《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 解決方案 > 面對(duì)網(wǎng)絡(luò)攻擊,,何不轉(zhuǎn)換安全防護(hù)思維方式,?

面對(duì)網(wǎng)絡(luò)攻擊,,何不轉(zhuǎn)換安全防護(hù)思維方式,?

2021-11-30
來(lái)源:萊迪思

受數(shù)據(jù)爆炸性增長(zhǎng)并大規(guī)模向云端遷移,、以及5G網(wǎng)絡(luò)全面部署等趨勢(shì)的影響,,網(wǎng)絡(luò)攻擊(Cyberattacks)正變得更加肆無(wú)忌憚,,其攻擊的速度和準(zhǔn)確性都在不斷增長(zhǎng),。多家分析和調(diào)研機(jī)構(gòu)的數(shù)據(jù)證實(shí)了這一現(xiàn)象:根據(jù)埃森哲的報(bào)告,2020年,,40%的網(wǎng)絡(luò)用戶攻擊源于供應(yīng)鏈問(wèn)題,;Gartner則預(yù)測(cè)稱(chēng),如果2022年這些公司還沒(méi)有去做及時(shí)的固件升級(jí)計(jì)劃,,補(bǔ)上固件安全漏洞,,那么2022年將會(huì)有70%的公司因?yàn)楣碳┒丛獾礁鞣N入侵。

理論上來(lái)說(shuō),,沒(méi)有一個(gè)系統(tǒng)能免受攻擊威脅,,所有系統(tǒng)都有被攻擊的危險(xiǎn)。傳統(tǒng)的網(wǎng)絡(luò)安全(Cyber Security)系統(tǒng)可能會(huì)阻止許多攻擊,,但如果當(dāng)系統(tǒng)固件(Firmware)處于最低級(jí)別時(shí),,這種傳統(tǒng)的安全手段有時(shí)可能也會(huì)無(wú)能為力。

在長(zhǎng)期的實(shí)踐積累中,,萊迪思(Lattice)發(fā)現(xiàn)一個(gè)真正出色的安全解決方案,,是通過(guò)增加網(wǎng)絡(luò)保護(hù)恢復(fù)(Cyber Resiliency)功能提升網(wǎng)絡(luò)安全系統(tǒng)等級(jí),實(shí)時(shí)檢測(cè)任何正在進(jìn)行的固件攻擊,,并將系統(tǒng)恢復(fù)到已知狀態(tài),。而所有這一切的核心,,就在于我們必須確保除了加密固件IP(encrypted firmware IP)的所有者之外,再?zèng)]有其他人可以訪問(wèn)任何加密密鑰,。

網(wǎng)絡(luò)安全與網(wǎng)絡(luò)保護(hù)恢復(fù)的區(qū)別

通常來(lái)說(shuō),,網(wǎng)絡(luò)安全是指通過(guò)技術(shù)、流程和其他做法來(lái)保護(hù)網(wǎng)絡(luò),、設(shè)備,、應(yīng)用(程序)和數(shù)據(jù)免受網(wǎng)絡(luò)攻擊;網(wǎng)絡(luò)保護(hù)恢復(fù)是指系統(tǒng)在不利的網(wǎng)絡(luò)事件(例如網(wǎng)絡(luò)攻擊)出現(xiàn)時(shí)依然能夠持續(xù)交付預(yù)期結(jié)果,,它包括信息安全,、企業(yè)持續(xù)經(jīng)營(yíng)和全面的組織恢復(fù)能力。

簡(jiǎn)單而言,,兩者的主要區(qū)別在于檢測(cè)到網(wǎng)絡(luò)攻擊后的處理方式不同,。雖然網(wǎng)絡(luò)安全包括了威脅檢測(cè)和預(yù)防的概念,但并非所有網(wǎng)絡(luò)安全解決方案都能讓系統(tǒng)根據(jù)這一概念實(shí)時(shí)采取行動(dòng)緩和攻擊,,解決攻擊造成的安全問(wèn)題,,并保持?jǐn)?shù)據(jù)流安全傳輸而不中斷業(yè)務(wù)。實(shí)時(shí)威脅檢測(cè)和恢復(fù)正是網(wǎng)絡(luò)保護(hù)恢復(fù)的核心所在,。

