《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > “魔高一丈,道高一尺”--英特爾推動(dòng)芯片級(jí)硬件支持的威脅檢測

“魔高一丈,道高一尺”--英特爾推動(dòng)芯片級(jí)硬件支持的威脅檢測

2021-08-15
來源:網(wǎng)空閑話
關(guān)鍵詞: 英特爾 威脅檢測

  網(wǎng)絡(luò)安全的強(qiáng)度取決于它最下面的硬件層,。最底層不是操作系統(tǒng),而是操作系統(tǒng)所在的硬件和固件,。通常認(rèn)為安全是由安全應(yīng)用程序軟件提供的,。但是安全性強(qiáng)度取決于底層安全強(qiáng)度——因此攻擊者可以通過破壞安全應(yīng)用程序下面的操作系統(tǒng)來破壞安全軟件。近年來,,微軟在保護(hù)Windows操作系統(tǒng)方面做了很多工作——但在操作系統(tǒng)之下是硬件和驅(qū)動(dòng)它的固件,。2019年10月,安全周刊曾經(jīng)報(bào)道,,Microsoft 正在與 PC 制造商和芯片合作伙伴合作設(shè)計(jì)具有更安全固件層的設(shè)備,。該計(jì)劃旨在借助 Secured-core PC(將安全最佳實(shí)踐應(yīng)用于固件的設(shè)備)來對抗專門針對固件和操作系統(tǒng)級(jí)別的威脅。這家科技巨頭解釋說,,這些設(shè)備專為金融服務(wù),、政府和醫(yī)療保健等行業(yè)以及處理高度敏感的 IP、客戶或個(gè)人數(shù)據(jù)的工作人員而設(shè)計(jì),。

  如果攻擊者進(jìn)入到操作系統(tǒng)底層并進(jìn)入固件,,那么運(yùn)行在操作系統(tǒng)之上的安全系統(tǒng)幾乎不可能看到攻擊,也幾乎沒有能力減輕攻擊,。一個(gè)成功的固件攻擊——比如俄羅斯的Fancy Bear集團(tuán)(又名APT28或鍶)使用的手法,,在重新安裝操作系統(tǒng)甚至更換硬盤后仍能存活下來。由于這個(gè)原因,,針對固件的高級(jí)攻擊在最近幾年急劇增加,。

  2021年3月,微軟研究報(bào)告稱,,超過80%的企業(yè)在過去兩年經(jīng)歷了至少一次固件攻擊,,但只有29%的安全預(yù)算用于保護(hù)固件。

  對于固件和其他硬件級(jí)別的問題沒有簡單的解決方案——它基本上需要重新思考硅功能,、硬件實(shí)踐以及這些固件與操作系統(tǒng)之間的關(guān)系,。這樣的合作計(jì)劃已經(jīng)實(shí)施了好幾年,產(chǎn)生了被微軟稱為“安全核”的新型個(gè)人電腦,。

  這種新型安全PC的基礎(chǔ)是底層芯片安全,。安全核PC結(jié)合了信任的硬件根、固件保護(hù)、管理程序強(qiáng)制的代碼完整性,,以及隔離和安全的身份和域憑據(jù),。

  《安全周刊》(SecurityWeek)采訪了英特爾(Intel)業(yè)務(wù)客戶規(guī)劃總監(jiān)邁克爾?諾德奎斯特(Michael Nordquist),,了解了這家芯片巨頭在確保從芯片級(jí)以上的最新和未來電腦安全方面所發(fā)揮的作用,。

  英特爾硬件保護(hù)

  “安全核”PC 的硅安全部分只是英特爾正在進(jìn)行的硬件安全計(jì)劃的一部分。

  隨著黑客不斷提升他們的技術(shù),,越來越多地轉(zhuǎn)向硬件基礎(chǔ)設(shè)施,,英特爾認(rèn)為,各種規(guī)模的組織都必須投資于更好的技術(shù)——從端點(diǎn)到網(wǎng)絡(luò)邊緣再到云端,。

  英特爾描述其安全技術(shù)計(jì)劃涵蓋三個(gè)主要領(lǐng)域:基礎(chǔ)安全,、工作負(fù)載和數(shù)據(jù)保護(hù)以及軟件可靠性。

