)為平臺固件保護恢復(PFR)。PFR可以用作系統中的硬件可信根,補充現有的基于BMC/MCU/TPM的體系,使之完全符合NIST SP-800-193標準,從而為保護企業(yè)服務(wù)器固件提供了一種全新的方法,可全面防止對服務(wù)器所有固件的攻擊。

NIST SP-800-193對整個(gè)硬件平臺上的固件保護提出的規范性要求主要包含三個(gè)部分:首先能夠檢測到黑客在對固件進(jìn)行攻擊;第二是進(jìn)行保護,例如有人在對固件進(jìn)行非法的讀寫(xiě)操作時(shí),要阻止這些非法行為,并匯報給上層軟件,發(fā)出警告信息;第三是即使在固件遭到破壞的情況下,也能夠進(jìn)行恢復,例如從備份文件中恢復。這三部分(恢復、檢測、保護)相互融合、相互配合,主要目的就是保護硬件平臺上的固件。

Sentry安全系統控制解決方案

Sentry方案并不僅僅只是一個(gè)硬件產(chǎn)品,它有一系列相配套的工具、軟件和服務(wù),目前最新的版本為Sentry 2.0。



從上圖可以看出,Sentry 2.0底層硬件平臺基于MachXO3D和Mach-NX FPGA,這是Lattice符合NIST平臺固件保護恢復標準、面向控制的FPGA。當使用上述硬件進(jìn)行系統控制功能時(shí),它們通常是電路板上“最先上電/最后斷電”的器件,通過(guò)集成安全和系統控制功能,MachXO3D和Mach-NX便成為系統保護信任鏈上的首個(gè)環(huán)節。

與TPM/MCU方案的控制流程和時(shí)序均采用串行處理方式不同,FPGA方案可以同時(shí)對多個(gè)外設進(jìn)行監控和保護,因此實(shí)時(shí)性較強。而在檢測和恢復方面,FPGA器件能夠進(jìn)行主動(dòng)驗證,在面對時(shí)間敏感型應用或是強度較大的破壞時(shí),可以做到更快的識別和響應。

硬件平臺之上則是一系列經(jīng)過(guò)預驗證和測試的IP核、軟件工具、參考設計、演示示例、定制設計服務(wù),它們共同構成了完整的Sentry方案。在其加持下,PFR應用的開(kāi)發(fā)時(shí)間可以從10個(gè)月縮短到6周。

支持符合NIST平臺固件保護恢復(PFR)規范(NIST SP-800-193)和384位加密的下一代硬件可信根(HRoT),是Sentry 2.0解決方案的核心亮點(diǎn)。其主要特性包括:

        更強大的安全性能——考慮到許多下一代服務(wù)器平臺都要求支持384位加密,所以Sentry解決方案集合支持Mach-NX安全控制FPGA和安全的Enclave IP模塊,能實(shí)現 384位加密(ECC-256/384和HMAC-SHA-384),更好地讓受到Sentry保護的固件防止未經(jīng)授權的訪(fǎng)問(wèn)。

        啟動(dòng)前身份驗證速度提高4倍——Sentry 2.0支持更快的ECDSA(40毫秒)、SHA(高達70 Mbps)和QSPI性能(64 MHz)。這些特性讓Sentry 2.0可以提供更快的啟動(dòng)時(shí)間,最大程度減少系統停機時(shí)間,并降低啟動(dòng)過(guò)程中遭受固件攻擊的風(fēng)險。

        實(shí)時(shí)監控多達五個(gè)固件鏡像——為進(jìn)一步擴展基于萊迪思Sentry、符合PFR標準的硬件可信根的功能,該方案能夠在啟動(dòng)和運行過(guò)程中實(shí)時(shí)監控系統中多達五個(gè)主板部件。相比之下,基于MCU的安全解決方案缺乏足夠的處理性能,無(wú)法實(shí)時(shí)準確地監控如此多的組件。



同時(shí),為了讓開(kāi)發(fā)人員可以在沒(méi)有任何FPGA設計經(jīng)驗的情況下也能快速進(jìn)行開(kāi)發(fā),Sentry可將經(jīng)過(guò)驗證的IP模塊拖放到Lattice Propel設計環(huán)境中,修改所給的RISC-V/C語(yǔ)言參考代碼。

結語(yǔ)

面對網(wǎng)絡(luò )攻擊,新興的思維方式正在從“我們當然可以防止攻擊”轉變?yōu)椤爱敼舭l(fā)生時(shí),我們是否能有更好的管理方式去應對?”,或者是,“我們該如何變得更加適應攻擊?”也許,答案就在于從固件級別起,腳踏實(shí)地的創(chuàng )建一套網(wǎng)絡(luò )保護恢復系統。

本文地址:http://selenalain.com/thread-779691-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

相關(guān)視頻

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页