2020年,,微軟推出Pluton安全處理器,在可信平臺(tái)模塊(TPM)概念的基礎(chǔ)上做了改進(jìn),。根據(jù)微軟的描述,,“Pluton是從現(xiàn)代計(jì)算機(jī)中現(xiàn)有的可信平臺(tái)模塊演變而來(lái)。TPM存儲(chǔ)操作系統(tǒng)安全相關(guān)的信息并實(shí)現(xiàn)類(lèi)似Windows Hello的功能,?!蓖ㄟ^(guò)使用Pluton處理器,微軟將單獨(dú)的TPM功能集成到CPU中,,成功阻斷對(duì)單獨(dú)放置在主板上的CPU和TPM之間的芯片間總線接口的攻擊。

作為網(wǎng)絡(luò)安全解決方案,,Pluton無(wú)疑是非常強(qiáng)大的,,但它在操作系統(tǒng)加載之前的啟動(dòng)過(guò)程中并不能保系統(tǒng)。也就是說(shuō),,主板上的組件從固件啟動(dòng),、操作系統(tǒng)加載,直到網(wǎng)絡(luò)安全措施處于活動(dòng)狀態(tài),,這之間短暫的時(shí)間窗口如今已成為網(wǎng)絡(luò)犯罪分子越來(lái)越感興趣的攻擊途徑,。因此,為了增強(qiáng)像Pluton這樣的TPM安全性能,,系統(tǒng)還需要在硬件可信根(HRoT)上實(shí)施強(qiáng)大的,、動(dòng)態(tài)的,、網(wǎng)絡(luò)保護(hù)恢復(fù)機(jī)制。

例如,,在進(jìn)行安全啟動(dòng)硬件時(shí),,主板上的每個(gè)組件僅在其固件被確認(rèn)合法后才被激活,整個(gè)驗(yàn)證過(guò)程由HRoT執(zhí)行,;此外,,HRoT還會(huì)持續(xù)監(jiān)控受保護(hù)CPU的非易失性固件,以納秒級(jí)響應(yīng)對(duì)攻擊做出應(yīng)對(duì),,防止其受到攻擊,,這種在沒(méi)有外部協(xié)助的情況下快速恢復(fù)系統(tǒng)正常運(yùn)行的能力,是系統(tǒng)網(wǎng)絡(luò)保護(hù)恢復(fù)機(jī)制的核心所在,。

如前文所述,,設(shè)備固件已經(jīng)成為越來(lái)越流行的攻擊媒介,不管是廠商的路由器,,還是在線的安全監(jiān)控設(shè)備,,都曾遇到固件被入侵的情況。因此,,針對(duì)于固件攻擊的保護(hù),,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)定義了一種標(biāo)準(zhǔn)的安全機(jī)制(NIST SP-800-193),稱(chēng)為平臺(tái)固件保護(hù)恢復(fù)(PFR),。PFR可以用作系統(tǒng)中的硬件可信根,,補(bǔ)充現(xiàn)有的基于BMC/MCU/TPM的體系,使之完全符合NIST SP-800-193標(biāo)準(zhǔn),,從而為保護(hù)企業(yè)服務(wù)器固件提供了一種全新的方法,,可全面防止對(duì)服務(wù)器所有固件的攻擊。

NIST SP-800-193對(duì)整個(gè)硬件平臺(tái)上的固件保護(hù)提出的規(guī)范性要求主要包含三個(gè)部分:首先能夠檢測(cè)到黑客在對(duì)固件進(jìn)行攻擊,;第二是進(jìn)行保護(hù),,例如有人在對(duì)固件進(jìn)行非法的讀寫(xiě)操作時(shí),要阻止這些非法行為,,并匯報(bào)給上層軟件,,發(fā)出警告信息;第三是即使在固件遭到破壞的情況下,,也能夠進(jìn)行恢復(fù),,例如從備份文件中恢復(fù)。這三部分(恢復(fù),、檢測(cè),、保護(hù))相互融合、相互配合,主要目的就是保護(hù)硬件平臺(tái)上的固件,。

Sentry安全系統(tǒng)控制解決方案

Sentry方案并不僅僅只是一個(gè)硬件產(chǎn)品,,它有一系列相配套的工具、軟件和服務(wù),,目前最新的版本為Sentry 2.0,。

proxy1.png

從上圖可以看出,Sentry 2.0底層硬件平臺(tái)基于MachXO3D和Mach-NX FPGA,,這是Lattice符合NIST平臺(tái)固件保護(hù)恢復(fù)標(biāo)準(zhǔn),、面向控制的FPGA。當(dāng)使用上述硬件進(jìn)行系統(tǒng)控制功能時(shí),,它們通常是電路板上“最先上電/最后斷電”的器件,,通過(guò)集成安全和系統(tǒng)控制功能,MachXO3D和Mach-NX便成為系統(tǒng)保護(hù)信任鏈上的首個(gè)環(huán)節(jié),。

