最近對(duì)企業(yè)級(jí)應(yīng)用程序中的關(guān)鍵任務(wù)邊緣計(jì)算系統(tǒng)的高調(diào)黑客攻擊表明，黑客在試圖避免被發(fā)現(xiàn)時(shí)變得越來(lái)越聰明和復(fù)雜。由于 IT 安全性和可見性工作仍主要集中在應(yīng)用層堆棧的較高位置，不良行為者正試圖在固件級(jí)別進(jìn)一步破壞堆棧中的系統(tǒng)。隨著這種威脅環(huán)境的演變，防御這些入侵變得越來(lái)越緊迫，盡管具體如何做到這一點(diǎn)的細(xì)節(jié)仍然經(jīng)常被忽視。然而，在提出固件入侵解決方案之前，重要的是要了解它們發(fā)生的原因和方式，以及攻擊者的近期和長(zhǎng)期目標(biāo)是什么。

面臨計(jì)算平臺(tái)的持續(xù)威脅環(huán)境

企業(yè)中的邊緣計(jì)算平臺(tái)是網(wǎng)絡(luò)犯罪分子的主要目標(biāo)。然而，企業(yè)已經(jīng)意識(shí)到他們的漏洞并引入了一系列安全軟件來(lái)預(yù)防和檢測(cè)攻擊。這些解決方案中有很大一部分僅在堆棧頂部的應(yīng)用程序級(jí)別上運(yùn)行。聰明的黑客已經(jīng)意識(shí)到，如果他們?cè)诠碳?jí)別進(jìn)入應(yīng)用層之下的系統(tǒng)，他們可以避開軟件和操作系統(tǒng)安全的檢測(cè)。

“……修復(fù)固件或硬件中的零日黑客攻擊可能非常耗時(shí)，導(dǎo)致有問(wèn)題的系統(tǒng)比軟件漏洞更容易受到攻擊。”

因?yàn)槠平夤碳枰叩碾y度，所以它不像堆棧中的更高層那樣受到良好的監(jiān)控和防御。固件，甚至更大程度的硬件，也不像軟件那樣容易修補(bǔ)或更新，而且成本更高。一旦進(jìn)入固件，黑客可以禁用遠(yuǎn)程固件更新，從而無(wú)法遠(yuǎn)程修復(fù)，因此需要對(duì)固件進(jìn)行物理訪問(wèn)的技術(shù)人員進(jìn)行服務(wù)，通常需要完全關(guān)閉和現(xiàn)場(chǎng)訪問(wèn)，這對(duì)于大規(guī)模部署。這個(gè)過(guò)程意味著修復(fù)固件或硬件中的零日黑客攻擊可能非常耗時(shí)，導(dǎo)致有問(wèn)題的系統(tǒng)比軟件漏洞更容易受到攻擊。這些因素導(dǎo)致了來(lái)自國(guó)家支持的參與者以及規(guī)模較小、資源較少但仍然危險(xiǎn)的私人團(tuán)體的固件攻擊頻率的上升。

固件攻擊的目標(biāo)

缺乏相應(yīng)的防御和可見性工具、修補(bǔ)難度的增加以及更高價(jià)值的數(shù)據(jù)和損害都導(dǎo)致黑客的固件攻擊激增。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 的國(guó)家漏洞數(shù)據(jù)庫(kù) (NVD)顯示，自 2018 年以來(lái)，針對(duì)固件的攻擊增加了 500%，而來(lái)自微軟新報(bào)告的調(diào)查數(shù)據(jù)顯示，83% 的企業(yè) IT 決策者擁有在過(guò)去兩年中，系統(tǒng)遭受了固件攻擊，但只有 29% 的平均安全預(yù)算用于保護(hù)固件級(jí)別。這是不可持續(xù)的：Gartner 的一份報(bào)告預(yù)測(cè)，“到 2022 年，70% 沒(méi)有制定固件升級(jí)計(jì)劃的組織將因固件漏洞而遭到破壞。”

“……幾乎不可能從軟件堆棧中發(fā)現(xiàn)固件或硬件惡意軟件。”

雖然增加固件保護(hù)支出對(duì)于幾乎任何組織來(lái)說(shuō)都是朝著正確方向邁出的明顯一步，但對(duì)固件面臨的威脅的性質(zhì)和目標(biāo)進(jìn)行教育是另一個(gè)謹(jǐn)慎的做法。攻擊者試圖做什么？

為了回答第一個(gè)問(wèn)題，黑客在執(zhí)行固件攻擊時(shí)會(huì)嘗試實(shí)現(xiàn)一些目標(biāo)。第一個(gè)涉及建立持久性，以便通過(guò)將惡意軟件綁定到給定設(shè)備或系統(tǒng)的硬件而不是其軟件來(lái)在系統(tǒng)重啟后幸存下來(lái)。在許多情況下，已經(jīng)獲得持久性的入侵甚至可以在操作系統(tǒng)格式和恢復(fù)嘗試中幸存下來(lái)。隱身是下一個(gè)目標(biāo)，因?yàn)閹缀醪豢赡軓能浖褩Ｖ邪l(fā)現(xiàn)固件或硬件惡意軟件。

