最近對企業(yè)級應(yīng)用程序中的關(guān)鍵任務(wù)邊緣計算系統(tǒng)的高調(diào)黑客攻擊表明，黑客在試圖避免被發(fā)現(xiàn)時變得越來越聰明和復(fù)雜。由于 IT 安全性和可見性工作仍主要集中在應(yīng)用層堆棧的較高位置，不良行為者正試圖在固件級別進(jìn)一步破壞堆棧中的系統(tǒng)。隨著這種威脅環(huán)境的演變，防御這些入侵變得越來越緊迫，盡管具體如何做到這一點(diǎn)的細(xì)節(jié)仍然經(jīng)常被忽視。然而，在提出固件入侵解決方案之前，重要的是要了解它們發(fā)生的原因和方式，以及攻擊者的近期和長期目標(biāo)是什么。

面臨計算平臺的持續(xù)威脅環(huán)境

企業(yè)中的邊緣計算平臺是網(wǎng)絡(luò)犯罪分子的主要目標(biāo)。然而，企業(yè)已經(jīng)意識到他們的漏洞并引入了一系列安全軟件來預(yù)防和檢測攻擊。這些解決方案中有很大一部分僅在堆棧頂部的應(yīng)用程序級別上運(yùn)行。聰明的黑客已經(jīng)意識到，如果他們在固件級別進(jìn)入應(yīng)用層之下的系統(tǒng)，他們可以避開軟件和操作系統(tǒng)安全的檢測。

“……修復(fù)固件或硬件中的零日黑客攻擊可能非常耗時，導(dǎo)致有問題的系統(tǒng)比軟件漏洞更容易受到攻擊?！?/p>

因?yàn)槠平夤碳枰叩碾y度，所以它不像堆棧中的更高層那樣受到良好的監(jiān)控和防御。固件，甚至更大程度的硬件，也不像軟件那樣容易修補(bǔ)或更新，而且成本更高。一旦進(jìn)入固件，黑客可以禁用遠(yuǎn)程固件更新，從而無法遠(yuǎn)程修復(fù)，因此需要對固件進(jìn)行物理訪問的技術(shù)人員進(jìn)行服務(wù)，通常需要完全關(guān)閉和現(xiàn)場訪問，這對于大規(guī)模部署。這個過程意味著修復(fù)固件或硬件中的零日黑客攻擊可能非常耗時，導(dǎo)致有問題的系統(tǒng)比軟件漏洞更容易受到攻擊。這些因素導(dǎo)致了來自國家支持的參與者以及規(guī)模較小、資源較少但仍然危險的私人團(tuán)體的固件攻擊頻率的上升。

固件攻擊的目標(biāo)

缺乏相應(yīng)的防御和可見性工具、修補(bǔ)難度的增加以及更高價值的數(shù)據(jù)和損害都導(dǎo)致黑客的固件攻擊激增。美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 的國家漏洞數(shù)據(jù)庫 (NVD)顯示，自 2018 年以來，針對固件的攻擊增加了 500%，而來自微軟新報告的調(diào)查數(shù)據(jù)顯示，83% 的企業(yè) IT 決策者擁有在過去兩年中，系統(tǒng)遭受了固件攻擊，但只有 29% 的平均安全預(yù)算用于保護(hù)固件級別。這是不可持續(xù)的：Gartner 的一份報告預(yù)測，“到 2022 年，70% 沒有制定固件升級計劃的組織將因固件漏洞而遭到破壞。”

“……幾乎不可能從軟件堆棧中發(fā)現(xiàn)固件或硬件惡意軟件。”

雖然增加固件保護(hù)支出對于幾乎任何組織來說都是朝著正確方向邁出的明顯一步，但對固件面臨的威脅的性質(zhì)和目標(biāo)進(jìn)行教育是另一個謹(jǐn)慎的做法。攻擊者試圖做什么？

為了回答第一個問題，黑客在執(zhí)行固件攻擊時會嘗試實(shí)現(xiàn)一些目標(biāo)。第一個涉及建立持久性，以便通過將惡意軟件綁定到給定設(shè)備或系統(tǒng)的硬件而不是其軟件來在系統(tǒng)重啟后幸存下來。在許多情況下，已經(jīng)獲得持久性的入侵甚至可以在操作系統(tǒng)格式和恢復(fù)嘗試中幸存下來。隱身是下一個目標(biāo)，因?yàn)閹缀醪豢赡軓能浖褩Ｖ邪l(fā)現(xiàn)固件或硬件惡意軟件。

