"Secara umum, keamanan jaringan mengacu pada perlindungan jaringan, peralatan, aplikasi (program), dan data dari serangan jaringan melalui teknologi, proses, dan praktik lainnya; pemulihan perlindungan jaringan mengacu pada terjadinya peristiwa jaringan yang tidak menguntungkan (seperti serangan jaringan). Masih dapat memberikan hasil yang diharapkan secara berkelanjutan, yang meliputi keamanan informasi, kelangsungan bisnis, dan ketahanan organisasi yang komprehensif.
"
Dipengaruhi oleh pertumbuhan data yang eksplosif, migrasi skala besar ke cloud, dan penyebaran penuh jaringan 5G, serangan siber menjadi semakin tak terkendali, dan kecepatan serta akurasi serangannya terus meningkat. Data dari berbagai analisis dan lembaga penelitian mengkonfirmasi fenomena ini: Menurut laporan Accenture, pada tahun 2020, 40% serangan pengguna dunia maya berasal dari masalah rantai pasokan; Gartner memprediksi bahwa jika perusahaan-perusahaan ini tidak melakukan tindakan tepat waktu pada rencana peningkatan Firmware 2022, mengisi celah keamanan firmware, maka pada tahun 2022, 70% perusahaan akan diserbu karena celah firmware.
Secara teori, tidak ada sistem yang dapat dilindungi dari ancaman serangan, dan semua sistem berada dalam bahaya diserang. Sistem keamanan cyber tradisional dapat mencegah banyak serangan, tetapi jika firmware sistem (Firmware) berada pada level terendah, metode keamanan tradisional ini terkadang tidak berdaya.
Dalam akumulasi praktik jangka panjang, Lattice telah menemukan solusi keamanan yang benar-benar luar biasa, yaitu untuk meningkatkan tingkat sistem keamanan jaringan dengan menambahkan fungsi Ketahanan Siber, untuk mendeteksi serangan firmware yang sedang berlangsung secara real time, dan untuk Sistem dikembalikan ke keadaan yang diketahui. Inti dari semua ini adalah kita harus memastikan bahwa tidak ada yang dapat mengakses kunci enkripsi apa pun kecuali pemilik IP firmware terenkripsi.
Perbedaan antara keamanan jaringan dan pemulihan perlindungan jaringan
Secara umum, keamanan jaringan mengacu pada perlindungan jaringan, peralatan, aplikasi (program), dan data dari serangan jaringan melalui teknologi, proses, dan praktik lainnya; pemulihan perlindungan jaringan mengacu pada terjadinya peristiwa jaringan yang tidak menguntungkan (seperti serangan jaringan). Masih dapat memberikan hasil yang diharapkan secara berkelanjutan, yang meliputi keamanan informasi, kelangsungan bisnis, dan ketahanan organisasi yang komprehensif.
Sederhananya, perbedaan utama antara keduanya terletak pada metode pemrosesan setelah serangan jaringan terdeteksi. Meskipun keamanan jaringan mencakup konsep deteksi dan pencegahan ancaman, tidak semua solusi keamanan jaringan memungkinkan sistem untuk mengambil tindakan waktu nyata berdasarkan konsep ini untuk mengurangi serangan, memecahkan masalah keamanan yang disebabkan oleh serangan, dan menjaga aliran data yang aman tanpa mengganggu bisnis . Deteksi dan pemulihan ancaman waktu nyata adalah inti dari pemulihan perlindungan jaringan.
Pada tahun 2020, Microsoft meluncurkan prosesor keamanan Pluton, yang ditingkatkan berdasarkan Platform Tepercaya Modul (TPM) konsep. Menurut uraian Microsoft, “Pluton berevolusi dari modul platform tepercaya yang ada di komputer modern. TPM menyimpan informasi terkait keamanan sistem operasi dan mengimplementasikan fungsi yang mirip dengan Windows Hello.” Dengan menggunakan prosesor Pluton, Microsoft akan memisahkan fungsi TPM yang terintegrasi ke dalam CPU, berhasil memblokir serangan pada antarmuka bus antar-chip antara CPU dan TPM secara terpisah yang ditempatkan pada motherboard.
Sebagai solusi keamanan jaringan, Pluton tidak diragukan lagi sangat kuat, tetapi tidak dapat melindungi sistem selama proses boot sebelum sistem operasi dimuat. Dengan kata lain, jendela waktu yang singkat antara komponen pada motherboard sejak firmware dimulai, sistem operasi dimuat, dan langkah-langkah keamanan jaringan aktif, kini telah menjadi jalur serangan yang semakin menarik bagi penjahat dunia maya. Oleh karena itu, untuk meningkatkan kinerja keamanan TPM seperti Pluton, sistem juga perlu menerapkan mekanisme perlindungan dan pemulihan jaringan yang kuat, dinamis, pada root of trust (HRoT) perangkat keras.
Misalnya, saat melakukan booting perangkat keras yang aman, setiap komponen pada motherboard diaktifkan hanya setelah firmware-nya dipastikan legal, dan seluruh proses verifikasi dilakukan oleh HRoT; selain itu, HRoT akan terus memantau firmware non-volatil dari CPU yang dilindungi, Menanggapi serangan dengan respons nanodetik untuk mencegahnya diserang. Kemampuan untuk memulihkan operasi normal sistem dengan cepat tanpa bantuan eksternal adalah inti dari mekanisme pemulihan perlindungan jaringan sistem.
Seperti disebutkan sebelumnya, firmware perangkat telah menjadi vektor serangan yang semakin populer. Baik itu router pabrikan atau perangkat pemantauan keamanan online, firmware telah diserbu. Oleh karena itu, untuk perlindungan terhadap serangan firmware, National Institute of Standards dan Teknologi (NIST) telah menetapkan mekanisme keamanan standar (NIST SP-800-193), yang disebut Platform Firmware Protection Recovery (PFR). PFR dapat digunakan sebagai akar kepercayaan perangkat keras pada sistem, melengkapi sistem berbasis BMC/MCU/TPM yang ada, menjadikannya sepenuhnya sesuai dengan standar NIST SP-800-193, sehingga memberikan metode baru untuk melindungi server perusahaan firmware , Yang sepenuhnya dapat mencegah serangan pada semua firmware server.
Persyaratan normatif NIST SP-800-193 untuk perlindungan firmware pada seluruh platform perangkat keras terutama mencakup tiga bagian: pertama, dapat mendeteksi bahwa peretas menyerang firmware; yang kedua adalah perlindungan, misalnya seseorang secara ilegal menyerang firmware. Saat membaca dan menulis operasi, tindakan ilegal ini harus dicegah dan dilaporkan ke perangkat lunak atas untuk mengeluarkan pesan peringatan; yang ketiga adalah meskipun firmware rusak, dapat dipulihkan, seperti dari file cadangan. Ketiga bagian ini (pemulihan, deteksi, perlindungan) terintegrasi dan terkoordinasi satu sama lain, dan tujuan utamanya adalah untuk melindungi firmware pada platform perangkat keras.
Solusi Kontrol Sistem Keamanan Penjaga
Solusi Sentry bukan hanya produk perangkat keras. Ini memiliki serangkaian alat, perangkat lunak, dan layanan yang cocok. Versi terbaru adalah Sentry 2.0.
Seperti dapat dilihat dari gambar di atas, platform perangkat keras yang mendasari Sentry 2.0 didasarkan pada MachXO3D dan Mach-NX FPGA, yang merupakan FPGA berorientasi kontrol Lattice yang memenuhi standar perlindungan dan pemulihan firmware platform NIST. Ketika perangkat keras di atas digunakan untuk fungsi kontrol sistem, perangkat tersebut biasanya merupakan perangkat “penghidupan pertama/pematian terakhir” pada sirkit papan. Dengan mengintegrasikan fungsi keamanan dan kontrol sistem, MachXO3D dan Mach-NX menjadi rantai kepercayaan perlindungan sistem. tautan pertama.
Berbeda dengan proses kontrol dan pengaturan waktu solusi TPM/MCU yang menggunakan pemrosesan serial, solusi FPGA dapat memantau dan melindungi beberapa periferal secara bersamaan, sehingga kinerja waktu nyata relatif kuat. Dalam hal deteksi dan pemulihan, perangkat FPGA dapat diverifikasi secara aktif, dan mereka dapat mengidentifikasi dan merespons lebih cepat dalam menghadapi aplikasi yang sensitif terhadap waktu atau kerusakan parah.
Di atas platform perangkat keras adalah serangkaian inti IP yang telah diverifikasi dan diuji, alat perangkat lunak, desain referensi, contoh demonstrasi, dan layanan desain khusus, yang bersama-sama membentuk solusi Sentry yang lengkap. Dengan restunya, waktu pengembangan aplikasi PFR bisa dipersingkat dari 10 bulan menjadi 6 minggu.
