《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > “魔高一丈,道高一尺”--英特爾推動(dòng)芯片級硬件支持的威脅檢測

“魔高一丈,道高一尺”--英特爾推動(dòng)芯片級硬件支持的威脅檢測

2021-08-15
來源:網(wǎng)空閑話
關(guān)鍵詞: 英特爾 威脅檢測

  網(wǎng)絡(luò)安全的強(qiáng)度取決于它最下面的硬件層。最底層不是操作系統(tǒng),而是操作系統(tǒng)所在的硬件和固件,。通常認(rèn)為安全是由安全應(yīng)用程序軟件提供的。但是安全性強(qiáng)度取決于底層安全強(qiáng)度——因此攻擊者可以通過破壞安全應(yīng)用程序下面的操作系統(tǒng)來破壞安全軟件。近年來,,微軟在保護(hù)Windows操作系統(tǒng)方面做了很多工作——但在操作系統(tǒng)之下是硬件和驅(qū)動(dòng)它的固件。2019年10月,,安全周刊曾經(jīng)報(bào)道,,Microsoft 正在與 PC 制造商和芯片合作伙伴合作設(shè)計(jì)具有更安全固件層的設(shè)備。該計(jì)劃旨在借助 Secured-core PC(將安全最佳實(shí)踐應(yīng)用于固件的設(shè)備)來對抗專門針對固件和操作系統(tǒng)級別的威脅,。這家科技巨頭解釋說,,這些設(shè)備專為金融服務(wù)、政府和醫(yī)療保健等行業(yè)以及處理高度敏感的 IP,、客戶或個(gè)人數(shù)據(jù)的工作人員而設(shè)計(jì),。

  如果攻擊者進(jìn)入到操作系統(tǒng)底層并進(jìn)入固件,那么運(yùn)行在操作系統(tǒng)之上的安全系統(tǒng)幾乎不可能看到攻擊,,也幾乎沒有能力減輕攻擊,。一個(gè)成功的固件攻擊——比如俄羅斯的Fancy Bear集團(tuán)(又名APT28或鍶)使用的手法,在重新安裝操作系統(tǒng)甚至更換硬盤后仍能存活下來,。由于這個(gè)原因,,針對固件的高級攻擊在最近幾年急劇增加。

  2021年3月,微軟研究報(bào)告稱,,超過80%的企業(yè)在過去兩年經(jīng)歷了至少一次固件攻擊,,但只有29%的安全預(yù)算用于保護(hù)固件。

  對于固件和其他硬件級別的問題沒有簡單的解決方案——它基本上需要重新思考硅功能,、硬件實(shí)踐以及這些固件與操作系統(tǒng)之間的關(guān)系,。這樣的合作計(jì)劃已經(jīng)實(shí)施了好幾年,產(chǎn)生了被微軟稱為“安全核”的新型個(gè)人電腦,。

  這種新型安全PC的基礎(chǔ)是底層芯片安全,。安全核PC結(jié)合了信任的硬件根、固件保護(hù),、管理程序強(qiáng)制的代碼完整性,,以及隔離和安全的身份和域憑據(jù)。

  《安全周刊》(SecurityWeek)采訪了英特爾(Intel)業(yè)務(wù)客戶規(guī)劃總監(jiān)邁克爾,?諾德奎斯特(Michael Nordquist),,了解了這家芯片巨頭在確保從芯片級以上的最新和未來電腦安全方面所發(fā)揮的作用。

  英特爾硬件保護(hù)

  “安全核”PC 的硅安全部分只是英特爾正在進(jìn)行的硬件安全計(jì)劃的一部分,。

  隨著黑客不斷提升他們的技術(shù),,越來越多地轉(zhuǎn)向硬件基礎(chǔ)設(shè)施,英特爾認(rèn)為,,各種規(guī)模的組織都必須投資于更好的技術(shù)——從端點(diǎn)到網(wǎng)絡(luò)邊緣再到云端,。

  英特爾描述其安全技術(shù)計(jì)劃涵蓋三個(gè)主要領(lǐng)域:基礎(chǔ)安全、工作負(fù)載和數(shù)據(jù)保護(hù)以及軟件可靠性,。

