網絡安全的強度取決于它最下面的硬件層。最底層不是操作系統,而是操作系統所在的硬件和固件。通常認為安全是由安全應用程序軟件提供的。但是安全性強度取決于底層安全強度——因此攻擊者可以通過破壞安全應用程序下面的操作系統來破壞安全軟件。近年來,微軟在保護Windows操作系統方面做了很多工作——但在操作系統之下是硬件和驅動它的固件。2019年10月,安全周刊曾經報道,Microsoft 正在與 PC 制造商和芯片合作伙伴合作設計具有更安全固件層的設備。該計劃旨在借助 Secured-core PC(將安全最佳實踐應用于固件的設備)來對抗專門針對固件和操作系統級別的威脅。這家科技巨頭解釋說,這些設備專為金融服務、政府和醫療保健等行業以及處理高度敏感的 IP、客戶或個人數據的工作人員而設計。
如果攻擊者進入到操作系統底層并進入固件,那么運行在操作系統之上的安全系統幾乎不可能看到攻擊,也幾乎沒有能力減輕攻擊。一個成功的固件攻擊——比如俄羅斯的Fancy Bear集團(又名APT28或鍶)使用的手法,在重新安裝操作系統甚至更換硬盤后仍能存活下來。由于這個原因,針對固件的高級攻擊在最近幾年急劇增加。
2021年3月,微軟研究報告稱,超過80%的企業在過去兩年經歷了至少一次固件攻擊,但只有29%的安全預算用于保護固件。
對于固件和其他硬件級別的問題沒有簡單的解決方案——它基本上需要重新思考硅功能、硬件實踐以及這些固件與操作系統之間的關系。這樣的合作計劃已經實施了好幾年,產生了被微軟稱為“安全核”的新型個人電腦。
這種新型安全PC的基礎是底層芯片安全。安全核PC結合了信任的硬件根、固件保護、管理程序強制的代碼完整性,以及隔離和安全的身份和域憑據。
《安全周刊》(SecurityWeek)采訪了英特爾(Intel)業務客戶規劃總監邁克爾?諾德奎斯特(Michael Nordquist),了解了這家芯片巨頭在確保從芯片級以上的最新和未來電腦安全方面所發揮的作用。
英特爾硬件保護
“安全核”PC 的硅安全部分只是英特爾正在進行的硬件安全計劃的一部分。
隨著黑客不斷提升他們的技術,越來越多地轉向硬件基礎設施,英特爾認為,各種規模的組織都必須投資于更好的技術——從端點到網絡邊緣再到云端。
英特爾描述其安全技術計劃涵蓋三個主要領域:基礎安全、工作負載和數據保護以及軟件可靠性。
其安全產品的核心是 Intel Hardware Shield,這是一組安全技術,能夠監控 CPU 行為是否有惡意活動的跡象,并使用GPU來幫助加速內存掃描。
Intel Hardware Shield 的核心是 TDT(威脅檢測技術),這是一組利用芯片級遙測和加速功能的工具,可幫助查明勒索軟件、加密挖礦、無文件腳本和其他針對性攻擊的早期跡象。
據英特爾稱,TDT已經更新了一項名為“目標檢測”的功能,該功能將機器學習與硬件遙測相結合,以概括、漏洞利用和檢測他們的行為。
該公司將 TDT 的高級平臺遙測描述為不需要侵入式掃描技術或簽名數據庫的“低開銷工具”。
諾德奎斯特說,“使用我們在芯片級的遙測技術,”“我們可以看到操作系統看不到的東西。如果我們看到某種形式的奇怪加密進入硬盤驅動器,我們可以向它拋出一個標志。這是異常行為,可能表明存在勒索軟件感染。這些是我們能夠在設備級別做的事情。”
英特爾控制流執行技術(Intel CET)
英特爾于2020年6月宣布的控制流執行技術屬于軟件可靠性類別,可提供進一步保護,防止基于跳轉/面向調用編程(JOP/COP)和面向返回編程(ROP)內存的攻擊。
根據諾德奎斯特的說法,CET為軟件開發人員提供了兩個關鍵功能來幫助抵御控制流劫持惡意軟件:影子堆棧和間接分支跟蹤。第一個提供針對跳轉/面向調用編程 (JOP/COP) 攻擊方法的間接分支保護,而第二個提供返回地址保護以幫助防御面向返回編程 (ROP) 攻擊方法。