Mendukung root of trust (HRoT) perangkat keras generasi berikutnya yang sesuai dengan spesifikasi NIST Platform Firmware Protection and Recovery (PFR) (NIST SP-800-193) dan enkripsi 384-bit adalah sorotan utama dari solusi Sentry 2.0. Fitur utamanya meliputi:
• Kinerja keamanan yang lebih kuat—Mengingat bahwa banyak platform server generasi berikutnya memerlukan dukungan untuk enkripsi 384-bit, rangkaian solusi Sentry mendukung FPGA kontrol keamanan Mach-NX dan modul IP Enclave yang aman, yang dapat mencapai enkripsi 384-bit (ECC-256 / 384 dan HMAC-SHA-384) untuk mencegah akses tidak sah ke firmware yang dilindungi oleh Sentry dengan lebih baik.
• Kecepatan otentikasi pra-peluncuran meningkat 4 kali lipat-Sentry 2.0 mendukung ECDSA lebih cepat (40 ms), SHA (hingga 70 Mbps) dan kinerja QSPI (64 MHz). Fitur-fitur ini memungkinkan Sentry 2.0 menyediakan waktu startup yang lebih cepat, meminimalkan waktu henti sistem, dan mengurangi risiko serangan firmware saat startup.
• Pemantauan real-time hingga lima gambar firmware-Untuk lebih memperluas fungsionalitas akar kepercayaan perangkat keras yang sesuai dengan PFR berdasarkan Lattice Sentry, solusinya dapat memantau hingga lima komponen motherboard dalam sistem secara real-time selama startup dan operasi. Sebaliknya, solusi keamanan berbasis MCU tidak memiliki kinerja pemrosesan yang memadai untuk secara akurat memantau begitu banyak komponen secara real time.
Pada saat yang sama, untuk memungkinkan pengembang berkembang dengan cepat tanpa pengalaman desain FPGA, Sentry dapat menarik dan melepas modul IP yang diverifikasi ke dalam lingkungan desain Lattice Propel dan memodifikasi Kode referensi bahasa RISC-V/C yang diberikan.
Penutup
Dalam menghadapi serangan dunia maya, pola pikir yang muncul berubah dari “tentu saja kita dapat mencegah serangan” menjadi “ketika serangan terjadi, dapatkah kita memiliki metode manajemen yang lebih baik untuk menghadapinya?” atau, “Bagaimana kita bisa menjadi lebih Beradaptasi dengan serangan?” Mungkin, jawabannya terletak pada mulai dari level firmware untuk membuat sistem perlindungan dan pemulihan jaringan yang membumi.
Dipengaruhi oleh ledakan pertumbuhan data dan migrasi skala besar ke cloud, serta penyebaran penuh jaringan 5G, serangan siber menjadi semakin tak terkendali, dan kecepatan serta akurasi serangannya terus meningkat. Data dari sejumlah lembaga analisis dan penelitian mengkonfirmasi fenomena ini: Menurut laporan Accenture, pada tahun 2020, 40% serangan pengguna siber berasal dari masalah rantai pasokan; Gartner memprediksi bahwa jika perusahaan-perusahaan ini tidak melakukan tindakan tepat waktu pada rencana peningkatan Firmware 2022, mengisi celah keamanan firmware, maka pada tahun 2022, 70% perusahaan akan diserbu karena celah firmware.
Secara teori, tidak ada sistem yang dapat dilindungi dari ancaman serangan, dan semua sistem berada dalam bahaya diserang. Sistem keamanan cyber tradisional dapat mencegah banyak serangan, tetapi jika firmware sistem (Firmware) berada pada level terendah, metode keamanan tradisional ini terkadang tidak berdaya.
Dalam akumulasi praktik jangka panjang, Lattice telah menemukan solusi keamanan yang benar-benar luar biasa, yaitu untuk meningkatkan tingkat sistem keamanan jaringan dengan menambahkan fungsi Ketahanan Siber, untuk mendeteksi serangan firmware yang sedang berlangsung secara real time, dan untuk Sistem dikembalikan ke keadaan yang diketahui. Inti dari semua ini adalah kita harus memastikan bahwa tidak ada yang dapat mengakses kunci enkripsi apa pun kecuali pemilik IP firmware terenkripsi.
Perbedaan antara keamanan jaringan dan pemulihan perlindungan jaringan
Secara umum, keamanan jaringan mengacu pada perlindungan jaringan, peralatan, aplikasi (program), dan data dari serangan jaringan melalui teknologi, proses, dan praktik lainnya; pemulihan perlindungan jaringan mengacu pada terjadinya peristiwa jaringan yang tidak menguntungkan (seperti serangan jaringan). Masih dapat memberikan hasil yang diharapkan secara berkelanjutan, yang meliputi keamanan informasi, kelangsungan bisnis, dan ketahanan organisasi yang komprehensif.
