解决企业边缘计算平台上日益严重的固件攻击威胁

最近对企业级应用程序中的关键任务边缘计算系统的高调黑客攻击表明，黑客在试图避免被发现时变得越来越聪明和复杂。由于 IT 安全性和可见性工作仍主要集中在应用层堆栈的较高位置，不良行为者正试图在固件级别进一步破坏堆栈中的系统。随着这种威胁环境的演变，防御这些入侵变得越来越紧迫，尽管具体如何做到这一点的细节仍然经常被忽视。然而，在提出固件入侵解决方案之前，重要的是要了解它们发生的原因和方式，以及攻击者的近期和长期目标是什么。

面临计算平台的持续威胁环境

企业中的边缘计算平台是网络犯罪分子的主要目标。然而，企业已经意识到他们的漏洞并引入了一系列安全软件来预防和检测攻击。这些解决方案中有很大一部分仅在堆栈顶部的应用程序级别上运行。聪明的黑客已经意识到，如果他们在固件级别进入应用层之下的系统，他们可以避开软件和操作系统安全的检测。

“……修复固件或硬件中的零日黑客攻击可能非常耗时，导致有问题的系统比软件漏洞更容易受到攻击。”

因为破解固件需要更高的难度，所以它不像堆栈中的更高层那样受到良好的监控和防御。固件，甚至更大程度的硬件，也不像软件那样容易修补或更新，而且成本更高。一旦进入固件，黑客可以禁用远程固件更新，从而无法远程修复，因此需要对固件进行物理访问的技术人员进行服务，通常需要完全关闭和现场访问，这对于大规模部署。这个过程意味着修复固件或硬件中的零日黑客攻击可能非常耗时，导致有问题的系统比软件漏洞更容易受到攻击。这些因素导致了来自国家支持的参与者以及规模较小、资源较少但仍然危险的私人团体的固件攻击频率的上升。

固件攻击的目标

缺乏相应的防御和可见性工具、修补难度的增加以及更高价值的数据和损害都导致黑客的固件攻击激增。美国国家标准与技术研究院 (NIST) 的国家漏洞数据库 (NVD)显示，自 2018 年以来，针对固件的攻击增加了 500%，而来自微软新报告的调查数据显示，83% 的企业 IT 决策者拥有在过去两年中，系统遭受了固件攻击，但只有 29% 的平均安全预算用于保护固件级别。这是不可持续的：Gartner 的一份报告预测，“到 2022 年，70% 没有制定固件升级计划的组织将因固件漏洞而遭到破坏。”

“……几乎不可能从软件堆栈中发现固件或硬件恶意软件。”

虽然增加固件保护支出对于几乎任何组织来说都是朝着正确方向迈出的明显一步，但对固件面临的威胁的性质和目标进行教育是另一个谨慎的做法。攻击者试图做什么？

为了回答第一个问题，黑客在执行固件攻击时会尝试实现一些目标。第一个涉及建立持久性，以便通过将恶意软件绑定到给定设备或系统的硬件而不是其软件来在系统重启后幸存下来。在许多情况下，已经获得持久性的入侵甚至可以在操作系统格式和恢复尝试中幸存下来。隐身是下一个目标，因为几乎不可能从软件堆栈中发现固件或硬件恶意软件。

从这个位置来看，黑客基本上已经确立了终极平台拆迁向量。大多数固件或硬件恶意软件代码与操作系统无关，因此通过隐身和特权保护，攻击者有能力完全破坏平台，以至于需要进行物理替换。然而，破坏可能不是最终目标，因为攻击者可以利用破坏威胁来强制支付赎金或在暗网上出售数据。近年来，一些备受瞩目的违规行为已经形成了这种形式，因为黑客不会试图抓住、破坏或利用数据，而是会简单地将其发布给公众，就像2018 年喜达屋黑客事件、2019 年 Facebook 黑客事件一样，以及2021 年的 LinkedIn 漏洞。

固件攻击如何运作？

固件攻击可以选择多种向量，因为固件几乎被计算系统中的每个组件所依赖。系统启动固件是自启动以来加载并保留在内存中的第一件事，系统管理模式 (SMM) 固件在运行时用于允许独立的低级操作，基板管理控制器 (BMC) 启用带外服务器管理，和网卡 (RDMA)、USB、HDD 和 SSD 都包含固件。黑客如何突破这些攻击面？通常通过以下几种方式之一，从软件层向下，从硬件层向上，直接通过网络，或通过物理访问系统。

从软件级别开始的固件攻击可以通过任何数量的常见策略（如网络钓鱼）进入，并通过利用固件更新代理无法要求签名更新等漏洞向下进展到固件级别。另一种方法是使用合法的审计工具（如 CHIPSEC）来映射可以被利用的固件问题。