  其安全產(chǎn)品的核心是 Intel Hardware Shield,,這是一組安全技術(shù),能夠監(jiān)控 CPU 行為是否有惡意活動(dòng)的跡象,,并使用GPU來幫助加速內(nèi)存掃描,。

  Intel Hardware Shield 的核心是 TDT(威脅檢測技術(shù)),這是一組利用芯片級遙測和加速功能的工具,,可幫助查明勒索軟件,、加密挖礦、無文件腳本和其他針對性攻擊的早期跡象,。

  據(jù)英特爾稱,,TDT已經(jīng)更新了一項(xiàng)名為“目標(biāo)檢測”的功能,該功能將機(jī)器學(xué)習(xí)與硬件遙測相結(jié)合,,以概括,、漏洞利用和檢測他們的行為。

  該公司將 TDT 的高級平臺(tái)遙測描述為不需要侵入式掃描技術(shù)或簽名數(shù)據(jù)庫的“低開銷工具”,。

  諾德奎斯特說,,“使用我們在芯片級的遙測技術(shù),,”“我們可以看到操作系統(tǒng)看不到的東西。如果我們看到某種形式的奇怪加密進(jìn)入硬盤驅(qū)動(dòng)器,,我們可以向它拋出一個(gè)標(biāo)志,。這是異常行為,,可能表明存在勒索軟件感染,。這些是我們能夠在設(shè)備級別做的事情?!?/p>

  英特爾控制流執(zhí)行技術(shù)(Intel CET)

  英特爾于2020年6月宣布的控制流執(zhí)行技術(shù)屬于軟件可靠性類別,,可提供進(jìn)一步保護(hù),防止基于跳轉(zhuǎn)/面向調(diào)用編程(JOP/COP)和面向返回編程(ROP)內(nèi)存的攻擊,。

  根據(jù)諾德奎斯特的說法,,CET為軟件開發(fā)人員提供了兩個(gè)關(guān)鍵功能來幫助抵御控制流劫持惡意軟件:影子堆棧和間接分支跟蹤。第一個(gè)提供針對跳轉(zhuǎn)/面向調(diào)用編程 (JOP/COP) 攻擊方法的間接分支保護(hù),,而第二個(gè)提供返回地址保護(hù)以幫助防御面向返回編程 (ROP) 攻擊方法,。

  JOP或ROP攻擊難以檢測或預(yù)防,因?yàn)槁┒蠢镁帉懻咭砸环N創(chuàng)造性的方式使用從可執(zhí)行內(nèi)存運(yùn)行的現(xiàn)有代碼來改變程序行為,。從本質(zhì)上講,,英特爾CET是一種基于硬件的解決方案,當(dāng)黑客試圖修改程序的自然流程時(shí),,它會(huì)觸發(fā)異常,。

  “我們?nèi)ツ晖瞥隽嗽摦a(chǎn)品,”諾德奎斯特繼續(xù)說道,?!霸诎l(fā)布后的幾個(gè)月內(nèi),我們就獲得了操作系統(tǒng)支持以幫助防止攻擊,。您只需單擊即可升級到最新版本的操作系統(tǒng),。因此,我們發(fā)現(xiàn)了一個(gè)問題,,看看我們可以在哪里增加價(jià)值,,我們確定是否有需要合作的合作伙伴來解決完整的端到端問題,然后讓我們的最終客戶或IT商店只是吸收它,?!?/p>

  英特爾CET已經(jīng)在Windows版 Google Chrome中啟用,微軟在其新的“超級安全模式”Edge瀏覽器安全實(shí)驗(yàn)中采用了該技術(shù),。

  ‘不相信任何人'

  英特爾稱之為“不信任任何人”的零信任是該公司已接受的安全愿景,。英特爾將其芯片描述為“芯片上的網(wǎng)絡(luò)”,并正在該網(wǎng)絡(luò)中實(shí)施零信任,。這包括諸如“功能故障和安全”之類的概念,,以確保在例如冷啟動(dòng)攻擊之后沒有秘密存在,;“完全調(diào)解”以檢查每個(gè)訪問的合法性;“最低權(quán)限”以最小化每個(gè)硬件代理的權(quán)限,,同時(shí)最小化權(quán)限“蠕變”,;等等。

  通過這些和其他硅級開發(fā)確保芯片的完整性后,,零信任可以在頂部和更廣泛的商業(yè)網(wǎng)絡(luò)中分層實(shí)施,。每臺(tái)P 都可以被唯一識(shí)別,并且其中包含的芯片是可信的,。下一步是確保設(shè)備本身以及設(shè)備的用戶或所有者的完整性,。

  將此添加到其他新的硬件安全功能(例如固件保護(hù))中,您就可以說“我知道這個(gè)設(shè)備并且我知道我可以信任它”有堅(jiān)實(shí)的基礎(chǔ),。剩下的就是確認(rèn)用戶的身份,。這對于不斷發(fā)展的混合家庭/辦公室工作環(huán)境更為重要,因?yàn)榧抑械腜C受到的保護(hù)要少得多,。

  英特爾對從硬件級別向上的零信任愿景的支持正在進(jìn)行中,,但其目的無非是消除互聯(lián)網(wǎng)通信中所需的VPN——因?yàn)樵O(shè)備及其用戶可以信任,并且通信可以加密,。

  硬件升級周期

  十年前,,公司將處于五年或六年的操作系統(tǒng)更換周期,以及三年或四年的PC 更換周期,。這意味著,,在大多數(shù)情況下,新的硬件功能可以準(zhǔn)備好供下一個(gè)操作系統(tǒng)版本利用它們,。這已經(jīng)改變了,。

  “Win10和現(xiàn)在Win11的美妙之處在于,大多數(shù)企業(yè)都處于6,、9或12個(gè)月的周期,,這意味著我們 [英特爾] 能夠每6、9或12 個(gè)月提供一次操作系統(tǒng)可以快速支持的新硬件功能,。與從XP升級到Win7相比,,人們可以更輕松地從操作系統(tǒng)的一個(gè)版本升級到下一個(gè)版本。只需大約一個(gè)小時(shí)的下載和重新啟動(dòng),?!?/p>

  但這只是顛倒了主要問題?!坝袝r(shí),,問題可以通過可下載的固件更新來解決,”諾德奎斯特說,。如今,,已安裝的操作系統(tǒng)已準(zhǔn)備好利用此類硬件安全改進(jìn),,但必須等待公司將老化的計(jì)算機(jī)替換為包含硬件改進(jìn)的最新型號(hào)。

  諾德奎斯特認(rèn)為硬件更換周期正在縮短,。他的論點(diǎn)是,,董事會(huì)和現(xiàn)代 CISO 現(xiàn)在對網(wǎng)絡(luò)安全有一個(gè)整體的看法——部分原因是勒索軟件等攻擊的潛在災(zāi)難性影響,以及遠(yuǎn)程計(jì)算機(jī)保護(hù)不力的新問題,?!八裕彼f,,“公司正在從整體上考慮,,我如何才能真正解決這個(gè)問題,?我能做什么,?我如何獲得針對其中某些情況的最佳保護(hù)?他們意識(shí)到它需要是硬件和軟件的結(jié)合,?!本W(wǎng)絡(luò)安全的整體視圖需要操作系統(tǒng)和硬件更換周期更緊密地結(jié)合。

  這只會(huì)給企業(yè)帶來額外的預(yù)算壓力,,只有最富有的公司才能做到這一點(diǎn),。我們從一些組織更換 Windows XP系統(tǒng)所用的時(shí)間長度了解到,許多公司要么負(fù)擔(dān)不起更定期更換硬件的費(fèi)用,,要么有額外的限制(例如可能對老化的專有軟件的操作依賴)來阻止它們,。

  最好的解決方案是找到某種方法來像我們現(xiàn)在升級操作系統(tǒng)一樣快速、輕松地升級硬件,。是否可以重新設(shè)計(jì)芯片,、主板和PC,以便硬件升級可以是用戶執(zhí)行的芯片更換(或額外的芯片插件),,而無需更換整個(gè)盒子,?這在未來可能會(huì)或可能不會(huì)在技術(shù)上實(shí)現(xiàn)。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。