  其安全產(chǎn)品的核心是 Intel Hardware Shield,,這是一組安全技術(shù),,能夠監(jiān)控 CPU 行為是否有惡意活動(dòng)的跡象,并使用GPU來幫助加速內(nèi)存掃描,。

  Intel Hardware Shield 的核心是 TDT(威脅檢測技術(shù)),,這是一組利用芯片級(jí)遙測和加速功能的工具,可幫助查明勒索軟件,、加密挖礦,、無文件腳本和其他針對性攻擊的早期跡象。

  據(jù)英特爾稱,,TDT已經(jīng)更新了一項(xiàng)名為“目標(biāo)檢測”的功能,,該功能將機(jī)器學(xué)習(xí)與硬件遙測相結(jié)合,以概括,、漏洞利用和檢測他們的行為,。

  該公司將 TDT 的高級(jí)平臺(tái)遙測描述為不需要侵入式掃描技術(shù)或簽名數(shù)據(jù)庫的“低開銷工具”。

  諾德奎斯特說,,“使用我們在芯片級(jí)的遙測技術(shù),,”“我們可以看到操作系統(tǒng)看不到的東西。如果我們看到某種形式的奇怪加密進(jìn)入硬盤驅(qū)動(dòng)器,,我們可以向它拋出一個(gè)標(biāo)志,。這是異常行為,可能表明存在勒索軟件感染,。這些是我們能夠在設(shè)備級(jí)別做的事情,。”

  英特爾控制流執(zhí)行技術(shù)(Intel CET)

  英特爾于2020年6月宣布的控制流執(zhí)行技術(shù)屬于軟件可靠性類別,,可提供進(jìn)一步保護(hù),,防止基于跳轉(zhuǎn)/面向調(diào)用編程(JOP/COP)和面向返回編程(ROP)內(nèi)存的攻擊,。

  根據(jù)諾德奎斯特的說法,CET為軟件開發(fā)人員提供了兩個(gè)關(guān)鍵功能來幫助抵御控制流劫持惡意軟件:影子堆棧和間接分支跟蹤,。第一個(gè)提供針對跳轉(zhuǎn)/面向調(diào)用編程 (JOP/COP) 攻擊方法的間接分支保護(hù),,而第二個(gè)提供返回地址保護(hù)以幫助防御面向返回編程 (ROP) 攻擊方法。

  JOP或ROP攻擊難以檢測或預(yù)防,,因?yàn)槁┒蠢镁帉懻咭砸环N創(chuàng)造性的方式使用從可執(zhí)行內(nèi)存運(yùn)行的現(xiàn)有代碼來改變程序行為,。從本質(zhì)上講,英特爾CET是一種基于硬件的解決方案,,當(dāng)黑客試圖修改程序的自然流程時(shí),它會(huì)觸發(fā)異常,。

  “我們?nèi)ツ晖瞥隽嗽摦a(chǎn)品,,”諾德奎斯特繼續(xù)說道?!霸诎l(fā)布后的幾個(gè)月內(nèi),,我們就獲得了操作系統(tǒng)支持以幫助防止攻擊。您只需單擊即可升級(jí)到最新版本的操作系統(tǒng),。因此,,我們發(fā)現(xiàn)了一個(gè)問題,看看我們可以在哪里增加價(jià)值,,我們確定是否有需要合作的合作伙伴來解決完整的端到端問題,,然后讓我們的最終客戶或IT商店只是吸收它?!?/p>

  英特爾CET已經(jīng)在Windows版 Google Chrome中啟用,,微軟在其新的“超級(jí)安全模式”Edge瀏覽器安全實(shí)驗(yàn)中采用了該技術(shù)。

  ‘不相信任何人'

  英特爾稱之為“不信任任何人”的零信任是該公司已接受的安全愿景,。英特爾將其芯片描述為“芯片上的網(wǎng)絡(luò)”,,并正在該網(wǎng)絡(luò)中實(shí)施零信任。這包括諸如“功能故障和安全”之類的概念,,以確保在例如冷啟動(dòng)攻擊之后沒有秘密存在,;“完全調(diào)解”以檢查每個(gè)訪問的合法性;“最低權(quán)限”以最小化每個(gè)硬件代理的權(quán)限,,同時(shí)最小化權(quán)限“蠕變”,;等等。

