0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

使用正确的工具和实践避免安全漏洞

母猪会上树 来源:Patrick Mannion 作者:Patrick Mannion 2022-08-10 11:34 次阅读

通过开源软件中未修补的漏洞对 Equifax 的黑客攻击暴露了开发人员在确保设备和网络安全方面每天都在努力解决的两个问题:管理冷漠和需要保持警惕,即使在产品交付之后,无论是硬件或软件。

然而,随着组织迅速迁移到关键业务线的分散云计算数据中心,并且物联网继续看到更多连接的设备,网络安全还面临其他问题。

例如,根据 Barbara Filkins 为 Netscout 撰写的 SANS 调查,一些组织不愿意实施可用的主动安全功能,因为它们可能会影响性能 (68%) 和延迟,一些组织只是厌倦了误报,以及有些人担心网络停机(图 1)。毫不奇怪,大多数公司启用的在线安全功能不到 20%:只有 5% 的公司使用了 100% 的可用在线安全功能。

poYBAGLzIf6AKFFzAAB2_s4QyTM487.png

图 1:在未实施所有可用的主动安全功能的原因中,性能影响排名最高。图片来源:Sans Institute

数据中心和相关设备的设计人员可以通过基于硬件的安全性来解决对提高安全性的需求与对延迟和性能的担忧之间的平衡需求。

这是今年早些时候宣布的 AMD Epyc 7000 片上系统 (SoC) 的显着方面之一。除了多达 32 个 Zen x86 内核和 128 个 PCIe Gen 3 通道外,AMD 还添加了一个专用的 128 位 AES 加密引擎和基于 ARM Cortex-A5 的硬件信任根子系统(图 2)。

poYBAGLzIgKADtQ3AADZlS47iyQ206.jpg

图 2:AMD 的 Epyc 7000 SoC 具有基于 ARM Cortex-A5 的硬件信任根,支持内存加密和安全加密虚拟化等功能。

安全处理器使用 ARM 的 TrustZone 对 CPU 进行分区,以运行敏感和非敏感应用程序和任务。它还确保安全启动并运行可信平台模块 (TPM) 及其自己的操作系统/管理程序。这并不排除使用一些客户可能需要的非车载 TPM。

除了加速加密、使系统更防篡改、降低功耗和延迟外,该架构还支持数据中心中特别使用的两个独特功能:安全内存加密 (SME) 和安全加密虚拟化 (SEV)。

SME 通过加密内存来防止物理攻击。SEV 允许对虚拟机 (VM) 或容器进行加密,以便应用程序可以安全运行。

端到端保护 IoT 网络 对于 Equifax,内嵌安全功能(例如 AMD Epyc 启用的功能)几乎没有用处,因为该漏洞是开源软件包 Apache Struts 的未修补版本。由于它不是零日漏洞,Equifax 可以通过遵守一个简单的规则来阻止攻击:定期更新软件,尤其是在安全补丁方面。

这听起来很简单,但却经常被忽视。在物联网的背景下,这也很难做到,因为可能有数以千计的设备覆盖广泛的地理区域。此外,很少有设备制造商确信自己可能成为攻击的目标,因此此类设备通常严重缺乏防御能力,将它们变成企业网络的后门入口。

认识到物联网安全问题的有害性质,整个公司如雨后春笋般涌现,以填补硬件和应用程序之间的安全漏洞。IoTium 就是这样一家公司,它在应用程序和网络层提供端到端的安全性,以及零接触管理。

目前专注于工业智能建筑应用,一旦建立连接,IoTium 的 eNode OS 就会安装在远程站点的网关上,然后使用 IoTium Orchestrator 通过云远程管理所有服务和安全性。来自每个传感器的每个数据流都单独加密,只有授权的最终用户才能解密。

IoTium 方法的关键方面包括通过公钥加密消除每个设备或设施的用户名和密码、无需上门服务以及无需更改 IT 的企业代理和防火墙策略。

特别令人感兴趣的是,鉴于 Equifax 崩溃的性质以及更新许多 IoT 设备的难度,IoTium 的软件不断自我更新,并且所有设备都得到了充分的实时配置和管理。无需等待手动更新。每一项资产和每一个数据流都是完全安全的。此外,只需按一下按钮,即可在选定的设备或整个网络上部署新的应用程序和服务。

嵌入式物联网 的困境 对于许多嵌入式系统设计人员来说,安全的困难始于这样一个事实,即传统上,嵌入式系统足够安全,因为它们是独立的且未连接的。连接性和物联网的兴起提高了人们的意识,但仍然存在上市时间压力,而且开发团队通常需要大力推动管理,以确保设备或系统得到彻底保护。

也就是说,越来越多地使用无线 (OTA) 更新是有帮助的,但如果调试端口处于打开状态或内存未得到保护,设备就会成为网络的攻击面和后门。

需要采取的其他一些预防措施包括保护 EEPROM 中的密钥并在检测到篡改时将其擦除,或者更好的是,使用公钥加密对密钥进行加密。

在软件方面,Apache 发布了一些关于网络安全执行的提醒,每个人都应该牢记在心。除了定期更新外,它还会提醒用户任何复杂的软件都包含缺陷。“不要假设支持的软件产品完美无缺,尤其是在安全漏洞方面。”

此外,建立网络安全层:这只是一个好习惯。

安全是一场失败的战斗吗? 虽然这似乎是一项不可能完成的任务,但由于 AMD 的 Epyc 7000 所显示的硬件安全性的进步,以最小的吞吐量和功率损失为数据中心实现高水平的网络安全是可行的。然而,坚定的攻击者是顽强的,而且它是很大程度上是使网络足够安全,以便攻击者转移到下一个安全性较低的设备或系统。

