"באופן כללי, אבטחת רשת מתייחסת להגנה על רשתות, ציוד, יישומים (תוכניות) ונתונים מפני התקפות רשת באמצעות טכנולוגיות, תהליכים ופרקטיקות אחרות; שחזור הגנת רשת מתייחס להתרחשות של אירועי רשת לא חיוביים (כגון התקפות רשת). הוא עדיין יכול לספק את התוצאות הצפויות באופן רציף, הכולל אבטחת מידע, המשכיות עסקית וחוסן ארגוני מקיף.
"
מושפעים מהצמיחה הנפיצה של נתונים, מהגירה בקנה מידה גדול לענן והפריסה המלאה של רשתות 5G, התקפות הסייבר הופכות לבלתי מרוסנות יותר, והמהירות והדיוק של התקפותיהן גדלות ללא הרף. נתונים ממספר רב של מוסדות ניתוח ומחקר מאששים תופעה זו: לפי הדו"ח של Accenture, בשנת 2020, 40% מהתקפות משתמשי סייבר מקורן בבעיות שרשרת האספקה; גרטנר צופה שאם החברות הללו לא ביצעו פעולות בזמן בתוכנית שדרוג הקושחה לשנת 2022, מלאו את פרצות האבטחה של הקושחה, אז ב-2022, 70% מהחברות ייפלשו בגלל פרצות קושחה.
בתיאוריה, לא ניתן להגן על שום מערכת מפני איום התקפה, וכל המערכות נמצאות בסכנת תקיפה. מערכת אבטחת הסייבר המסורתית עשויה למנוע התקפות רבות, אך אם קושחת המערכת (Firmware) היא ברמה הנמוכה ביותר, שיטת האבטחה המסורתית הזו עשויה לפעמים להיות חסרת אונים.
בהצטברות ארוכת טווח של תרגול, Lattice גילתה פתרון אבטחה יוצא מן הכלל, שהוא להגביר את רמת מערכת אבטחת הרשת על ידי הוספת פונקציית Cyber Reiliency, לזהות כל התקפות קושחה מתמשכות בזמן אמת, וכן המערכת משוחזרת למצב ידוע. הליבה של כל זה היא שעלינו להבטיח שאף אחד לא יוכל לגשת למפתחות הצפנה למעט הבעלים של הקושחה ה-IP המוצפנת.
ההבדל בין אבטחת רשת לשחזור הגנת רשת
באופן כללי, אבטחת רשת מתייחסת להגנה על רשתות, ציוד, יישומים (תוכניות) ונתונים מפני התקפות רשת באמצעות טכנולוגיות, תהליכים ופרקטיקות אחרות; שחזור הגנת רשת מתייחס להתרחשות של אירועי רשת לא חיוביים (כגון התקפות רשת). הוא עדיין יכול לספק את התוצאות הצפויות באופן רציף, הכולל אבטחת מידע, המשכיות עסקית וחוסן ארגוני מקיף.
בפשטות, ההבדל העיקרי בין השניים טמון בשיטות העיבוד לאחר זיהוי מתקפת הרשת. למרות שאבטחת רשת כוללת את הרעיון של זיהוי ומניעה של איומים, לא כל פתרונות אבטחת הרשת מאפשרים למערכת לבצע פעולות בזמן אמת המבוססות על תפיסה זו כדי לצמצם התקפות, לפתור בעיות אבטחה הנגרמות מהתקפות ולשמור על זרימת מידע בטוחה מבלי להפריע לעסק. זיהוי ושחזור איומים בזמן אמת הם הליבה של שחזור הגנת הרשת.
בשנת 2020 השיקה מיקרוסופט את מעבד האבטחה פלוטון, אשר שופר על בסיס הפלטפורמה המהימנה מודול (TPM) מושג. על פי התיאור של מיקרוסופט, "פלוטון התפתח ממודול הפלטפורמה המהימנה הקיים במחשבים מודרניים. TPM מאחסן מידע הקשור לאבטחת מערכת ההפעלה ומיישם פונקציות דומות ל-Windows Hello". על ידי שימוש במעבד פלוטון, מיקרוסופט תפריד את פונקציית ה-TPM משולבת ב-CPU, וחוסמת בהצלחה את ההתקפה על ממשק האוטובוס בין השבבים בין ה-CPU ל-TPM הממוקם בנפרד על לוח האם.
כפתרון אבטחת רשת, פלוטון הוא ללא ספק חזק מאוד, אך הוא אינו יכול להגן על המערכת במהלך תהליך האתחול לפני טעינת מערכת ההפעלה. במילים אחרות, חלון הזמן הקצר בין ה- רכיבים על לוח האם מרגע הפעלת הקושחה, מערכת ההפעלה נטענת ואמצעי אבטחת הרשת פעילים, הפך כעת לנתיב התקפה מעניין יותר ויותר עבור פושעי סייבר. לכן, על מנת לשפר את ביצועי האבטחה של TPMs כמו Pluton, המערכת צריכה גם להטמיע מנגנון חזק, דינמי, הגנה ושחזור רשת על שורש החומרה של אמון (HRoT).