與TPM/MCU方案的控制流程和時(shí)序均采用串行處理方式不同,,F(xiàn)PGA方案可以同時(shí)對(duì)多個(gè)外設(shè)進(jìn)行監(jiān)控和保護(hù),因此實(shí)時(shí)性較強(qiáng),。而在檢測(cè)和恢復(fù)方面,,F(xiàn)PGA器件能夠進(jìn)行主動(dòng)驗(yàn)證,在面對(duì)時(shí)間敏感型應(yīng)用或是強(qiáng)度較大的破壞時(shí),,可以做到更快的識(shí)別和響應(yīng),。

硬件平臺(tái)之上則是一系列經(jīng)過(guò)預(yù)驗(yàn)證和測(cè)試的IP核、軟件工具,、參考設(shè)計(jì),、演示示例、定制設(shè)計(jì)服務(wù),,它們共同構(gòu)成了完整的Sentry方案,。在其加持下,PFR應(yīng)用的開(kāi)發(fā)時(shí)間可以從10個(gè)月縮短到6周,。

支持符合NIST平臺(tái)固件保護(hù)恢復(fù)(PFR)規(guī)范(NIST SP-800-193)和384位加密的下一代硬件可信根(HRoT),,是Sentry 2.0解決方案的核心亮點(diǎn)。其主要特性包括:

l更強(qiáng)大的安全性能——考慮到許多下一代服務(wù)器平臺(tái)都要求支持384位加密,,所以Sentry解決方案集合支持Mach-NX安全控制FPGA和安全的Enclave IP模塊,,能實(shí)現(xiàn) 384位加密(ECC-256/384和HMAC-SHA-384),更好地讓受到Sentry保護(hù)的固件防止未經(jīng)授權(quán)的訪問(wèn),。

l啟動(dòng)前身份驗(yàn)證速度提高4倍——Sentry 2.0支持更快的ECDSA(40毫秒)、SHA(高達(dá)70 Mbps)和QSPI性能(64 MHz),。這些特性讓Sentry 2.0可以提供更快的啟動(dòng)時(shí)間,,最大程度減少系統(tǒng)停機(jī)時(shí)間,并降低啟動(dòng)過(guò)程中遭受固件攻擊的風(fēng)險(xiǎn)。

l實(shí)時(shí)監(jiān)控多達(dá)五個(gè)固件鏡像——為進(jìn)一步擴(kuò)展基于萊迪思Sentry,、符合PFR標(biāo)準(zhǔn)的硬件可信根的功能,,該方案能夠在啟動(dòng)和運(yùn)行過(guò)程中實(shí)時(shí)監(jiān)控系統(tǒng)中多達(dá)五個(gè)主板部件。相比之下,,基于MCU的安全解決方案缺乏足夠的處理性能,,無(wú)法實(shí)時(shí)準(zhǔn)確地監(jiān)控如此多的組件。

1.jpg

同時(shí),,為了讓開(kāi)發(fā)人員可以在沒(méi)有任何FPGA設(shè)計(jì)經(jīng)驗(yàn)的情況下也能快速進(jìn)行開(kāi)發(fā),,Sentry可將經(jīng)過(guò)驗(yàn)證的IP模塊拖放到Lattice Propel設(shè)計(jì)環(huán)境中,修改所給的RISC-V/C語(yǔ)言參考代碼,。

結(jié)語(yǔ)

面對(duì)網(wǎng)絡(luò)攻擊,,新興的思維方式正在從“我們當(dāng)然可以防止攻擊”轉(zhuǎn)變?yōu)椤爱?dāng)攻擊發(fā)生時(shí),我們是否能有更好的管理方式去應(yīng)對(duì),?”,,或者是,“我們?cè)撊绾巫兊酶舆m應(yīng)攻擊,?”也許,,答案就在于從固件級(jí)別起,腳踏實(shí)地的創(chuàng)建一套網(wǎng)絡(luò)保護(hù)恢復(fù)系統(tǒng),。

AETweidian.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]