Sederhananya, perbedaan utama antara keduanya terletak pada cara mereka menangani serangan jaringan setelah terdeteksi. Meskipun keamanan jaringan mencakup konsep deteksi dan pencegahan ancaman, tidak semua solusi keamanan jaringan memungkinkan sistem untuk mengambil tindakan waktu nyata berdasarkan konsep ini untuk mengurangi serangan, memecahkan masalah keamanan yang disebabkan oleh serangan, dan menjaga aliran data yang aman tanpa mengganggu bisnis . Deteksi dan pemulihan ancaman waktu nyata adalah inti dari pemulihan perlindungan jaringan.
Pada tahun 2020, Microsoft meluncurkan prosesor keamanan Pluton, yang ditingkatkan berdasarkan konsep Trusted Platform Module (TPM). Menurut deskripsi Microsoft, “Pluton berevolusi dari modul platform tepercaya yang ada di komputer modern. TPM menyimpan informasi terkait keamanan sistem operasi dan mengimplementasikan fungsi yang mirip dengan Windows Hello.” Dengan menggunakan prosesor Pluton, Microsoft akan memisahkan fungsi TPM yang terintegrasi ke dalam CPU, berhasil memblokir serangan pada antarmuka bus antar-chip antara CPU dan TPM yang ditempatkan secara terpisah pada motherboard.
Sebagai solusi keamanan jaringan, Pluton tidak diragukan lagi sangat kuat, tetapi tidak dapat melindungi sistem selama proses boot sebelum sistem operasi dimuat. Dengan kata lain, jarak waktu yang singkat antara komponen-komponen pada motherboard mulai dari startup firmware, pemuatan sistem operasi, dan waktu saat langkah-langkah keamanan jaringan aktif, kini menjadi jalur serangan yang semakin menarik bagi penjahat dunia maya. Oleh karena itu, untuk meningkatkan kinerja keamanan TPM seperti Pluton, sistem juga perlu menerapkan mekanisme perlindungan dan pemulihan jaringan yang kuat, dinamis, pada root of trust (HRoT) perangkat keras.
Misalnya, saat melakukan booting perangkat keras yang aman, setiap komponen pada motherboard diaktifkan hanya setelah firmware-nya dipastikan legal, dan seluruh proses verifikasi dilakukan oleh HRoT; selain itu, HRoT akan terus memantau firmware non-volatil dari CPU yang dilindungi, Menanggapi serangan dengan respons nanodetik untuk mencegahnya diserang. Kemampuan untuk memulihkan operasi normal sistem dengan cepat tanpa bantuan eksternal adalah inti dari mekanisme pemulihan perlindungan jaringan sistem.
Seperti yang disebutkan sebelumnya, firmware perangkat telah menjadi vektor serangan yang semakin populer. Baik itu router pabrikan atau perangkat pemantauan keamanan online, firmware telah diserang. Oleh karena itu, untuk perlindungan dari serangan firmware, National Institute of Standards and Technology (NIST) telah menetapkan mekanisme keamanan standar (NIST SP-800-193), yang disebut Platform Firmware Protection Recovery (PFR). PFR dapat digunakan sebagai perangkat keras dasar kepercayaan pada sistem, melengkapi sistem berbasis BMC/MCU/TPM yang ada, sehingga sepenuhnya sesuai dengan standar NIST SP-800-193, sehingga memberikan metode baru untuk melindungi server perusahaan firmware , Yang sepenuhnya dapat mencegah serangan pada semua firmware server.
Persyaratan normatif NIST SP-800-193 untuk perlindungan firmware pada seluruh platform perangkat keras terutama mencakup tiga bagian: pertama, dapat mendeteksi bahwa peretas menyerang firmware; yang kedua adalah perlindungan, misalnya seseorang secara ilegal menyerang firmware. Saat membaca dan menulis operasi, tindakan ilegal ini harus dicegah dan dilaporkan ke perangkat lunak atas untuk mengeluarkan pesan peringatan; yang ketiga adalah meskipun firmware rusak, dapat dipulihkan, seperti dari file cadangan. Ketiga bagian ini (pemulihan, deteksi, perlindungan) terintegrasi dan terkoordinasi satu sama lain, dan tujuan utamanya adalah untuk melindungi firmware pada platform perangkat keras.