從這個(gè)位置來(lái)看，黑客基本上已經(jīng)確立了終極平臺(tái)拆遷向量。大多數(shù)固件或硬件惡意軟件代碼與操作系統(tǒng)無(wú)關(guān)，因此通過(guò)隱身和特權(quán)保護(hù)，攻擊者有能力完全破壞平臺(tái)，以至于需要進(jìn)行物理替換。然而，破壞可能不是最終目標(biāo)，因?yàn)楣粽呖梢岳闷茐耐{來(lái)強(qiáng)制支付贖金或在暗網(wǎng)上出售數(shù)據(jù)。近年來(lái)，一些備受矚目的違規(guī)行為已經(jīng)形成了這種形式，因?yàn)楹诳筒粫?huì)試圖抓住、破壞或利用數(shù)據(jù)，而是會(huì)簡(jiǎn)單地將其發(fā)布給公眾，就像2018 年喜達(dá)屋黑客事件、2019 年 Facebook 黑客事件一樣，以及2021 年的 LinkedIn 漏洞。

固件攻擊如何運(yùn)作？

固件攻擊可以選擇多種向量，因?yàn)楣碳缀醣挥?jì)算系統(tǒng)中的每個(gè)組件所依賴。系統(tǒng)啟動(dòng)固件是自啟動(dòng)以來(lái)加載并保留在內(nèi)存中的第一件事，系統(tǒng)管理模式 (SMM) 固件在運(yùn)行時(shí)用于允許獨(dú)立的低級(jí)操作，基板管理控制器 (BMC) 啟用帶外服務(wù)器管理，和網(wǎng)卡 (RDMA)、USB、HDD 和 SSD 都包含固件。黑客如何突破這些攻擊面？通常通過(guò)以下幾種方式之一，從軟件層向下，從硬件層向上，直接通過(guò)網(wǎng)絡(luò)，或通過(guò)物理訪問(wèn)系統(tǒng)。

從軟件級(jí)別開始的固件攻擊可以通過(guò)任何數(shù)量的常見策略（如網(wǎng)絡(luò)釣魚）進(jìn)入，并通過(guò)利用固件更新代理無(wú)法要求簽名更新等漏洞向下進(jìn)展到固件級(jí)別。另一種方法是使用合法的審計(jì)工具（如 CHIPSEC）來(lái)映射可以被利用的固件問(wèn)題。

無(wú)論向量是什么……事實(shí)是，企業(yè)級(jí)應(yīng)用程序中的邊緣計(jì)算系統(tǒng)面臨的威脅形勢(shì)是可怕的。

從硬件往上走則相反。一個(gè)值得注意的變化涉及在部署前或部署后破壞供應(yīng)鏈中的設(shè)備。這種方法近年來(lái)勢(shì)頭強(qiáng)勁，因?yàn)橐櫿麄€(gè)供應(yīng)鏈并在完全安全的范圍內(nèi)驗(yàn)證每個(gè)組件是極其困難的。如果沒(méi)有足夠的跟蹤、可見性和驗(yàn)證，肯定會(huì)出現(xiàn)漏洞。其他硬件方法涉及破壞 USB 設(shè)備，然后將其以物理或數(shù)字方式插入系統(tǒng)端點(diǎn)。“邪惡女仆”攻擊是另一種策略。此方法需要對(duì)設(shè)備進(jìn)行物理訪問(wèn)，以便攻擊者可以從軟件、固件和硬件級(jí)別進(jìn)行攻擊以破壞系統(tǒng)。

另一種策略是，當(dāng)固件組件直接連接到互聯(lián)網(wǎng)時(shí)，直接通過(guò)系統(tǒng)網(wǎng)絡(luò)進(jìn)行攻擊，這通常是因?yàn)橐资芄舻慕M件被配置為允許帶外更新。無(wú)論向量是什么，無(wú)論攻擊看起來(lái)多么簡(jiǎn)單或復(fù)雜，事實(shí)是邊緣計(jì)算系統(tǒng)在企業(yè)級(jí)應(yīng)用程序中面臨的威脅是可怕的。物聯(lián)網(wǎng)基礎(chǔ)設(shè)施開發(fā)商和IT安全部門可能想知道從哪里開始。答案是在開機(jī)時(shí)。

安全性必須從硬件信任根開始

為了保護(hù)系統(tǒng)免受更加雄心勃勃和創(chuàng)造性的攻擊者的攻擊，信任根 (RoT) 作為一個(gè)實(shí)體是必要的，用于檢查堆棧的每一層，從硬件啟動(dòng)到固件加載、操作系統(tǒng)運(yùn)行時(shí)直到正在運(yùn)行的應(yīng)用程序，在整個(gè)堆棧中。根據(jù)該協(xié)議，每個(gè)硬件和固件組件都必須通過(guò)檢查絕對(duì)值得信賴的 RoT 來(lái)進(jìn)行身份驗(yàn)證和授權(quán)。計(jì)算組件以這種方式值得信賴的唯一方法是它是不可變的，這種情況排除了任何類型的軟件解決方案作為選項(xiàng)。因此需要硬件解決方案，通常涉及存儲(chǔ)與設(shè)備所有者直接相關(guān)的加密密鑰，設(shè)備所有者在機(jī)器的硅片中而不是在隔離實(shí)現(xiàn)中的軟件中提供密鑰。

