“魔高一丈,道高一尺”--英特尔推动芯片级硬件支持的威胁检测

网络安全的强度取决于它最下面的硬件层。最底层不是操作系统,而是操作系统所在的硬件和固件。通常认为安全是由安全应用程序软件提供的。但是安全性强度取决于底层安全强度——因此攻击者可以通过破坏安全应用程序下面的操作系统来破坏安全软件。近年来,微软在保护Windows操作系统方面做了很多工作——但在操作系统之下是硬件和驱动它的固件。2019年10月,安全周刊曾经报道,Microsoft 正在与 PC 制造商和芯片合作伙伴合作设计具有更安全固件层的设备。该计划旨在借助 Secured-core PC(将安全最佳实践应用于固件的设备)来对抗专门针对固件和操作系统级别的威胁。这家科技巨头解释说,这些设备专为金融服务、政府和医疗保健等行业以及处理高度敏感的 IP、客户或个人数据的工作人员而设计。

如果攻击者进入到操作系统底层并进入固件,那么运行在操作系统之上的安全系统几乎不可能看到攻击,也几乎没有能力减轻攻击。一个成功的固件攻击——比如俄罗斯的Fancy Bear集团(又名APT28或锶)使用的手法,在重新安装操作系统甚至更换硬盘后仍能存活下来。由于这个原因,针对固件的高级攻击在最近几年急剧增加。

2021年3月,微软研究报告称,超过80%的企业在过去两年经历了至少一次固件攻击,但只有29%的安全预算用于保护固件。

对于固件和其他硬件级别的问题没有简单的解决方案——它基本上需要重新思考硅功能、硬件实践以及这些固件与操作系统之间的关系。这样的合作计划已经实施了好几年,产生了被微软称为“安全核”的新型个人电脑。

这种新型安全PC的基础是底层芯片安全。安全核PC结合了信任的硬件根、固件保护、管理程序强制的代码完整性,以及隔离和安全的身份和域凭据。

《安全周刊》(SecurityWeek)采访了英特尔(Intel)业务客户规划总监迈克尔•诺德奎斯特(Michael Nordquist),了解了这家芯片巨头在确保从芯片级以上的最新和未来电脑安全方面所发挥的作用。

英特尔硬件保护

“安全核”PC 的硅安全部分只是英特尔正在进行的硬件安全计划的一部分。

随着黑客不断提升他们的技术,越来越多地转向硬件基础设施,英特尔认为,各种规模的组织都必须投资于更好的技术——从端点到网络边缘再到云端。

英特尔描述其安全技术计划涵盖三个主要领域:基础安全、工作负载和数据保护以及软件可靠性。

其安全产品的核心是 Intel Hardware Shield,这是一组安全技术,能够监控 CPU 行为是否有恶意活动的迹象,并使用GPU来帮助加速内存扫描。

Intel Hardware Shield 的核心是 TDT(威胁检测技术),这是一组利用芯片级遥测和加速功能的工具,可帮助查明勒索软件、加密挖矿、无文件脚本和其他针对性攻击的早期迹象。

据英特尔称,TDT已经更新了一项名为“目标检测”的功能,该功能将机器学习与硬件遥测相结合,以概括、漏洞利用和检测他们的行为。

该公司将 TDT 的高级平台遥测描述为不需要侵入式扫描技术或签名数据库的“低开销工具”。

诺德奎斯特说,“使用我们在芯片级的遥测技术,”“我们可以看到操作系统看不到的东西。如果我们看到某种形式的奇怪加密进入硬盘驱动器,我们可以向它抛出一个标志。这是异常行为,可能表明存在勒索软件感染。这些是我们能够在设备级别做的事情。”

英特尔控制流执行技术(Intel CET)

英特尔于2020年6月宣布的控制流执行技术属于软件可靠性类别,可提供进一步保护,防止基于跳转/面向调用编程(JOP/COP)和面向返回编程(ROP)内存的攻击。

根据诺德奎斯特的说法,CET为软件开发人员提供了两个关键功能来帮助抵御控制流劫持恶意软件:影子堆栈和间接分支跟踪。第一个提供针对跳转/面向调用编程 (JOP/COP) 攻击方法的间接分支保护,而第二个提供返回地址保护以帮助防御面向返回编程 (ROP) 攻击方法。

