解决企业边缘计算平台上不断增长的固件攻击威胁

文章作者：Jorge Myszne

最近在企业级应用程序中对关键任务边缘计算系统进行的引人注目的黑客攻击表明，黑客在试图避免被发现时变得越来越聪明和成熟。由于IT安全性和可视性工作仍然主要集中在应用层的更高层次上，不好的参与者正在寻求在固件级别进一步破坏系统。随着这一威胁环境的演变，防御这些入侵变得越来越紧迫，尽管具体如何做到这一点经常被忽视。然而，在提出固件入侵解决方案之前，重要的是要了解它们发生的原因和方式，以及攻击者的近期和长期目标是什么。

计算平台面临的持续威胁环境

企业中的边缘计算平台是网络罪犯的主要目标。然而，企业已经意识到它们的弱点，并引入了一组安全软件来防止和检测攻击。这些解决方案中有很大一部分只在堆栈顶部的应用程序级别上操作。聪明的黑客已经意识到，如果他们在固件级别的应用程序层之下进入系统，他们可以避免来自软件和操作系统安全的检测。

因为要破解固件需要更高的难度，所以它的监控和防御不如堆栈中较高层那么好。固件,在更大程度上是硬件，也不像软件那么容易打补丁或更新，成本也高得多。一旦进入固件，黑客可以禁用远程固件更新，使其无法远程修复，因此需要物理访问固件的技术人员的服务，通常需要完全关闭和现场访问，这对于大规模部署可能是相当昂贵的。这一过程意味着修复零日的固件或硬件黑客可能会非常耗时，使系统容易受到攻击的时间比软件入侵的时间更长。这些因素导致了固件攻击频率的上升，攻击者既有国家支持的行为者，也有规模较小、资源不足但仍然危险的私人组织。

固件攻击的目标

由于缺乏相应的防御和可见性工具，打补丁的难度增加，以及更高价值的数据和损害都导致了黑客攻击固件的激增。美国国家标准与技术研究所(NIST)国家脆弱性数据库(NVD)显示自2018年以来，对固件的攻击增加了500%，调查数据来自新微软报告显示在过去两年中，83%的企业IT决策者的系统遭受固件攻击，但平均安全预算中只有29%用于保护固件级别。这是不可持续的：Gartner的一份报告预测，“到2022年，70%没有固件升级计划的组织将因固件漏洞而被破坏。”

虽然增加固件保护的花费对几乎任何组织来说都是朝着正确的方向迈出的明显的一步，但是关于固件面临的威胁的性质和目标的教育是另一个谨慎的练习。攻击者试图做什么?

要回答第一个问题，黑客在执行固件攻击时将试图达到几个目标。第一种方法是将恶意软件捆绑到给定设备或系统的硬件而不是软件上，从而建立持久性，以便在系统重新启动时存活下来。在许多情况下，已经获得持久性的入侵甚至可以幸存OS格式并恢复尝试。隐身是下一个目标，因为几乎不可能从软件堆中发现固件或硬件恶意软件。

从这一立场出发，黑客基本上建立了最终的平台破坏载体。大多数固件或硬件恶意软件代码与操作系统无关，因此，借助隐形和权限保护，攻击者能够完全破坏平台，直至需要物理替换。然而，破坏可能不是最终目标，因为攻击者可以利用破坏威胁强制支付赎金或在黑暗网络上出售数据。近年来几起备受关注的违规事件都是这样的，因为黑客们不会试图抓住、破坏或利用数据，而是像过去一样，将数据发布给公众2018年喜达屋出租,2019年Facebook黑客事件,2021 LinkedIn违约．

固件攻击是如何工作的?

固件攻击可以选择多种载体，因为计算系统中几乎每个组件都依赖固件。系统引导固件是启动后加载并保留在内存中的第一件东西，系统管理模式（SMM）固件在运行时用于允许独立的低级操作，基板管理控制器（BMC）启用带外服务器管理，网卡（RDMA）、USB、HDD和SSD都包含固件。黑客如何突破这些攻击面？通常通过以下几种方式之一，从软件层向下，从硬件层向上，直接通过网络，或通过对系统的物理访问。

从软件级别开始的固件攻击可能通过任何数量的常见策略（如网络钓鱼）进入，并通过利用固件更新代理失败等漏洞要求签名更新而向下发展到固件级别。另一种方法是使用合法的审计工具（如CHIPSEC）来映射固件问题，然后利用这些问题进行攻击。

从硬件往上走则相反。一个值得注意的变化涉及到供应链上的妥协设备，或前期或后期部署后．这种方法在最近几年得到了发展，因为跟踪整个供应链和验证每个组件到完全安全的程度是极其困难的。如果没有足够的跟踪、可见性和验证，漏洞必然会出现。其他硬件方法包括损坏USB设备，然后将其物理或数字插入系统端点。一个“邪恶的女仆”攻击是另一个策略。这种方法需要对设备进行物理访问，因此攻击者可以从软件、固件和硬件级别进行攻击，从而危及系统。

