0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

解决企业边缘计算平台上日益严重的固件攻击威胁

刘刚 来源:q153605268 作者:h1654155957.9185 2022-07-20 14:32 次阅读

最近对企业级应用程序中的关键任务边缘计算系统的高调黑客攻击表明,黑客在试图避免被发现时变得越来越聪明和复杂。由于 IT 安全性和可见性工作仍主要集中在应用层堆栈的较高位置,不良行为者正试图在固件级别进一步破坏堆栈中的系统。随着这种威胁环境的演变,防御这些入侵变得越来越紧迫,尽管具体如何做到这一点的细节仍然经常被忽视。然而,在提出固件入侵解决方案之前,重要的是要了解它们发生的原因和方式,以及攻击者的近期和长期目标是什么。

面临计算平台的持续威胁环境

企业中的边缘计算平台是网络犯罪分子的主要目标。然而,企业已经意识到他们的漏洞并引入了一系列安全软件来预防和检测攻击。这些解决方案中有很大一部分仅在堆栈顶部的应用程序级别上运行。聪明的黑客已经意识到,如果他们在固件级别进入应用层之下的系统,他们可以避开软件和操作系统安全的检测。

“……修复固件或硬件中的零日黑客攻击可能非常耗时,导致有问题的系统比软件漏洞更容易受到攻击。”

因为破解固件需要更高的难度,所以它不像堆栈中的更高层那样受到良好的监控和防御。固件,甚至更大程度的硬件,也不像软件那样容易修补或更新,而且成本更高。一旦进入固件,黑客可以禁用远程固件更新,从而无法远程修复,因此需要对固件进行物理访问的技术人员进行服务,通常需要完全关闭和现场访问,这对于大规模部署。这个过程意味着修复固件或硬件中的零日黑客攻击可能非常耗时,导致有问题的系统比软件漏洞更容易受到攻击。这些因素导致了来自国家支持的参与者以及规模较小、资源较少但仍然危险的私人团体的固件攻击频率的上升。

固件攻击的目标

缺乏相应的防御和可见性工具、修补难度的增加以及更高价值的数据和损害都导致黑客的固件攻击激增。美国国家标准与技术研究院 (NIST) 的国家漏洞数据库 (NVD)显示,自 2018 年以来,针对固件的攻击增加了 500%,而来自微软新报告的调查数据显示,83% 的企业 IT 决策者拥有在过去两年中,系统遭受了固件攻击,但只有 29% 的平均安全预算用于保护固件级别。这是不可持续的:Gartner 的一份报告预测,“到 2022 年,70% 没有制定固件升级计划的组织将因固件漏洞而遭到破坏。”

“……几乎不可能从软件堆栈中发现固件或硬件恶意软件。”

虽然增加固件保护支出对于几乎任何组织来说都是朝着正确方向迈出的明显一步,但对固件面临的威胁的性质和目标进行教育是另一个谨慎的做法。攻击者试图做什么?

为了回答第一个问题,黑客在执行固件攻击时会尝试实现一些目标。第一个涉及建立持久性,以便通过将恶意软件绑定到给定设备或系统的硬件而不是其软件来在系统重启后幸存下来。在许多情况下,已经获得持久性的入侵甚至可以在操作系统格式和恢复尝试中幸存下来。隐身是下一个目标,因为几乎不可能从软件堆栈中发现固件或硬件恶意软件。

从这个位置来看,黑客基本上已经确立了终极平台拆迁向量。大多数固件或硬件恶意软件代码与操作系统无关,因此通过隐身和特权保护,攻击者有能力完全破坏平台,以至于需要进行物理替换。然而,破坏可能不是最终目标,因为攻击者可以利用破坏威胁来强制支付赎金或在暗网上出售数据。近年来,一些备受瞩目的违规行为已经形成了这种形式,因为黑客不会试图抓住、破坏或利用数据,而是会简单地将其发布给公众,就像2018 年喜达屋黑客事件、2019 年 Facebook 黑客事件一样,以及2021 年的 LinkedIn 漏洞。

固件攻击如何运作?

固件攻击可以选择多种向量,因为固件几乎被计算系统中的每个组件所依赖。系统启动固件是自启动以来加载并保留在内存中的第一件事,系统管理模式 (SMM) 固件在运行时用于允许独立的低级操作,基板管理控制器 (BMC) 启用带外服务器管理,和网卡 (RDMA)、USB、HDD 和 SSD 都包含固件。黑客如何突破这些攻击面?通常通过以下几种方式之一,从软件层向下,从硬件层向上,直接通过网络,或通过物理访问系统。

从软件级别开始的固件攻击可以通过任何数量的常见策略(如网络钓鱼)进入,并通过利用固件更新代理无法要求签名更新等漏洞向下进展到固件级别。另一种方法是使用合法的审计工具(如 CHIPSEC)来映射可以被利用的固件问题。

无论向量是什么……事实是,企业级应用程序中的边缘计算系统面临的威胁形势是可怕的。

从硬件往上走则相反。一个值得注意的变化涉及在部署前或部署后破坏供应链中的设备。这种方法近年来势头强劲,因为要跟踪整个供应链并在完全安全的范围内验证每个组件是极其困难的。如果没有足够的跟踪、可见性和验证,肯定会出现漏洞。其他硬件方法涉及破坏 USB 设备,然后将其以物理或数字方式插入系统端点。“邪恶女仆”攻击是另一种策略。此方法需要对设备进行物理访问,以便攻击者可以从软件、固件和硬件级别进行攻击以破坏系统。

另一种策略是,当固件组件直接连接到互联网时,直接通过系统网络进行攻击,这通常是因为易受攻击的组件被配置为允许带外更新。无论向量是什么,无论攻击看起来多么简单或复杂,事实是边缘计算系统在企业级应用程序中面临的威胁是可怕的。物联网基础设施开发商和IT安全部门可能想知道从哪里开始。答案是在开机时。

安全性必须从硬件信任根开始

为了保护系统免受更加雄心勃勃和创造性的攻击者的攻击,信任根 (RoT) 作为一个实体是必要的,用于检查堆栈的每一层,从硬件启动到固件加载、操作系统运行时直到正在运行的应用程序,在整个堆栈中。根据该协议,每个硬件和固件组件都必须通过检查绝对值得信赖的 RoT 来进行身份验证和授权。计算组件以这种方式值得信赖的唯一方法是它是不可变的,这种情况排除了任何类型的软件解决方案作为选项。因此需要硬件解决方案,通常涉及存储与设备所有者直接相关的加密密钥,设备所有者在机器的硅片中而不是在隔离实现中的软件中提供密钥。

专用的安全处理器会创建一个无法从 CPU 访问的信任锚。

可信平台模块 (TPM) 与计算系统的处理器分开,并作为一种黑匣子发挥作用,攻击者将难以访问甚至看到它,被分配来保存有价值的资产,如密钥、凭据和敏感数据,同时只拥有低级资产。级操作。与容易受到试错攻击的基于处理器的系统不同,黑客尝试各种技术以收集有关系统防御的信息,TPM 对潜在入侵者的可见性非常低。然而,TPM 还不够安全,而且它们已被证明使用起来很复杂。

也就是说,隔离实现的想法是正确的。专用的安全处理器会创建一个无法从 CPU 访问的信任锚。信任链可以从那里扩展。安全防御与攻击者保持隔离,从而为安全应用程序创造架构优势,防止攻击者禁用或规避防御。通过在硬件中生成密钥和加密数据,黑客无法从软件中访问它们。

OCP 标准化和 FPGA 灵活性

开放计算项目在其 RoT 规范的开放标准版本 1.0中倡导硬件 RoT,行业推动者和动摇者认为这对于企业数据中心安全以及超大规模企业至关重要。到目前为止,超大规模用户必须为固件保护构建自己的定制解决方案,但随着 RoT 的标准化,我们现在可以期待这项技术可用于所有数据中心。它甚至可能最终可用于消费类 PC,因为符合 OCP 的 RoT 甚至可以防止涉及物理闪存组件更换的攻击。

这个正式规范具有双重重要性:除了防止固件持久性攻击之外,它还帮助固件开发人员了解如何开发更安全且漏洞更少的固件,尽管这些学习可能难以实施。

在系统硬件或隔离的安全处理器上建立 RoT 的问题在于,在设计上它们很难访问或影响。这使它们对不良行为者更加安全,但在发现新漏洞或需要新功能时使它们不那么灵活。这就是现场可编程门阵列 (FPGA) 可以发挥作用的地方。FPGA 是一种与处理器分离的半导体器件,可在制造后进行配置,这使程序员可以调整其更大系统的组件的结构,而无需承担大量的财务或时间负担。

Xilinx 是一家著名的 FPGA 制造商,Kameleon 与其合作创建了主动安全处理单元 (ProSPU)。此 ProSPU 与现有无源解决方案的工作方式不同,它在根和运行时保护系统,这是赛灵思 FPGA 芯片支持的功能,符合安全启动、远程证明和常见威胁范围的 OCP 标准。

结论

总而言之,企业和工业级别的边缘平台所有者需要意识到的是,他们的系统非常脆弱——尤其是在固件级别。企业不能再依赖传统的保护方法。针对此级别的攻击的严重性和复杂性正在升级,因此需要一个硬件信任根,它可用于验证和授权对任何堆栈级别的访问和更改,并且足够灵活以适应新漏洞并使安全应用程序能够做他们的工作。此 RoT 需要能够从安全启动扩展到运行时——在不影响性能的情况下检测和预防事件和违规行为。

审核编辑 黄昊宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 安全
    +关注

    关注

    1

    文章

    339

    浏览量

    35672
  • 固件
    +关注

    关注

    10

    文章

    550

    浏览量

    22966
  • 边缘计算
    +关注

    关注

    22

    文章

    3063

    浏览量

    48625
收藏 人收藏

    评论

    相关推荐

    新思科技如何应对量子计算机的威胁

    随着技术发展的突飞猛进,量子计算机的威胁日益凸显。尽管量子计算机有望在天气预报、药物研发和基础物理学等领域带来革命性的变革,但它也对现行加密体系构成了显著
    的头像 发表于 11-18 09:33 142次阅读

    研华科技边缘AI平台荣获2024年IoT边缘计算卓越奖

    的 2024 年物联网边缘计算卓越奖。研华提供全栈式AI应用产品,以满足从边缘到云的工业 AI 应用的多样化需求,致力于推动工业边缘计算
    的头像 发表于 11-07 18:11 359次阅读

    NVIDIA IGX平台加速实时边缘AI应用

    实时边缘 AI 对于医疗、工业和科学计算至关重要,因为这些任务关键型应用需要即时数据处理、低延迟和高可靠性,以确保作出及时准确的决策。这些挑战不仅涉及硬件平台上的高带宽传感器处理和 AI 计算
    的头像 发表于 09-09 10:14 478次阅读
    NVIDIA IGX<b class='flag-5'>平台</b>加速实时<b class='flag-5'>边缘</b>AI应用

    边缘计算网关在水泥生产企业的应用

    的技术解决方案,在水泥生产企业的工厂数采中扮演着至关重要的角色。 边缘计算网关集成了数据采集、处理和传输等功能,位于传感器和执行器组成的设备层与云计算
    的头像 发表于 09-04 13:48 149次阅读

    边缘计算网关是什么?边缘计算网关的特点及价值

    在当今日益发展的工业互联网时代,智能制造正逐渐改变着传统制造业的生产模式和运营效率。在这个转变中,数据的处理和分析能力成为企业提升竞争力、实现智能化转型的关键。其中,工业级边缘计算网关
    的头像 发表于 06-18 15:59 2384次阅读
    <b class='flag-5'>边缘</b><b class='flag-5'>计算</b>网关是什么?<b class='flag-5'>边缘</b><b class='flag-5'>计算</b>网关的特点及价值

    NVIDIA 通过 Holoscan 为 NVIDIA IGX 提供企业软件支持,实现边缘实时医疗、工业和科学 AI 应用

    NVIDIA Holoscan 的 NVIDIA AI Enterprise-IGX 软件现已在 NVIDIA IGX 平台上正式可用,以满足工业边缘对实时 AI 计算日益增长的需求
    发表于 06-03 09:48 284次阅读
      NVIDIA 通过 Holoscan 为 NVIDIA IGX 提供<b class='flag-5'>企业</b>软件支持,实现<b class='flag-5'>边缘</b>实时医疗、工业和科学 AI 应用

    什么是边缘计算?它为何如此重要?

    随着信息技术的快速发展,数据处理和计算的需求日益增大,特别是在实时性要求极高的场景中,传统的云计算模式面临着巨大的挑战。在这样的背景下,边缘计算
    的头像 发表于 04-22 15:25 397次阅读

    边缘计算网关的市场价格多少?

    在数字化转型的大潮中,边缘计算网关作为连接云端与终端设备的核心节点,其重要性日益凸显。然而,面对市场上琳琅满目的边缘计算网关产品,对于许多
    的头像 发表于 04-18 15:46 1103次阅读
    <b class='flag-5'>边缘</b><b class='flag-5'>计算</b>网关的市场价格多少?

    抵御量子计算攻击!中国首个!

     据介绍,PQC技术能够有效地抵抗量子计算机的攻击。量子计算机因其超强算力可以对原本的公钥密码体系产生严重威胁。为抵抗量子计算机的潜在
    的头像 发表于 04-13 11:36 972次阅读

    边缘计算网关可以为企业解决哪些问题?

    性要求的提高,使得传统的数据处理方式难以满足企业的需求。因此,寻求一种高效、可靠的数据处理方案成为了企业的迫切需求。为了应对这些挑战,边缘计算网关应运而生,成为
    的头像 发表于 04-10 15:54 232次阅读

    英特尔发布全新边缘计算平台,解决AI边缘落地难题

    2030年,至少一半的边缘计算部署将纳入AI。   英特尔全新商用边缘计算平台   英特尔认为,我们已经进入了AI无处不在的时代,
    的头像 发表于 03-12 09:06 4272次阅读
    英特尔发布全新<b class='flag-5'>边缘</b><b class='flag-5'>计算</b><b class='flag-5'>平台</b>,解决AI<b class='flag-5'>边缘</b>落地难题

    AMI发布适用于GIGABYTE服务器的尖端固件

    全球计算动态固件领域的领军企业AMI今日宣布,将在NVIDIA的GH200 Grace Hopper Superchip平台上推出适用于GIGABYTE服务器的MegaRAC SP-X
    的头像 发表于 03-06 09:57 625次阅读

    什么是边缘计算边缘计算有哪些应用?

    什么是边缘计算边缘计算有哪些应用? 边缘计算是一种将计算
    的头像 发表于 01-09 11:29 1678次阅读

    边缘计算平台是什么配置的

    边缘计算平台是一个分布式计算架构,可以在靠近数据源的边缘设备上执行计算任务。它解决了传统
    的头像 发表于 12-27 15:23 859次阅读

    边缘计算平台开源框架有哪些类型

    边缘计算平台开源框架是指基于边缘计算概念开发的开源软件框架,用于构建和管理边缘
    的头像 发表于 12-27 15:17 1221次阅读