專用的安全處理器會(huì)創(chuàng)建一個(gè)無(wú)法從 CPU 訪問(wèn)的信任錨。

可信平臺(tái)模塊 (TPM) 與計(jì)算系統(tǒng)的處理器分開，并作為一種黑匣子發(fā)揮作用，攻擊者將難以訪問(wèn)甚至看到它，被分配來(lái)保存有價(jià)值的資產(chǎn)，如密鑰、憑據(jù)和敏感數(shù)據(jù)，同時(shí)只擁有低級(jí)資產(chǎn)。級(jí)操作。與容易受到試錯(cuò)攻擊的基于處理器的系統(tǒng)不同，黑客嘗試各種技術(shù)以收集有關(guān)系統(tǒng)防御的信息，TPM 對(duì)潛在入侵者的可見性非常低。然而，TPM 還不夠安全，而且它們已被證明使用起來(lái)很復(fù)雜。

也就是說(shuō)，隔離實(shí)現(xiàn)的想法是正確的。專用的安全處理器會(huì)創(chuàng)建一個(gè)無(wú)法從 CPU 訪問(wèn)的信任錨。信任鏈可以從那里擴(kuò)展。安全防御與攻擊者保持隔離，從而為安全應(yīng)用程序創(chuàng)造架構(gòu)優(yōu)勢(shì)，防止攻擊者禁用或規(guī)避防御。通過(guò)在硬件中生成密鑰和加密數(shù)據(jù)，黑客無(wú)法從軟件中訪問(wèn)它們。

OCP 標(biāo)準(zhǔn)化和 FPGA 靈活性

開放計(jì)算項(xiàng)目在其 RoT 規(guī)范的開放標(biāo)準(zhǔn)版本 1.0中倡導(dǎo)硬件 RoT，行業(yè)推動(dòng)者和動(dòng)搖者認(rèn)為這對(duì)于企業(yè)數(shù)據(jù)中心安全以及超大規(guī)模企業(yè)至關(guān)重要。到目前為止，超大規(guī)模用戶必須為固件保護(hù)構(gòu)建自己的定制解決方案，但隨著 RoT 的標(biāo)準(zhǔn)化，我們現(xiàn)在可以期待這項(xiàng)技術(shù)可用于所有數(shù)據(jù)中心。它甚至可能最終可用于消費(fèi)類 PC，因?yàn)榉?OCP 的 RoT 甚至可以防止涉及物理閃存組件更換的攻擊。

這個(gè)正式規(guī)范具有雙重重要性：除了防止固件持久性攻擊之外，它還幫助固件開發(fā)人員了解如何開發(fā)更安全且漏洞更少的固件，盡管這些學(xué)習(xí)可能難以實(shí)施。

在系統(tǒng)硬件或隔離的安全處理器上建立 RoT 的問(wèn)題在于，在設(shè)計(jì)上它們很難訪問(wèn)或影響。這使它們對(duì)不良行為者更加安全，但在發(fā)現(xiàn)新漏洞或需要新功能時(shí)使它們不那么靈活。這就是現(xiàn)場(chǎng)可編程門陣列 (FPGA) 可以發(fā)揮作用的地方。FPGA 是一種與處理器分離的半導(dǎo)體器件，可在制造后進(jìn)行配置，這使程序員可以調(diào)整其更大系統(tǒng)的組件的結(jié)構(gòu)，而無(wú)需承擔(dān)大量的財(cái)務(wù)或時(shí)間負(fù)擔(dān)。

Xilinx 是一家著名的 FPGA 制造商，Kameleon 與其合作創(chuàng)建了主動(dòng)安全處理單元 (ProSPU)。此 ProSPU 與現(xiàn)有無(wú)源解決方案的工作方式不同，它在根和運(yùn)行時(shí)保護(hù)系統(tǒng)，這是賽靈思 FPGA 芯片支持的功能，符合安全啟動(dòng)、遠(yuǎn)程證明和常見威脅范圍的 OCP 標(biāo)準(zhǔn)。

結(jié)論

總而言之，企業(yè)和工業(yè)級(jí)別的邊緣平臺(tái)所有者需要意識(shí)到的是，他們的系統(tǒng)非常脆弱——尤其是在固件級(jí)別。企業(yè)不能再依賴傳統(tǒng)的保護(hù)方法。針對(duì)此級(jí)別的攻擊的嚴(yán)重性和復(fù)雜性正在升級(jí)，因此需要一個(gè)硬件信任根，它可用于驗(yàn)證和授權(quán)對(duì)任何堆棧級(jí)別的訪問(wèn)和更改，并且足夠靈活以適應(yīng)新漏洞并使安全應(yīng)用程序能夠做他們的工作。此 RoT 需要能夠從安全啟動(dòng)擴(kuò)展到運(yùn)行時(shí)——在不影響性能的情況下檢測(cè)和預(yù)防事件和違規(guī)行為。

審核編輯 黃昊宇