  通過這些和其他硅級(jí)開發(fā)確保芯片的完整性后,,零信任可以在頂部和更廣泛的商業(yè)網(wǎng)絡(luò)中分層實(shí)施,。每臺(tái)P 都可以被唯一識(shí)別,并且其中包含的芯片是可信的,。下一步是確保設(shè)備本身以及設(shè)備的用戶或所有者的完整性,。

  將此添加到其他新的硬件安全功能(例如固件保護(hù))中,您就可以說“我知道這個(gè)設(shè)備并且我知道我可以信任它”有堅(jiān)實(shí)的基礎(chǔ)。剩下的就是確認(rèn)用戶的身份,。這對于不斷發(fā)展的混合家庭/辦公室工作環(huán)境更為重要,,因?yàn)榧抑械腜C受到的保護(hù)要少得多。

  英特爾對從硬件級(jí)別向上的零信任愿景的支持正在進(jìn)行中,,但其目的無非是消除互聯(lián)網(wǎng)通信中所需的VPN——因?yàn)樵O(shè)備及其用戶可以信任,,并且通信可以加密。

  硬件升級(jí)周期

  十年前,,公司將處于五年或六年的操作系統(tǒng)更換周期,,以及三年或四年的PC 更換周期。這意味著,,在大多數(shù)情況下,,新的硬件功能可以準(zhǔn)備好供下一個(gè)操作系統(tǒng)版本利用它們。這已經(jīng)改變了,。

  “Win10和現(xiàn)在Win11的美妙之處在于,,大多數(shù)企業(yè)都處于6、9或12個(gè)月的周期,,這意味著我們 [英特爾] 能夠每6,、9或12 個(gè)月提供一次操作系統(tǒng)可以快速支持的新硬件功能。與從XP升級(jí)到Win7相比,,人們可以更輕松地從操作系統(tǒng)的一個(gè)版本升級(jí)到下一個(gè)版本,。只需大約一個(gè)小時(shí)的下載和重新啟動(dòng)?!?/p>

  但這只是顛倒了主要問題,。“有時(shí),,問題可以通過可下載的固件更新來解決,,”諾德奎斯特說。如今,,已安裝的操作系統(tǒng)已準(zhǔn)備好利用此類硬件安全改進(jìn),,但必須等待公司將老化的計(jì)算機(jī)替換為包含硬件改進(jìn)的最新型號(hào)。

  諾德奎斯特認(rèn)為硬件更換周期正在縮短,。他的論點(diǎn)是,,董事會(huì)和現(xiàn)代 CISO 現(xiàn)在對網(wǎng)絡(luò)安全有一個(gè)整體的看法——部分原因是勒索軟件等攻擊的潛在災(zāi)難性影響,以及遠(yuǎn)程計(jì)算機(jī)保護(hù)不力的新問題,?!八裕彼f,,“公司正在從整體上考慮,,我如何才能真正解決這個(gè)問題,?我能做什么?我如何獲得針對其中某些情況的最佳保護(hù),?他們意識(shí)到它需要是硬件和軟件的結(jié)合,。”網(wǎng)絡(luò)安全的整體視圖需要操作系統(tǒng)和硬件更換周期更緊密地結(jié)合,。

  這只會(huì)給企業(yè)帶來額外的預(yù)算壓力,,只有最富有的公司才能做到這一點(diǎn)。我們從一些組織更換 Windows XP系統(tǒng)所用的時(shí)間長度了解到,,許多公司要么負(fù)擔(dān)不起更定期更換硬件的費(fèi)用,,要么有額外的限制(例如可能對老化的專有軟件的操作依賴)來阻止它們。

  最好的解決方案是找到某種方法來像我們現(xiàn)在升級(jí)操作系統(tǒng)一樣快速,、輕松地升級(jí)硬件,。是否可以重新設(shè)計(jì)芯片、主板和PC,,以便硬件升級(jí)可以是用戶執(zhí)行的芯片更換(或額外的芯片插件),而無需更換整個(gè)盒子,?這在未來可能會(huì)或可能不會(huì)在技術(shù)上實(shí)現(xiàn),。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。