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • amd
    amd
    +关注

    关注

    25

    文章

    5466

    浏览量

    134101
  • 物联网
    +关注

    关注

    2909

    文章

    44578

    浏览量

    372859
  • soc
    soc
    +关注

    关注

    38

    文章

    4163

    浏览量

    218171
收藏 人收藏

    评论

    相关推荐

    对称加密技术有哪些常见的安全漏洞

    对称加密技术在实际应用中可能面临的安全漏洞主要包括: 实现不当: 错误的加解密实现、弱随机数生成器或其他逻辑错误都可能导致安全漏洞漏洞利用: 利用已知的弱点或攻击手段,如理论上可行的分组攻击或侧
    的头像 发表于 12-16 13:59 72次阅读

    物联网系统的安全漏洞分析

    随着物联网技术的快速发展,越来越多的设备被连接到互联网上,从智能家居、智能城市到工业自动化,物联网的应用范围不断扩大。然而,随着物联网设备的增多,安全问题也日益凸显。 一、物联网系统安全漏洞的成因
    的头像 发表于 10-29 13:37 356次阅读

    如何使用 IOTA 分析安全漏洞的连接尝试

    在当今数字化世界中,网络安全变得至关重要。本文将探讨如何利用流量数据分析工具来发现和阻止安全漏洞和恶意连接。通过分析 IOTA 流量,您可以了解如何识别不当行为,并采取适当的措施来保护您的网络和数据。我们将深入研究IOTA的工作
    的头像 发表于 09-29 10:19 264次阅读
    如何使用 IOTA 分析<b class='flag-5'>安全漏洞</b>的连接尝试

    漏洞扫描一般采用的技术是什么

    漏洞扫描是一种安全实践,用于识别计算机系统、网络或应用程序中的安全漏洞。以下是一些常见的漏洞扫描技术: 自动化
    的头像 发表于 09-25 10:27 353次阅读

    漏洞扫描的主要功能是什么

    漏洞扫描是一种网络安全技术,用于识别计算机系统、网络或应用程序中的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的攻击。
    的头像 发表于 09-25 10:25 395次阅读

    从CVE-2024-6387 OpenSSH Server 漏洞谈谈企业安全运营与应急响应

    ,黑客已经发现并利用的安全漏洞。这类漏洞的危害极大,往往会给企业带来严重的安全威胁和经济损失。 近日,OpenSSH曝出了一起严重的0day漏洞,引起了全球范围内的广泛关注。OpenS
    的头像 发表于 07-10 10:29 1506次阅读
    从CVE-2024-6387 OpenSSH Server <b class='flag-5'>漏洞</b>谈谈企业<b class='flag-5'>安全</b>运营与应急响应

    小米科技高级安全专家:智能汽车Tbox安全漏洞分析

    GeekPwn和汽车安全比赛并荣获多项大奖。精通IOT、移动端和车联网安全。在车联网安全体系建设和漏洞挖掘上有着丰富的安全经验和深入的研究。
    的头像 发表于 05-27 14:31 1232次阅读
    小米科技高级<b class='flag-5'>安全</b>专家:智能汽车Tbox<b class='flag-5'>安全漏洞</b>分析

    Adobe修复35项安全漏洞,主要涉及Acrobat和FrameMaker

    值得关注的是,Adobe对Acrobat及Acrobat Reader软件的漏洞修复最为重视,共修复了12个漏洞,其中9个为“远程执行代码”严重漏洞,主要由RAM的“Use After Free”类型
    的头像 发表于 05-16 15:12 731次阅读

    PuTTY等工具曝严重安全漏洞:可还原私钥和伪造签名

    据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60个签名,攻击者即可还原私钥。为应对此风险,官方更新推出0.81版本,呼吁使用者尽快升级。
    的头像 发表于 04-18 10:06 657次阅读

    微软修复两个已被黑客利用攻击的零日漏洞

    此次更新的精英账号“泄露型”安全漏洞(代号:CVE-2024-26234)源于代理驱动程序欺骗漏洞。萝卜章利用可信的微软硬件发布证书签名恶意驱动程序。
    的头像 发表于 04-10 14:39 556次阅读

    iOS 17.4.1修复两安全漏洞,涉及多款iPhone和iPad

     据报道,iOS/iPadOS17.4.1主要解决了Google Project Zero团队成员Nick Galloway发现并报告的两大安全漏洞(CVE-2024-1580)。
    的头像 发表于 03-26 10:47 728次阅读

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备中的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由苹果、高通、AMD和Imagination制造的多种图形处理器。根据报告,iPhone 12和M2 MacBook Air等设备也受到了这一
    的头像 发表于 01-18 14:26 677次阅读

    源代码审计怎么做?有哪些常用工具

    源代码审计是一种通过检查源代码来发现潜在的安全漏洞的方法。 下面是常用的源代码审计工具: 1、Fortify:通过内置的五大主要分析引擎,对源代码进行静态分析,并与特有的软件安全漏洞规则集进行全面
    发表于 01-17 09:35

    POC管理和漏洞扫描小工具

    工具是采用javafx编写,使用sqllite进行poc储存的poc管理和漏洞扫描集成化工具。主要功能是poc管理,并且采用多线程进行漏洞扫描。
    的头像 发表于 01-09 11:01 806次阅读
    POC管理和<b class='flag-5'>漏洞</b>扫描小<b class='flag-5'>工具</b>

    网络安全测试工具有哪些类型

    网络安全测试工具是指用于评估和检测系统、网络和应用程序的安全性的一类软件工具。这些工具可以帮助组织和企业发现潜在的
    的头像 发表于 12-25 15:00 1282次阅读