广告

面对网络攻击,何不转换安全防护思维方式?

2021-11-30 15:31:33 莱迪思 阅读:
理论上来说,没有一个系统能免受攻击威胁,所有系统都有被攻击的危险。传统的网络安全系统可能会阻止许多攻击,但如果当系统固件处于最低级别时,这种传统的安全手段有时也可能无能为力。

受数据爆炸性增长并大规模向云端迁移、以及5G网络全面部署等趋势的影响,网络攻击(Cyberattacks)正变得更加肆无忌惮,其攻击的速度和准确性都在不断增长。多家分析和调研机构的数据证实了这一现象:根据埃森哲的报告,2020年,40%的网络用户攻击源于供应链问题;Gartner则预测称,如果2022年这些公司还没有去做及时的固件升级计划,补上固件安全漏洞,那么2022年将会有70%的公司因为固件漏洞遭到各种入侵。y9Wednc

理论上来说,没有一个系统能免受攻击威胁,所有系统都有被攻击的危险。传统的网络安全(Cyber Security)系统可能会阻止许多攻击,但如果当系统固件(Firmware)处于最低级别时,这种传统的安全手段有时可能也会无能为力。y9Wednc

在长期的实践积累中,莱迪思(Lattice)发现一个真正出色的安全解决方案,是通过增加网络保护恢复(Cyber Resiliency)功能提升网络安全系统等级,实时检测任何正在进行的固件攻击,并将系统恢复到已知状态。而所有这一切的核心,就在于我们必须确保除了加密固件IP(encrypted firmware IP)的所有者之外,再没有其他人可以访问任何加密密钥。y9Wednc

网络安全与网络保护恢复的区别

通常来说,网络安全是指通过技术、流程和其他做法来保护网络、设备、应用(程序)和数据免受网络攻击;网络保护恢复是指系统在不利的网络事件(例如网络攻击)出现时依然能够持续交付预期结果,它包括信息安全、企业持续经营和全面的组织恢复能力。y9Wednc

简单而言,两者的主要区别在于检测到网络攻击后的处理方式不同。虽然网络安全包括了威胁检测和预防的概念,但并非所有网络安全解决方案都能让系统根据这一概念实时采取行动缓和攻击,解决攻击造成的安全问题,并保持数据流安全传输而不中断业务。实时威胁检测和恢复正是网络保护恢复的核心所在。y9Wednc

2020年,微软推出Pluton安全处理器,在可信平台模块(TPM)概念的基础上做了改进。根据微软的描述,“Pluton是从现代计算机中现有的可信平台模块演变而来。TPM存储操作系统安全相关的信息并实现类似Windows Hello的功能。”通过使用Pluton处理器,微软将单独的TPM功能集成到CPU中,成功阻断对单独放置在主板上的CPU和TPM之间的芯片间总线接口的攻击。y9Wednc

作为网络安全解决方案,Pluton无疑是非常强大的,但它在操作系统加载之前的启动过程中并不能保系统。也就是说,主板上的组件从固件启动、操作系统加载,直到网络安全措施处于活动状态,这之间短暂的时间窗口如今已成为网络犯罪分子越来越感兴趣的攻击途径。因此,为了增强像Pluton这样的TPM安全性能,系统还需要在硬件可信根(HRoT)上实施强大的、动态的、网络保护恢复机制。y9Wednc

例如,在进行安全启动硬件时,主板上的每个组件仅在其固件被确认合法后才被激活,整个验证过程由HRoT执行;此外,HRoT还会持续监控受保护CPU的非易失性固件,以纳秒级响应对攻击做出应对,防止其受到攻击,这种在没有外部协助的情况下快速恢复系统正常运行的能力,是系统网络保护恢复机制的核心所在。y9Wednc