從這個位置來看，黑客基本上已經(jīng)確立了終極平臺拆遷向量。大多數(shù)固件或硬件惡意軟件代碼與操作系統(tǒng)無關(guān)，因此通過隱身和特權(quán)保護(hù)，攻擊者有能力完全破壞平臺，以至于需要進(jìn)行物理替換。然而，破壞可能不是最終目標(biāo)，因?yàn)楣粽呖梢岳闷茐耐{來強(qiáng)制支付贖金或在暗網(wǎng)上出售數(shù)據(jù)。近年來，一些備受矚目的違規(guī)行為已經(jīng)形成了這種形式，因?yàn)楹诳筒粫噲D抓住、破壞或利用數(shù)據(jù)，而是會簡單地將其發(fā)布給公眾，就像2018 年喜達(dá)屋黑客事件、2019 年 Facebook 黑客事件一樣，以及2021 年的 LinkedIn 漏洞。

固件攻擊如何運(yùn)作？

固件攻擊可以選擇多種向量，因?yàn)楣碳缀醣挥嬎阆到y(tǒng)中的每個組件所依賴。系統(tǒng)啟動固件是自啟動以來加載并保留在內(nèi)存中的第一件事，系統(tǒng)管理模式 (SMM) 固件在運(yùn)行時用于允許獨(dú)立的低級操作，基板管理控制器 (BMC) 啟用帶外服務(wù)器管理，和網(wǎng)卡 (RDMA)、USB、HDD 和 SSD 都包含固件。黑客如何突破這些攻擊面？通常通過以下幾種方式之一，從軟件層向下，從硬件層向上，直接通過網(wǎng)絡(luò)，或通過物理訪問系統(tǒng)。

從軟件級別開始的固件攻擊可以通過任何數(shù)量的常見策略（如網(wǎng)絡(luò)釣魚）進(jìn)入，并通過利用固件更新代理無法要求簽名更新等漏洞向下進(jìn)展到固件級別。另一種方法是使用合法的審計工具（如 CHIPSEC）來映射可以被利用的固件問題。

無論向量是什么……事實(shí)是，企業(yè)級應(yīng)用程序中的邊緣計算系統(tǒng)面臨的威脅形勢是可怕的。

從硬件往上走則相反。一個值得注意的變化涉及在部署前或部署后破壞供應(yīng)鏈中的設(shè)備。這種方法近年來勢頭強(qiáng)勁，因?yàn)橐櫿麄€供應(yīng)鏈并在完全安全的范圍內(nèi)驗(yàn)證每個組件是極其困難的。如果沒有足夠的跟蹤、可見性和驗(yàn)證，肯定會出現(xiàn)漏洞。其他硬件方法涉及破壞 USB 設(shè)備，然后將其以物理或數(shù)字方式插入系統(tǒng)端點(diǎn)?！靶皭号汀惫羰橇硪环N策略。此方法需要對設(shè)備進(jìn)行物理訪問，以便攻擊者可以從軟件、固件和硬件級別進(jìn)行攻擊以破壞系統(tǒng)。

另一種策略是，當(dāng)固件組件直接連接到互聯(lián)網(wǎng)時，直接通過系統(tǒng)網(wǎng)絡(luò)進(jìn)行攻擊，這通常是因?yàn)橐资芄舻慕M件被配置為允許帶外更新。無論向量是什么，無論攻擊看起來多么簡單或復(fù)雜，事實(shí)是邊緣計算系統(tǒng)在企業(yè)級應(yīng)用程序中面臨的威脅是可怕的。物聯(lián)網(wǎng)基礎(chǔ)設(shè)施開發(fā)商和IT安全部門可能想知道從哪里開始。答案是在開機(jī)時。

安全性必須從硬件信任根開始

為了保護(hù)系統(tǒng)免受更加雄心勃勃和創(chuàng)造性的攻擊者的攻擊，信任根 (RoT) 作為一個實(shí)體是必要的，用于檢查堆棧的每一層，從硬件啟動到固件加載、操作系統(tǒng)運(yùn)行時直到正在運(yùn)行的應(yīng)用程序，在整個堆棧中。根據(jù)該協(xié)議，每個硬件和固件組件都必須通過檢查絕對值得信賴的 RoT 來進(jìn)行身份驗(yàn)證和授權(quán)。計算組件以這種方式值得信賴的唯一方法是它是不可變的，這種情況排除了任何類型的軟件解決方案作為選項(xiàng)。因此需要硬件解決方案，通常涉及存儲與設(shè)備所有者直接相關(guān)的加密密鑰，設(shè)備所有者在機(jī)器的硅片中而不是在隔離實(shí)現(xiàn)中的軟件中提供密鑰。

