最近對企業(yè)級應(yīng)用程序中的關(guān)鍵任務(wù)邊緣計算系統(tǒng)的高調(diào)黑客攻擊表明，黑客在試圖避免被發(fā)現(xiàn)時變得越來越聰明和復(fù)雜。由于 IT 安全性和可見性工作仍主要集中在應(yīng)用層堆棧的較高位置，不良行為者正試圖在固件級別進一步破壞堆棧中的系統(tǒng)。隨著這種威脅環(huán)境的演變，防御這些入侵變得越來越緊迫，盡管具體如何做到這一點的細節(jié)仍然經(jīng)常被忽視。然而，在提出固件入侵解決方案之前，重要的是要了解它們發(fā)生的原因和方式，以及攻擊者的近期和長期目標(biāo)是什么。

面臨計算平臺的持續(xù)威脅環(huán)境

企業(yè)中的邊緣計算平臺是網(wǎng)絡(luò)犯罪分子的主要目標(biāo)。然而，企業(yè)已經(jīng)意識到他們的漏洞并引入了一系列安全軟件來預(yù)防和檢測攻擊。這些解決方案中有很大一部分僅在堆棧頂部的應(yīng)用程序級別上運行。聰明的黑客已經(jīng)意識到，如果他們在固件級別進入應(yīng)用層之下的系統(tǒng)，他們可以避開軟件和操作系統(tǒng)安全的檢測。

“……修復(fù)固件或硬件中的零日黑客攻擊可能非常耗時，導(dǎo)致有問題的系統(tǒng)比軟件漏洞更容易受到攻擊?！?/p>

因為破解固件需要更高的難度，所以它不像堆棧中的更高層那樣受到良好的監(jiān)控和防御。固件，甚至更大程度的硬件，也不像軟件那樣容易修補或更新，而且成本更高。一旦進入固件，黑客可以禁用遠程固件更新，從而無法遠程修復(fù)，因此需要對固件進行物理訪問的技術(shù)人員進行服務(wù)，通常需要完全關(guān)閉和現(xiàn)場訪問，這對于大規(guī)模部署。這個過程意味著修復(fù)固件或硬件中的零日黑客攻擊可能非常耗時，導(dǎo)致有問題的系統(tǒng)比軟件漏洞更容易受到攻擊。這些因素導(dǎo)致了來自國家支持的參與者以及規(guī)模較小、資源較少但仍然危險的私人團體的固件攻擊頻率的上升。

固件攻擊的目標(biāo)

缺乏相應(yīng)的防御和可見性工具、修補難度的增加以及更高價值的數(shù)據(jù)和損害都導(dǎo)致黑客的固件攻擊激增。美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 的國家漏洞數(shù)據(jù)庫 (NVD)顯示，自 2018 年以來，針對固件的攻擊增加了 500%，而來自微軟新報告的調(diào)查數(shù)據(jù)顯示，83% 的企業(yè) IT 決策者擁有在過去兩年中，系統(tǒng)遭受了固件攻擊，但只有 29% 的平均安全預(yù)算用于保護固件級別。這是不可持續(xù)的：Gartner 的一份報告預(yù)測，“到 2022 年，70% 沒有制定固件升級計劃的組織將因固件漏洞而遭到破壞?！?/p>

“……幾乎不可能從軟件堆棧中發(fā)現(xiàn)固件或硬件惡意軟件?！?/p>

雖然增加固件保護支出對于幾乎任何組織來說都是朝著正確方向邁出的明顯一步，但對固件面臨的威脅的性質(zhì)和目標(biāo)進行教育是另一個謹(jǐn)慎的做法。攻擊者試圖做什么？

為了回答第一個問題，黑客在執(zhí)行固件攻擊時會嘗試實現(xiàn)一些目標(biāo)。第一個涉及建立持久性，以便通過將惡意軟件綁定到給定設(shè)備或系統(tǒng)的硬件而不是其軟件來在系統(tǒng)重啟后幸存下來。在許多情況下，已經(jīng)獲得持久性的入侵甚至可以在操作系統(tǒng)格式和恢復(fù)嘗試中幸存下來。隱身是下一個目標(biāo)，因為幾乎不可能從軟件堆棧中發(fā)現(xiàn)固件或硬件惡意軟件。