无论向量是什么……事实是，企业级应用程序中的边缘计算系统面临的威胁形势是可怕的。

从硬件往上走则相反。一个值得注意的变化涉及在部署前或部署后破坏供应链中的设备。这种方法近年来势头强劲，因为要跟踪整个供应链并在完全安全的范围内验证每个组件是极其困难的。如果没有足够的跟踪、可见性和验证，肯定会出现漏洞。其他硬件方法涉及破坏 USB 设备，然后将其以物理或数字方式插入系统端点。“邪恶女仆”攻击是另一种策略。此方法需要对设备进行物理访问，以便攻击者可以从软件、固件和硬件级别进行攻击以破坏系统。

另一种策略是，当固件组件直接连接到互联网时，直接通过系统网络进行攻击，这通常是因为易受攻击的组件被配置为允许带外更新。无论向量是什么，无论攻击看起来多么简单或复杂，事实是边缘计算系统在企业级应用程序中面临的威胁是可怕的。物联网基础设施开发商和IT安全部门可能想知道从哪里开始。答案是在开机时。

安全性必须从硬件信任根开始

为了保护系统免受更加雄心勃勃和创造性的攻击者的攻击，信任根 (RoT) 作为一个实体是必要的，用于检查堆栈的每一层，从硬件启动到固件加载、操作系统运行时直到正在运行的应用程序，在整个堆栈中。根据该协议，每个硬件和固件组件都必须通过检查绝对值得信赖的 RoT 来进行身份验证和授权。计算组件以这种方式值得信赖的唯一方法是它是不可变的，这种情况排除了任何类型的软件解决方案作为选项。因此需要硬件解决方案，通常涉及存储与设备所有者直接相关的加密密钥，设备所有者在机器的硅片中而不是在隔离实现中的软件中提供密钥。

专用的安全处理器会创建一个无法从 CPU 访问的信任锚。

可信平台模块 (TPM) 与计算系统的处理器分开，并作为一种黑匣子发挥作用，攻击者将难以访问甚至看到它，被分配来保存有价值的资产，如密钥、凭据和敏感数据，同时只拥有低级资产。级操作。与容易受到试错攻击的基于处理器的系统不同，黑客尝试各种技术以收集有关系统防御的信息，TPM 对潜在入侵者的可见性非常低。然而，TPM 还不够安全，而且它们已被证明使用起来很复杂。

也就是说，隔离实现的想法是正确的。专用的安全处理器会创建一个无法从 CPU 访问的信任锚。信任链可以从那里扩展。安全防御与攻击者保持隔离，从而为安全应用程序创造架构优势，防止攻击者禁用或规避防御。通过在硬件中生成密钥和加密数据，黑客无法从软件中访问它们。

OCP 标准化和 FPGA 灵活性

开放计算项目在其 RoT 规范的开放标准版本 1.0中倡导硬件 RoT，行业推动者和动摇者认为这对于企业数据中心安全以及超大规模企业至关重要。到目前为止，超大规模用户必须为固件保护构建自己的定制解决方案，但随着 RoT 的标准化，我们现在可以期待这项技术可用于所有数据中心。它甚至可能最终可用于消费类 PC，因为符合 OCP 的 RoT 甚至可以防止涉及物理闪存组件更换的攻击。

这个正式规范具有双重重要性：除了防止固件持久性攻击之外，它还帮助固件开发人员了解如何开发更安全且漏洞更少的固件，尽管这些学习可能难以实施。

在系统硬件或隔离的安全处理器上建立 RoT 的问题在于，在设计上它们很难访问或影响。这使它们对不良行为者更加安全，但在发现新漏洞或需要新功能时使它们不那么灵活。这就是现场可编程门阵列 (FPGA) 可以发挥作用的地方。FPGA 是一种与处理器分离的半导体器件，可在制造后进行配置，这使程序员可以调整其更大系统的组件的结构，而无需承担大量的财务或时间负担。

Xilinx 是一家著名的 FPGA 制造商，Kameleon 与其合作创建了主动安全处理单元 (ProSPU)。此 ProSPU 与现有无源解决方案的工作方式不同，它在根和运行时保护系统，这是赛灵思 FPGA 芯片支持的功能，符合安全启动、远程证明和常见威胁范围的 OCP 标准。

结论

总而言之，企业和工业级别的边缘平台所有者需要意识到的是，他们的系统非常脆弱——尤其是在固件级别。企业不能再依赖传统的保护方法。针对此级别的攻击的严重性和复杂性正在升级，因此需要一个硬件信任根，它可用于验证和授权对任何堆栈级别的访问和更改，并且足够灵活以适应新漏洞并使安全应用程序能够做他们的工作。此 RoT 需要能够从安全启动扩展到运行时——在不影响性能的情况下检测和预防事件和违规行为。

审核编辑 黄昊宇