JOP或ROP攻击难以检测或预防,因为漏洞利用编写者以一种创造性的方式使用从可执行内存运行的现有代码来改变程序行为。从本质上讲,英特尔CET是一种基于硬件的解决方案,当黑客试图修改程序的自然流程时,它会触发异常。

“我们去年推出了该产品,”诺德奎斯特继续说道。“在发布后的几个月内,我们就获得了操作系统支持以帮助防止攻击。您只需单击即可升级到最新版本的操作系统。因此,我们发现了一个问题,看看我们可以在哪里增加价值,我们确定是否有需要合作的合作伙伴来解决完整的端到端问题,然后让我们的最终客户或IT商店只是吸收它。”

英特尔CET已经在Windows版 Google Chrome中启用,微软在其新的“超级安全模式”Edge浏览器安全实验中采用了该技术。

'不相信任何人'

英特尔称之为“不信任任何人”的零信任是该公司已接受的安全愿景。英特尔将其芯片描述为“芯片上的网络”,并正在该网络中实施零信任。这包括诸如“功能故障和安全”之类的概念,以确保在例如冷启动攻击之后没有秘密存在;“完全调解”以检查每个访问的合法性;“最低权限”以最小化每个硬件代理的权限,同时最小化权限“蠕变”;等等。

通过这些和其他硅级开发确保芯片的完整性后,零信任可以在顶部和更广泛的商业网络中分层实施。每台P 都可以被唯一识别,并且其中包含的芯片是可信的。下一步是确保设备本身以及设备的用户或所有者的完整性。

将此添加到其他新的硬件安全功能(例如固件保护)中,您就可以说“我知道这个设备并且我知道我可以信任它”有坚实的基础。剩下的就是确认用户的身份。这对于不断发展的混合家庭/办公室工作环境更为重要,因为家中的PC受到的保护要少得多。

英特尔对从硬件级别向上的零信任愿景的支持正在进行中,但其目的无非是消除互联网通信中所需的VPN——因为设备及其用户可以信任,并且通信可以加密。

硬件升级周期

十年前,公司将处于五年或六年的操作系统更换周期,以及三年或四年的PC 更换周期。这意味着,在大多数情况下,新的硬件功能可以准备好供下一个操作系统版本利用它们。这已经改变了。

“Win10和现在Win11的美妙之处在于,大多数企业都处于6、9或12个月的周期,这意味着我们 [英特尔] 能够每6、9或12 个月提供一次操作系统可以快速支持的新硬件功能。与从XP升级到Win7相比,人们可以更轻松地从操作系统的一个版本升级到下一个版本。只需大约一个小时的下载和重新启动。”

但这只是颠倒了主要问题。“有时,问题可以通过可下载的固件更新来解决,”诺德奎斯特说。如今,已安装的操作系统已准备好利用此类硬件安全改进,但必须等待公司将老化的计算机替换为包含硬件改进的最新型号。

诺德奎斯特认为硬件更换周期正在缩短。他的论点是,董事会和现代 CISO 现在对网络安全有一个整体的看法——部分原因是勒索软件等攻击的潜在灾难性影响,以及远程计算机保护不力的新问题。“所以,”他说,“公司正在从整体上考虑,我如何才能真正解决这个问题?我能做什么?我如何获得针对其中某些情况的最佳保护?他们意识到它需要是硬件和软件的结合。”网络安全的整体视图需要操作系统和硬件更换周期更紧密地结合。

这只会给企业带来额外的预算压力,只有最富有的公司才能做到这一点。我们从一些组织更换 Windows XP系统所用的时间长度了解到,许多公司要么负担不起更定期更换硬件的费用,要么有额外的限制(例如可能对老化的专有软件的操作依赖)来阻止它们.

最好的解决方案是找到某种方法来像我们现在升级操作系统一样快速、轻松地升级硬件。是否可以重新设计芯片、主板和PC,以便硬件升级可以是用户执行的芯片更换(或额外的芯片插件),而无需更换整个盒子?这在未来可能会或可能不会在技术上实现。

参考资源

1、https://www.securityweek.com/closer-look-intels-hardware-enabled-threat-detection-push

2、https://www.securityweek.com/microsoft-invests-securing-device-firmware

标签: