最近對企業級應用程序中的關鍵任務邊緣計算系統的高調黑客攻擊表明，黑客在試圖避免被發現時變得越來越聰明和復雜。由于 IT 安全性和可見性工作仍主要集中在應用層堆棧的較高位置，不良行為者正試圖在固件級別進一步破壞堆棧中的系統。隨著這種威脅環境的演變，防御這些入侵變得越來越緊迫，盡管具體如何做到這一點的細節仍然經常被忽視。然而，在提出固件入侵解決方案之前，重要的是要了解它們發生的原因和方式，以及攻擊者的近期和長期目標是什么。

面臨計算平臺的持續威脅環境

企業中的邊緣計算平臺是網絡犯罪分子的主要目標。然而，企業已經意識到他們的漏洞并引入了一系列安全軟件來預防和檢測攻擊。這些解決方案中有很大一部分僅在堆棧頂部的應用程序級別上運行。聰明的黑客已經意識到，如果他們在固件級別進入應用層之下的系統，他們可以避開軟件和操作系統安全的檢測。

“……修復固件或硬件中的零日黑客攻擊可能非常耗時，導致有問題的系統比軟件漏洞更容易受到攻擊?！?/p>

因為破解固件需要更高的難度，所以它不像堆棧中的更高層那樣受到良好的監控和防御。固件，甚至更大程度的硬件，也不像軟件那樣容易修補或更新，而且成本更高。一旦進入固件，黑客可以禁用遠程固件更新，從而無法遠程修復，因此需要對固件進行物理訪問的技術人員進行服務，通常需要完全關閉和現場訪問，這對于大規模部署。這個過程意味著修復固件或硬件中的零日黑客攻擊可能非常耗時，導致有問題的系統比軟件漏洞更容易受到攻擊。這些因素導致了來自國家支持的參與者以及規模較小、資源較少但仍然危險的私人團體的固件攻擊頻率的上升。

固件攻擊的目標

缺乏相應的防御和可見性工具、修補難度的增加以及更高價值的數據和損害都導致黑客的固件攻擊激增。美國國家標準與技術研究院 (NIST) 的國家漏洞數據庫 (NVD)顯示，自 2018 年以來，針對固件的攻擊增加了 500%，而來自微軟新報告的調查數據顯示，83% 的企業 IT 決策者擁有在過去兩年中，系統遭受了固件攻擊，但只有 29% 的平均安全預算用于保護固件級別。這是不可持續的：Gartner 的一份報告預測，“到 2022 年，70% 沒有制定固件升級計劃的組織將因固件漏洞而遭到破壞。”

“……幾乎不可能從軟件堆棧中發現固件或硬件惡意軟件?！?/p>

雖然增加固件保護支出對于幾乎任何組織來說都是朝著正確方向邁出的明顯一步，但對固件面臨的威脅的性質和目標進行教育是另一個謹慎的做法。攻擊者試圖做什么？

為了回答第一個問題，黑客在執行固件攻擊時會嘗試實現一些目標。第一個涉及建立持久性，以便通過將惡意軟件綁定到給定設備或系統的硬件而不是其軟件來在系統重啟后幸存下來。在許多情況下，已經獲得持久性的入侵甚至可以在操作系統格式和恢復嘗試中幸存下來。隱身是下一個目標，因為幾乎不可能從軟件堆棧中發現固件或硬件惡意軟件。

從這個位置來看，黑客基本上已經確立了終極平臺拆遷向量。大多數固件或硬件惡意軟件代碼與操作系統無關，因此通過隱身和特權保護，攻擊者有能力完全破壞平臺，以至于需要進行物理替換。然而，破壞可能不是最終目標，因為攻擊者可以利用破壞威脅來強制支付贖金或在暗網上出售數據。近年來，一些備受矚目的違規行為已經形成了這種形式，因為黑客不會試圖抓住、破壞或利用數據，而是會簡單地將其發布給公眾，就像2018 年喜達屋黑客事件、2019 年 Facebook 黑客事件一樣，以及2021 年的 LinkedIn 漏洞。

固件攻擊如何運作？

固件攻擊可以選擇多種向量，因為固件幾乎被計算系統中的每個組件所依賴。系統啟動固件是自啟動以來加載并保留在內存中的第一件事，系統管理模式 (SMM) 固件在運行時用于允許獨立的低級操作，基板管理控制器 (BMC) 啟用帶外服務器管理，和網卡 (RDMA)、USB、HDD 和 SSD 都包含固件。黑客如何突破這些攻擊面？通常通過以下幾種方式之一，從軟件層向下，從硬件層向上，直接通過網絡，或通過物理訪問系統。

從軟件級別開始的固件攻擊可以通過任何數量的常見策略（如網絡釣魚）進入，并通過利用固件更新代理無法要求簽名更新等漏洞向下進展到固件級別。另一種方法是使用合法的審計工具（如 CHIPSEC）來映射可以被利用的固件問題。