專用的安全處理器會創(chuàng)建一個無法從 CPU 訪問的信任錨。

可信平臺模塊 (TPM) 與計算系統(tǒng)的處理器分開，并作為一種黑匣子發(fā)揮作用，攻擊者將難以訪問甚至看到它，被分配來保存有價值的資產(chǎn)，如密鑰、憑據(jù)和敏感數(shù)據(jù)，同時只擁有低級資產(chǎn)。級操作。與容易受到試錯攻擊的基于處理器的系統(tǒng)不同，黑客嘗試各種技術(shù)以收集有關(guān)系統(tǒng)防御的信息，TPM 對潛在入侵者的可見性非常低。然而，TPM 還不夠安全，而且它們已被證明使用起來很復(fù)雜。

也就是說，隔離實(shí)現(xiàn)的想法是正確的。專用的安全處理器會創(chuàng)建一個無法從 CPU 訪問的信任錨。信任鏈可以從那里擴(kuò)展。安全防御與攻擊者保持隔離，從而為安全應(yīng)用程序創(chuàng)造架構(gòu)優(yōu)勢，防止攻擊者禁用或規(guī)避防御。通過在硬件中生成密鑰和加密數(shù)據(jù)，黑客無法從軟件中訪問它們。

OCP 標(biāo)準(zhǔn)化和 FPGA 靈活性

開放計算項(xiàng)目在其 RoT 規(guī)范的開放標(biāo)準(zhǔn)版本 1.0中倡導(dǎo)硬件 RoT，行業(yè)推動者和動搖者認(rèn)為這對于企業(yè)數(shù)據(jù)中心安全以及超大規(guī)模企業(yè)至關(guān)重要。到目前為止，超大規(guī)模用戶必須為固件保護(hù)構(gòu)建自己的定制解決方案，但隨著 RoT 的標(biāo)準(zhǔn)化，我們現(xiàn)在可以期待這項(xiàng)技術(shù)可用于所有數(shù)據(jù)中心。它甚至可能最終可用于消費(fèi)類 PC，因?yàn)榉?OCP 的 RoT 甚至可以防止涉及物理閃存組件更換的攻擊。

這個正式規(guī)范具有雙重重要性：除了防止固件持久性攻擊之外，它還幫助固件開發(fā)人員了解如何開發(fā)更安全且漏洞更少的固件，盡管這些學(xué)習(xí)可能難以實(shí)施。

在系統(tǒng)硬件或隔離的安全處理器上建立 RoT 的問題在于，在設(shè)計上它們很難訪問或影響。這使它們對不良行為者更加安全，但在發(fā)現(xiàn)新漏洞或需要新功能時使它們不那么靈活。這就是現(xiàn)場可編程門陣列 (FPGA) 可以發(fā)揮作用的地方。FPGA 是一種與處理器分離的半導(dǎo)體器件，可在制造后進(jìn)行配置，這使程序員可以調(diào)整其更大系統(tǒng)的組件的結(jié)構(gòu)，而無需承擔(dān)大量的財務(wù)或時間負(fù)擔(dān)。

Xilinx 是一家著名的 FPGA 制造商，Kameleon 與其合作創(chuàng)建了主動安全處理單元 (ProSPU)。此 ProSPU 與現(xiàn)有無源解決方案的工作方式不同，它在根和運(yùn)行時保護(hù)系統(tǒng)，這是賽靈思 FPGA 芯片支持的功能，符合安全啟動、遠(yuǎn)程證明和常見威脅范圍的 OCP 標(biāo)準(zhǔn)。

結(jié)論

總而言之，企業(yè)和工業(yè)級別的邊緣平臺所有者需要意識到的是，他們的系統(tǒng)非常脆弱——尤其是在固件級別。企業(yè)不能再依賴傳統(tǒng)的保護(hù)方法。針對此級別的攻擊的嚴(yán)重性和復(fù)雜性正在升級，因此需要一個硬件信任根，它可用于驗(yàn)證和授權(quán)對任何堆棧級別的訪問和更改，并且足夠靈活以適應(yīng)新漏洞并使安全應(yīng)用程序能夠做他們的工作。此 RoT 需要能夠從安全啟動擴(kuò)展到運(yùn)行時——在不影響性能的情況下檢測和預(yù)防事件和違規(guī)行為。

審核編輯 黃昊宇