從這個位置來看，黑客基本上已經(jīng)確立了終極平臺拆遷向量。大多數(shù)固件或硬件惡意軟件代碼與操作系統(tǒng)無關(guān)，因此通過隱身和特權(quán)保護，攻擊者有能力完全破壞平臺，以至于需要進行物理替換。然而，破壞可能不是最終目標(biāo)，因為攻擊者可以利用破壞威脅來強制支付贖金或在暗網(wǎng)上出售數(shù)據(jù)。近年來，一些備受矚目的違規(guī)行為已經(jīng)形成了這種形式，因為黑客不會試圖抓住、破壞或利用數(shù)據(jù)，而是會簡單地將其發(fā)布給公眾，就像2018 年喜達屋黑客事件、2019 年 Facebook 黑客事件一樣，以及2021 年的 LinkedIn 漏洞。

固件攻擊如何運作？

固件攻擊可以選擇多種向量，因為固件幾乎被計算系統(tǒng)中的每個組件所依賴。系統(tǒng)啟動固件是自啟動以來加載并保留在內(nèi)存中的第一件事，系統(tǒng)管理模式 (SMM) 固件在運行時用于允許獨立的低級操作，基板管理控制器 (BMC) 啟用帶外服務(wù)器管理，和網(wǎng)卡 (RDMA)、USB、HDD 和 SSD 都包含固件。黑客如何突破這些攻擊面？通常通過以下幾種方式之一，從軟件層向下，從硬件層向上，直接通過網(wǎng)絡(luò)，或通過物理訪問系統(tǒng)。

從軟件級別開始的固件攻擊可以通過任何數(shù)量的常見策略（如網(wǎng)絡(luò)釣魚）進入，并通過利用固件更新代理無法要求簽名更新等漏洞向下進展到固件級別。另一種方法是使用合法的審計工具（如 CHIPSEC）來映射可以被利用的固件問題。

無論向量是什么……事實是，企業(yè)級應(yīng)用程序中的邊緣計算系統(tǒng)面臨的威脅形勢是可怕的。

從硬件往上走則相反。一個值得注意的變化涉及在部署前或部署后破壞供應(yīng)鏈中的設(shè)備。這種方法近年來勢頭強勁，因為要跟蹤整個供應(yīng)鏈并在完全安全的范圍內(nèi)驗證每個組件是極其困難的。如果沒有足夠的跟蹤、可見性和驗證，肯定會出現(xiàn)漏洞。其他硬件方法涉及破壞 USB 設(shè)備，然后將其以物理或數(shù)字方式插入系統(tǒng)端點?！靶皭号汀惫羰橇硪环N策略。此方法需要對設(shè)備進行物理訪問，以便攻擊者可以從軟件、固件和硬件級別進行攻擊以破壞系統(tǒng)。

另一種策略是，當(dāng)固件組件直接連接到互聯(lián)網(wǎng)時，直接通過系統(tǒng)網(wǎng)絡(luò)進行攻擊，這通常是因為易受攻擊的組件被配置為允許帶外更新。無論向量是什么，無論攻擊看起來多么簡單或復(fù)雜，事實是邊緣計算系統(tǒng)在企業(yè)級應(yīng)用程序中面臨的威脅是可怕的。物聯(lián)網(wǎng)基礎(chǔ)設(shè)施開發(fā)商和IT安全部門可能想知道從哪里開始。答案是在開機時。

安全性必須從硬件信任根開始

為了保護系統(tǒng)免受更加雄心勃勃和創(chuàng)造性的攻擊者的攻擊，信任根 (RoT) 作為一個實體是必要的，用于檢查堆棧的每一層，從硬件啟動到固件加載、操作系統(tǒng)運行時直到正在運行的應(yīng)用程序，在整個堆棧中。根據(jù)該協(xié)議，每個硬件和固件組件都必須通過檢查絕對值得信賴的 RoT 來進行身份驗證和授權(quán)。計算組件以這種方式值得信賴的唯一方法是它是不可變的，這種情況排除了任何類型的軟件解決方案作為選項。因此需要硬件解決方案，通常涉及存儲與設(shè)備所有者直接相關(guān)的加密密鑰，設(shè)備所有者在機器的硅片中而不是在隔離實現(xiàn)中的軟件中提供密鑰。

專用的安全處理器會創(chuàng)建一個無法從 CPU 訪問的信任錨。

可信平臺模塊 (TPM) 與計算系統(tǒng)的處理器分開，并作為一種黑匣子發(fā)揮作用，攻擊者將難以訪問甚至看到它，被分配來保存有價值的資產(chǎn)，如密鑰、憑據(jù)和敏感數(shù)據(jù)，同時只擁有低級資產(chǎn)。級操作。與容易受到試錯攻擊的基于處理器的系統(tǒng)不同，黑客嘗試各種技術(shù)以收集有關(guān)系統(tǒng)防御的信息，TPM 對潛在入侵者的可見性非常低。然而，TPM 還不夠安全，而且它們已被證明使用起來很復(fù)雜。

也就是說，隔離實現(xiàn)的想法是正確的。專用的安全處理器會創(chuàng)建一個無法從 CPU 訪問的信任錨。信任鏈可以從那里擴展。安全防御與攻擊者保持隔離，從而為安全應(yīng)用程序創(chuàng)造架構(gòu)優(yōu)勢，防止攻擊者禁用或規(guī)避防御。通過在硬件中生成密鑰和加密數(shù)據(jù)，黑客無法從軟件中訪問它們。

OCP 標(biāo)準(zhǔn)化和 FPGA 靈活性

開放計算項目在其 RoT 規(guī)范的開放標(biāo)準(zhǔn)版本 1.0中倡導(dǎo)硬件 RoT，行業(yè)推動者和動搖者認(rèn)為這對于企業(yè)數(shù)據(jù)中心安全以及超大規(guī)模企業(yè)至關(guān)重要。到目前為止，超大規(guī)模用戶必須為固件保護構(gòu)建自己的定制解決方案，但隨著 RoT 的標(biāo)準(zhǔn)化，我們現(xiàn)在可以期待這項技術(shù)可用于所有數(shù)據(jù)中心。它甚至可能最終可用于消費類 PC，因為符合 OCP 的 RoT 甚至可以防止涉及物理閃存組件更換的攻擊。

這個正式規(guī)范具有雙重重要性：除了防止固件持久性攻擊之外，它還幫助固件開發(fā)人員了解如何開發(fā)更安全且漏洞更少的固件，盡管這些學(xué)習(xí)可能難以實施。

在系統(tǒng)硬件或隔離的安全處理器上建立 RoT 的問題在于，在設(shè)計上它們很難訪問或影響。這使它們對不良行為者更加安全，但在發(fā)現(xiàn)新漏洞或需要新功能時使它們不那么靈活。這就是現(xiàn)場可編程門陣列 (FPGA) 可以發(fā)揮作用的地方。FPGA 是一種與處理器分離的半導(dǎo)體器件，可在制造后進行配置，這使程序員可以調(diào)整其更大系統(tǒng)的組件的結(jié)構(gòu)，而無需承擔(dān)大量的財務(wù)或時間負(fù)擔(dān)。

Xilinx 是一家著名的 FPGA 制造商，Kameleon 與其合作創(chuàng)建了主動安全處理單元 (ProSPU)。此 ProSPU 與現(xiàn)有無源解決方案的工作方式不同，它在根和運行時保護系統(tǒng)，這是賽靈思 FPGA 芯片支持的功能，符合安全啟動、遠程證明和常見威脅范圍的 OCP 標(biāo)準(zhǔn)。

結(jié)論

總而言之，企業(yè)和工業(yè)級別的邊緣平臺所有者需要意識到的是，他們的系統(tǒng)非常脆弱——尤其是在固件級別。企業(yè)不能再依賴傳統(tǒng)的保護方法。針對此級別的攻擊的嚴(yán)重性和復(fù)雜性正在升級，因此需要一個硬件信任根，它可用于驗證和授權(quán)對任何堆棧級別的訪問和更改，并且足夠靈活以適應(yīng)新漏洞并使安全應(yīng)用程序能夠做他們的工作。此 RoT 需要能夠從安全啟動擴展到運行時——在不影響性能的情況下檢測和預(yù)防事件和違規(guī)行為。

審核編輯 黃昊宇