無論向量是什么……事實是，企業級應用程序中的邊緣計算系統面臨的威脅形勢是可怕的。

從硬件往上走則相反。一個值得注意的變化涉及在部署前或部署后破壞供應鏈中的設備。這種方法近年來勢頭強勁，因為要跟蹤整個供應鏈并在完全安全的范圍內驗證每個組件是極其困難的。如果沒有足夠的跟蹤、可見性和驗證，肯定會出現漏洞。其他硬件方法涉及破壞 USB 設備，然后將其以物理或數字方式插入系統端點。“邪惡女仆”攻擊是另一種策略。此方法需要對設備進行物理訪問，以便攻擊者可以從軟件、固件和硬件級別進行攻擊以破壞系統。

另一種策略是，當固件組件直接連接到互聯網時，直接通過系統網絡進行攻擊，這通常是因為易受攻擊的組件被配置為允許帶外更新。無論向量是什么，無論攻擊看起來多么簡單或復雜，事實是邊緣計算系統在企業級應用程序中面臨的威脅是可怕的。物聯網基礎設施開發商和IT安全部門可能想知道從哪里開始。答案是在開機時。

安全性必須從硬件信任根開始

為了保護系統免受更加雄心勃勃和創造性的攻擊者的攻擊，信任根 (RoT) 作為一個實體是必要的，用于檢查堆棧的每一層，從硬件啟動到固件加載、操作系統運行時直到正在運行的應用程序，在整個堆棧中。根據該協議，每個硬件和固件組件都必須通過檢查絕對值得信賴的 RoT 來進行身份驗證和授權。計算組件以這種方式值得信賴的唯一方法是它是不可變的，這種情況排除了任何類型的軟件解決方案作為選項。因此需要硬件解決方案，通常涉及存儲與設備所有者直接相關的加密密鑰，設備所有者在機器的硅片中而不是在隔離實現中的軟件中提供密鑰。

專用的安全處理器會創建一個無法從 CPU 訪問的信任錨。

可信平臺模塊 (TPM) 與計算系統的處理器分開，并作為一種黑匣子發揮作用，攻擊者將難以訪問甚至看到它，被分配來保存有價值的資產，如密鑰、憑據和敏感數據，同時只擁有低級資產。級操作。與容易受到試錯攻擊的基于處理器的系統不同，黑客嘗試各種技術以收集有關系統防御的信息，TPM 對潛在入侵者的可見性非常低。然而，TPM 還不夠安全，而且它們已被證明使用起來很復雜。

也就是說，隔離實現的想法是正確的。專用的安全處理器會創建一個無法從 CPU 訪問的信任錨。信任鏈可以從那里擴展。安全防御與攻擊者保持隔離，從而為安全應用程序創造架構優勢，防止攻擊者禁用或規避防御。通過在硬件中生成密鑰和加密數據，黑客無法從軟件中訪問它們。

OCP 標準化和 FPGA 靈活性

開放計算項目在其 RoT 規范的開放標準版本 1.0中倡導硬件 RoT，行業推動者和動搖者認為這對于企業數據中心安全以及超大規模企業至關重要。到目前為止，超大規模用戶必須為固件保護構建自己的定制解決方案，但隨著 RoT 的標準化，我們現在可以期待這項技術可用于所有數據中心。它甚至可能最終可用于消費類 PC，因為符合 OCP 的 RoT 甚至可以防止涉及物理閃存組件更換的攻擊。

這個正式規范具有雙重重要性：除了防止固件持久性攻擊之外，它還幫助固件開發人員了解如何開發更安全且漏洞更少的固件，盡管這些學習可能難以實施。

在系統硬件或隔離的安全處理器上建立 RoT 的問題在于，在設計上它們很難訪問或影響。這使它們對不良行為者更加安全，但在發現新漏洞或需要新功能時使它們不那么靈活。這就是現場可編程門陣列 (FPGA) 可以發揮作用的地方。FPGA 是一種與處理器分離的半導體器件，可在制造后進行配置，這使程序員可以調整其更大系統的組件的結構，而無需承擔大量的財務或時間負擔。

Xilinx 是一家著名的 FPGA 制造商，Kameleon 與其合作創建了主動安全處理單元 (ProSPU)。此 ProSPU 與現有無源解決方案的工作方式不同，它在根和運行時保護系統，這是賽靈思 FPGA 芯片支持的功能，符合安全啟動、遠程證明和常見威脅范圍的 OCP 標準。

結論

總而言之，企業和工業級別的邊緣平臺所有者需要意識到的是，他們的系統非常脆弱——尤其是在固件級別。企業不能再依賴傳統的保護方法。針對此級別的攻擊的嚴重性和復雜性正在升級，因此需要一個硬件信任根，它可用于驗證和授權對任何堆棧級別的訪問和更改，并且足夠靈活以適應新漏洞并使安全應用程序能夠做他們的工作。此 RoT 需要能夠從安全啟動擴展到運行時——在不影響性能的情況下檢測和預防事件和違規行為。

審核編輯 黃昊宇