如前文所述,设备固件已经成为越来越流行的攻击媒介,不管是厂商的路由器,还是在线的安全监控设备,都曾遇到固件被入侵的情况。因此,针对于固件攻击的保护,美国国家标准与技术研究所(NIST)定义了一种标准的安全机制(NIST SP-800-193),称为平台固件保护恢复(PFR)。PFR可以用作系统中的硬件可信根,补充现有的基于BMC/MCU/TPM的体系,使之完全符合NIST SP-800-193标准,从而为保护企业服务器固件提供了一种全新的方法,可全面防止对服务器所有固件的攻击。y9Wednc

NIST SP-800-193对整个硬件平台上的固件保护提出的规范性要求主要包含三个部分:首先能够检测到黑客在对固件进行攻击;第二是进行保护,例如有人在对固件进行非法的读写操作时,要阻止这些非法行为,并汇报给上层软件,发出警告信息;第三是即使在固件遭到破坏的情况下,也能够进行恢复,例如从备份文件中恢复。这三部分(恢复、检测、保护)相互融合、相互配合,主要目的就是保护硬件平台上的固件。y9Wednc

Sentry安全系统控制解决方案

Sentry方案并不仅仅只是一个硬件产品,它有一系列相配套的工具、软件和服务,目前最新的版本为Sentry 2.0。y9Wednc

y9Wednc

从上图可以看出,Sentry 2.0底层硬件平台基于MachXO3D和Mach-NX FPGA,这是Lattice符合NIST平台固件保护恢复标准、面向控制的FPGA。当使用上述硬件进行系统控制功能时,它们通常是电路板上“最先上电/最后断电”的器件,通过集成安全和系统控制功能,MachXO3D和Mach-NX便成为系统保护信任链上的首个环节。y9Wednc

与TPM/MCU方案的控制流程和时序均采用串行处理方式不同,FPGA方案可以同时对多个外设进行监控和保护,因此实时性较强。而在检测和恢复方面,FPGA器件能够进行主动验证,在面对时间敏感型应用或是强度较大的破坏时,可以做到更快的识别和响应。y9Wednc

硬件平台之上则是一系列经过预验证和测试的IP核、软件工具、参考设计、演示示例、定制设计服务,它们共同构成了完整的Sentry方案。在其加持下,PFR应用的开发时间可以从10个月缩短到6周。y9Wednc

支持符合NIST平台固件保护恢复(PFR)规范(NIST SP-800-193)和384位加密的下一代硬件可信根(HRoT),是Sentry 2.0解决方案的核心亮点。其主要特性包括:y9Wednc

更强大的安全性能——考虑到许多下一代服务器平台都要求支持384位加密,所以Sentry解决方案集合支持Mach-NX安全控制FPGA和安全的Enclave IP模块,能实现 384位加密(ECC-256/384和HMAC-SHA-384),更好地让受到Sentry保护的固件防止未经授权的访问。y9Wednc

启动前身份验证速度提高4倍——Sentry 2.0支持更快的ECDSA(40毫秒)、SHA(高达70 Mbps)和QSPI性能(64 MHz)。这些特性让Sentry 2.0可以提供更快的启动时间,最大程度减少系统停机时间,并降低启动过程中遭受固件攻击的风险。y9Wednc

实时监控多达五个固件镜像——为进一步扩展基于莱迪思Sentry、符合PFR标准的硬件可信根的功能,该方案能够在启动和运行过程中实时监控系统中多达五个主板部件。相比之下,基于MCU的安全解决方案缺乏足够的处理性能,无法实时准确地监控如此多的组件。y9Wednc

y9Wednc

同时,为了让开发人员可以在没有任何FPGA设计经验的情况下也能快速进行开发,Sentry可将经过验证的IP模块拖放到Lattice Propel设计环境中,修改所给的RISC-V/C语言参考代码。y9Wednc

结语

面对网络攻击,新兴的思维方式正在从“我们当然可以防止攻击”转变为“当攻击发生时,我们是否能有更好的管理方式去应对?”,或者是,“我们该如何变得更加适应攻击?”也许,答案就在于从固件级别起,脚踏实地的创建一套网络保护恢复系统。y9Wednc

  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 苹果新款Apple Watch Series 8新增内置传感器,可监测体 据最新报道称,由于新的内置传感器,即将推出的Apple Watch Series 8将能够告诉佩戴者是否体温高于正常水平。
  • 小米12s系列发布:首款徕卡品牌、1 英寸摄像头传感器、 继一加牵手哈苏(HASSELBLAD)以及 Vivo 牵手蔡司之后,小米和徕卡在今年早些时候也宣布建立合作伙伴关系。小米在六月底宣布,小米 12S 系列将成为该交易的第一批手机,就在昨日,小米举办了小米12S系列新品发布会,包括小米12S、小米12S Pro、小米12S Ultra三款手机,这三款手机均提供徕卡 Summicron 镜头以减少眩光并提高透光率,同时还提供徕卡成像配置文件。
  • 手动拆解十万元的比亚迪“元”,附详细拆解图 大家是不是对手机、电脑等小型消费电子的拆解已经习以为常了?这次有个券商搞了个大动作,动手拆了一辆市场价值十万元的比亚迪“元”,还撰写了一份详细的拆解报告,刷屏了券商、汽车等行业,网友们也大呼“硬核”。
  • 苹果iPhone 14的最新爆料:关于摄像头、处理器、基带、 选用的将是夏普和LG Innotek供应iPhone14的前置摄像头,也有其它渠道消息显示两家制造商的供应比例是相同的。
  • AMD 推出了基于其 Kria FPGA 模块的机器人入门套 AMD 推出了基于其 Kria FPGA 模块的机器人入门套件,售价 349 美元,交付周期为 20 周。这是 Kria 自适应系统模块(SOM)和开发套件组合的最新产品。
  • 赛灵思强劲的AI引擎能为AMD带来哪些新发展? AMD收购赛灵思的目的在于将其差异化IP集成到公司未来旗下的CPU中,Xilinx无论是从丰富的计算引擎还是其AI引擎技术都能让AMD在服务器CPU市场上扩大影响力
  • 工程师如何打造专属居家办公室? 2021年11月初,当我提笔写这篇文章时,掐指一算,自己在家工作的岁月将近25个年头了。诸如‘Zoom’等视频会议如今已是常态,说不定摄影机也都得处于常开状态。除了我那只丑陋的马克杯和自己单调的表达方式之外,接下来分享我所学到的:如何影音双管齐下地在在线展现自我……
  • 传感器技术在构建实时监控系统中的作用 无线传感器技术正在成为一个有前途的概念,这对每个虚拟市场都有重大影响。随着需要更快计算处理的数据密集型应用的数量增加,对实时监控系统的需求呈指数增长。尽管传感器节点的需求随着应用的规模而扩大,但终端设备却已通过对智能传感器的高效建模不断改进数据处理。
  • 售价超25万美元,苹果第一批Apple-1电脑主板长什么样? 一台罕见的苹果 Apple-1 电脑近日正在被拍卖,据外媒报道,目前这台电脑的出价已超过 25 万美元(约 167.25 万元人民币)。这台待售的 Apple-1 的注册号为 7,并带有乔布斯手写的序列号。
  • 麻省理工用更简单的方法教机器人学习新技能 随着电商的蓬勃发展,自动化仓库机器人市场也迎来了爆发,也进一步提高了机器人在拣选速度方面的要求。麻省理工学院研究人员开发的一项新技术只需要少数人类演示即可重新编程机器人。这种机器学习方法使机器人能够拾取和放置从未遇到过的随机姿势的从未见过的物体。在 10 到 15 分钟内,机器人将准备好执行新的拾取和放置任务。
  • 2021年全球半导体IP供应商前十名出炉(IPnest版) IPnest在2022年5月份发布了全球IP供应商排名数据。
  • AMD称三年内将数据中心能效提升30倍 得益于科技巨头 AMD、英特尔和英伟达竞争的推动,人工智能和数据中心技术在去年进步飞速。AMD称,与2020年相比,希望在未来五年内将数据中心能效提升 30 倍。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了