另一种策略是当固件组件直接连接到互联网时，直接通过系统网络进行攻击，这通常是因为易受攻击的组件被配置为允许带外更新。无论向量是什么，无论攻击看起来多么简单或复杂，事实是企业级应用程序中边缘计算系统面临的威胁是可怕的。物联网基础设施开发人员和IT安全人员可能想知道从哪里开始。答案是boot。

安全性必须从硬件信任根开始

为了保护系统免受更具野心和创造性的攻击者的攻击，需要一个信任根（RoT）作为一个实体来检查整个堆栈的每一层，从硬件启动到固件加载，从操作系统运行时到运行的应用程序。根据该协议，每个硬件和固件组件都必须通过检查绝对可信的RoT来进行身份验证和授权。计算组件以这种方式可信的唯一方法是不可变，这一条件消除了作为选项的任何软件解决方案。因此，需要一种硬件解决方案，通常需要存储与设备所有者直接相关的加密密钥，设备所有者在机器的硅片中提供密钥，而不是在孤立的实现中在其软件中提供密钥。新的解决方案更进一步，将RoT完全卸载到单独的安全处理单元（SPU）芯片上，以实现对所有主板组件以及连接到系统的任何外围设备的远程认证。

可信平台模块(Trusted Platform Modules, tpm)与计算系统的处理器是分开的，它的功能类似于一个黑盒子，攻击者将难以访问甚至查看它，它被分配持有密钥、凭据和敏感数据等有价值的资产，而只拥有低级别的操作。与基于处理器的系统易受试错攻击(黑客尝试各种技术来收集系统防御的信息)不同，tpm很少为潜在入侵者提供可见性。然而，tpm还不够安全，而且使用起来也很复杂。

也就是说，孤立实现的想法是正确的。专用安全处理器创建无法从CPU访问的信任锚。信任链可以从这里扩展。安全防御与攻击者保持隔离，从而为安全应用程序创建了一个架构优势，防止攻击者禁用或规避防御。通过在硬件中生成密钥和加密数据，黑客无法从软件中访问它们。

OCP标准化与FPGA灵活性

开放计算项目提倡在开放标准中使用硬件RoT版本1.0的RoT规范，行业的推动者和颠覆者认为这是企业数据中心安全以及超规模者的关键。到目前为止，超级计算者必须为固件保护构建自己的定制解决方案，但是随着rot的标准化，我们现在可以期待这项技术可以用于所有数据中心。它甚至可能最终用于个人电脑，因为符合ocp的rot甚至可以防止涉及物理Flash组件更换的攻击。

此正式规范具有双重重要性：除了防止固件持久性攻击外，它还帮助固件开发人员了解如何开发更安全、漏洞更少的固件，尽管这些经验很难实现。

在系统硬件或独立的安全处理器上建立RoT的问题是，从设计上讲，它们很难访问或影响。这使得它们对不良参与者更安全，但当发现新的漏洞或需要新功能时，它们的灵活性就会降低。这就是现场可编程门阵列(fpga)可以进入画面的地方。FPGA是一种独立于处理器的半导体设备，可在制造后进行配置，这允许程序员调整其更大系统的组件的结构，而不需要承担相当大的财务或时间负担。

Xilinx是一家知名的FPGA制造商，Kameleon与Xilinx合作创建了主动安全处理单元(prosu)。这种prosu的工作原理与现有的被动解决方案不同，它在根目录和运行时保护系统，Xilinx FPGA芯片支持这种特性，满足安全引导、远程认证和常见威胁范围的OCP标准。

结论

总之，企业级和工业级的边缘平台所有者需要意识到的是，他们的系统非常脆弱，尤其是在固件级别。企业再也不能依靠传统的保护方法。针对该级别的攻击在严重性和复杂性上都在升级，因此需要一个硬件信任根，该信任根可用于对任何堆栈级别的访问和更改进行身份验证和授权，并具有足够的灵活性以适应新的漏洞，并使安全应用程序能够完成其工作。这种RoT需要能够从安全引导扩展到运行时——在不影响性能的情况下检测和防止事件和违规。高级管理人员和IT决策者必须通过优先考虑保护固件和硬件级别的支出，对服务器和计算系统的安全性采取主动。

这篇文章最初发表于嵌入式．

豪尔赫·迈斯涅他是半导体和网络安全方面的资深专家，也是一家公司的联合创始人兼首席执行官卡梅隆保安公司这是一家半导体初创公司，为以信任之根为起点的计算系统开发先进的硬件网络安全解决方案。