Solusi Kontrol Sistem Keamanan Penjaga
Solusi Sentry bukan hanya produk perangkat keras. Ini memiliki serangkaian alat, perangkat lunak, dan layanan yang cocok. Versi terbaru adalah Sentry 2.0.
Seperti dapat dilihat dari gambar di atas, platform perangkat keras yang mendasari Sentry 2.0 didasarkan pada MachXO3D dan Mach-NX FPGA, yang merupakan FPGA berorientasi kontrol Lattice yang memenuhi standar perlindungan dan pemulihan firmware platform NIST. Ketika perangkat keras di atas digunakan untuk fungsi kontrol sistem, perangkat tersebut biasanya merupakan perangkat "penyalaan pertama/pematian terakhir" pada papan sirkuit. Dengan mengintegrasikan fungsi keamanan dan kontrol sistem, MachXO3D dan Mach-NX menjadi rantai kepercayaan perlindungan sistem. Tautan pertama.
Berbeda dengan proses kontrol dan pengaturan waktu solusi TPM/MCU yang menggunakan pemrosesan serial, solusi FPGA dapat memantau dan melindungi beberapa periferal secara bersamaan, sehingga kinerja waktu nyata relatif kuat. Dalam hal deteksi dan pemulihan, perangkat FPGA dapat diverifikasi secara aktif, dan mereka dapat mengidentifikasi dan merespons lebih cepat dalam menghadapi aplikasi yang sensitif terhadap waktu atau kerusakan parah.
Di atas platform perangkat keras adalah serangkaian inti IP yang telah diverifikasi dan diuji, alat perangkat lunak, desain referensi, contoh demonstrasi, dan layanan desain khusus, yang bersama-sama membentuk solusi Sentry yang lengkap. Dengan restunya, waktu pengembangan aplikasi PFR bisa dipersingkat dari 10 bulan menjadi 6 minggu.
Mendukung root of trust (HRoT) perangkat keras generasi berikutnya yang sesuai dengan spesifikasi NIST Platform Firmware Protection and Recovery (PFR) (NIST SP-800-193) dan enkripsi 384-bit adalah sorotan utama dari solusi Sentry 2.0. Fitur utamanya meliputi:
• Kinerja keamanan yang lebih kuat—Mengingat bahwa banyak platform server generasi berikutnya memerlukan dukungan untuk enkripsi 384-bit, rangkaian solusi Sentry mendukung FPGA kontrol keamanan Mach-NX dan modul IP Enclave yang aman, yang dapat mencapai enkripsi 384-bit (ECC-256 / 384 dan HMAC-SHA-384) untuk mencegah akses tidak sah ke firmware yang dilindungi oleh Sentry dengan lebih baik.
• Kecepatan otentikasi pra-peluncuran meningkat 4 kali lipat-Sentry 2.0 mendukung ECDSA lebih cepat (40 ms), SHA (hingga 70 Mbps) dan kinerja QSPI (64 MHz). Fitur-fitur ini memungkinkan Sentry 2.0 menyediakan waktu startup yang lebih cepat, meminimalkan waktu henti sistem, dan mengurangi risiko serangan firmware saat startup.
• Pemantauan real-time hingga lima gambar firmware-Untuk lebih memperluas fungsionalitas akar kepercayaan perangkat keras yang sesuai dengan PFR berdasarkan Lattice Sentry, solusi ini dapat memantau hingga lima komponen motherboard dalam sistem secara real-time selama startup dan operasi. Sebaliknya, solusi keamanan berbasis MCU tidak memiliki kinerja pemrosesan yang memadai untuk secara akurat memantau begitu banyak komponen secara real time.
Pada saat yang sama, untuk memungkinkan pengembang berkembang dengan cepat tanpa pengalaman desain FPGA, Sentry dapat menarik dan melepas modul IP yang diverifikasi ke dalam lingkungan desain Lattice Propel dan memodifikasi Kode referensi bahasa RISC-V/C yang diberikan.
Penutup
Dalam menghadapi serangan dunia maya, pola pikir yang muncul berubah dari “tentu saja kita dapat mencegah serangan” menjadi “ketika serangan terjadi, dapatkah kita memiliki metode manajemen yang lebih baik untuk menghadapinya?” atau, “Bagaimana kita bisa menjadi lebih Beradaptasi dengan serangan?” Mungkin jawabannya terletak pada mulai dari tingkat firmware untuk membuat perlindungan jaringan dan sistem pemulihan yang down-to-earth.
Tautan: CM150RX1-24T LB104S02-TD02