JOP或ROP攻擊難以檢測或預防,因為漏洞利用編寫者以一種創造性的方式使用從可執行內存運行的現有代碼來改變程序行為。從本質上講,英特爾CET是一種基于硬件的解決方案,當黑客試圖修改程序的自然流程時,它會觸發異常。
“我們去年推出了該產品,”諾德奎斯特繼續說道。“在發布后的幾個月內,我們就獲得了操作系統支持以幫助防止攻擊。您只需單擊即可升級到最新版本的操作系統。因此,我們發現了一個問題,看看我們可以在哪里增加價值,我們確定是否有需要合作的合作伙伴來解決完整的端到端問題,然后讓我們的最終客戶或IT商店只是吸收它。”
英特爾CET已經在Windows版 Google Chrome中啟用,微軟在其新的“超級安全模式”Edge瀏覽器安全實驗中采用了該技術。
‘不相信任何人'
英特爾稱之為“不信任任何人”的零信任是該公司已接受的安全愿景。英特爾將其芯片描述為“芯片上的網絡”,并正在該網絡中實施零信任。這包括諸如“功能故障和安全”之類的概念,以確保在例如冷啟動攻擊之后沒有秘密存在;“完全調解”以檢查每個訪問的合法性;“最低權限”以最小化每個硬件代理的權限,同時最小化權限“蠕變”;等等。
通過這些和其他硅級開發確保芯片的完整性后,零信任可以在頂部和更廣泛的商業網絡中分層實施。每臺P 都可以被唯一識別,并且其中包含的芯片是可信的。下一步是確保設備本身以及設備的用戶或所有者的完整性。
將此添加到其他新的硬件安全功能(例如固件保護)中,您就可以說“我知道這個設備并且我知道我可以信任它”有堅實的基礎。剩下的就是確認用戶的身份。這對于不斷發展的混合家庭/辦公室工作環境更為重要,因為家中的PC受到的保護要少得多。
英特爾對從硬件級別向上的零信任愿景的支持正在進行中,但其目的無非是消除互聯網通信中所需的VPN——因為設備及其用戶可以信任,并且通信可以加密。
硬件升級周期
十年前,公司將處于五年或六年的操作系統更換周期,以及三年或四年的PC 更換周期。這意味著,在大多數情況下,新的硬件功能可以準備好供下一個操作系統版本利用它們。這已經改變了。
“Win10和現在Win11的美妙之處在于,大多數企業都處于6、9或12個月的周期,這意味著我們 [英特爾] 能夠每6、9或12 個月提供一次操作系統可以快速支持的新硬件功能。與從XP升級到Win7相比,人們可以更輕松地從操作系統的一個版本升級到下一個版本。只需大約一個小時的下載和重新啟動。”
但這只是顛倒了主要問題。“有時,問題可以通過可下載的固件更新來解決,”諾德奎斯特說。如今,已安裝的操作系統已準備好利用此類硬件安全改進,但必須等待公司將老化的計算機替換為包含硬件改進的最新型號。
諾德奎斯特認為硬件更換周期正在縮短。他的論點是,董事會和現代 CISO 現在對網絡安全有一個整體的看法——部分原因是勒索軟件等攻擊的潛在災難性影響,以及遠程計算機保護不力的新問題。“所以,”他說,“公司正在從整體上考慮,我如何才能真正解決這個問題?我能做什么?我如何獲得針對其中某些情況的最佳保護?他們意識到它需要是硬件和軟件的結合。”網絡安全的整體視圖需要操作系統和硬件更換周期更緊密地結合。
這只會給企業帶來額外的預算壓力,只有最富有的公司才能做到這一點。我們從一些組織更換 Windows XP系統所用的時間長度了解到,許多公司要么負擔不起更定期更換硬件的費用,要么有額外的限制(例如可能對老化的專有軟件的操作依賴)來阻止它們。
最好的解決方案是找到某種方法來像我們現在升級操作系統一樣快速、輕松地升級硬件。是否可以重新設計芯片、主板和PC,以便硬件升級可以是用戶執行的芯片更換(或額外的芯片插件),而無需更換整個盒子?這在未來可能會或可能不會在技術上實現。