לדוגמה, בעת ביצוע אתחול מאובטח של חומרה, כל רכיב בלוח האם מופעל רק לאחר אישור הקושחה שלו כחוקית, וכל תהליך האימות מבוצע על ידי HRoT; בנוסף, HRoT תמשיך לנטר את הקושחה הלא נדיפה של המעבד המוגן, תגיב למתקפה בתגובה של ננו-שניות כדי למנוע את התקפתה. יכולת זו לשחזר במהירות את הפעולה הרגילה של המערכת ללא סיוע חיצוני היא הליבה של מנגנון שחזור הגנת רשת המערכת.
כפי שהוזכר קודם לכן, קושחת המכשיר הפכה לוקטור התקפה פופולרי יותר ויותר. בין אם זה נתב של יצרן או מכשיר ניטור אבטחה מקוון, הקושחה פלשה. לכן, להגנה על התקפות קושחה, המכון הלאומי לתקנים ו טכנולוגיה (NIST) הגדירה מנגנון אבטחה סטנדרטי (NIST SP-800-193), הנקרא Platform Firmware Protection Recovery (PFR). PFR יכול לשמש כשורש החומרה של אמון במערכת, משלים את המערכת הקיימת מבוססת BMC/MCU/TPM, מה שהופך אותה לתואמת במלואה לתקן NIST SP-800-193, ובכך מספקת שיטה חדשה לגמרי להגנה על שרת ארגוני. קושחה , שיכולה למנוע באופן מלא התקפות על כל הקושחה של השרת.
הדרישות הנורמטיביות של NIST SP-800-193 להגנת קושחה על כל פלטפורמת החומרה כוללות בעיקר שלושה חלקים: ראשית, הוא יכול לזהות שהאקרים תוקפים את הקושחה; השני הוא הגנה, למשל, מישהו תוקף את הקושחה באופן לא חוקי. בעת קריאה וכתיבה של פעולות, יש למנוע פעולות בלתי חוקיות אלו ולדווח לתוכנה העליונה כדי להוציא הודעת אזהרה; השלישית היא שגם אם הקושחה פגומה, ניתן לשחזר אותה, כגון מקובץ גיבוי. שלושת החלקים הללו (שחזור, איתור, הגנה) משולבים ומתואמים זה עם זה, והמטרה העיקרית היא להגן על הקושחה בפלטפורמת החומרה.
פתרון בקרת מערכת האבטחה של Sentry
פתרון Sentry אינו רק מוצר חומרה. יש לו סדרה של כלים, תוכנות ושירותים תואמים. הגרסה האחרונה היא Sentry 2.0.
כפי שניתן לראות מהאיור לעיל, פלטפורמת החומרה הבסיסית של Sentry 2.0 מבוססת על MachXO3D ו-Mach-NX FPGA, שהוא ה-FPGA מונחה השליטה של Lattice שעומד בתקני ההגנה והשחזור של פלטפורמת NIST. כאשר החומרה לעיל משמשת לפונקציות בקרת מערכת, הם בדרך כלל התקני "הדלקה/כיבוי ראשון" במכשיר מעגל גלשן. על ידי שילוב פונקציות אבטחה ובקרת מערכת, MachXO3D ו-Mach-NX הופכים לשרשרת אמון הגנת המערכת. הקישור הראשון.
בניגוד לתהליך הבקרה והתזמון של פתרון TPM/MCU המשתמשים בעיבוד טורי, פתרון ה-FPGA יכול לנטר ולהגן על מספר ציוד היקפי בו-זמנית, כך שהביצועים בזמן אמת חזקים יחסית. במונחים של זיהוי ושחזור, ניתן לאמת באופן אקטיבי התקני FPGA, והם יכולים לזהות ולהגיב מהר יותר מול יישומים רגישים לזמן או נזק חמור.
מעל פלטפורמת החומרה נמצאת סדרה של ליבות IP מאומתות ונבדקות מראש, כלי תוכנה, עיצובי עזר, דוגמאות הדגמה ושירותי עיצוב מותאם אישית, שיחד יוצרים פתרון שלם של Sentry. בברכתה ניתן לקצר את זמן הפיתוח של יישומי PFR מ-10 חודשים ל-6 שבועות.
תמיכה בשורש האמון של החומרה מהדור הבא (HRoT) התואם את מפרט NIST Platform Firmware Protection and Recovery (PFR) (NIST SP-800-193) והצפנה של 384 סיביות היא גולת הכותרת של פתרון Sentry 2.0. המאפיינים העיקריים שלו כוללים:
• ביצועי אבטחה חזקים יותר — בהתחשב בכך שפלטפורמות שרתים רבות מהדור הבא דורשות תמיכה בהצפנה של 384 סיביות, ערכת הפתרונות של Sentry תומכת בקרת אבטחה של Mach-NX FPGA ובמודול IP מאובטח של Enclave, שיכול להשיג הצפנה של 384 סיביות (ECC-256 / 384 ו-HMAC-SHA-384) כדי למנוע טוב יותר גישה לא מורשית לקושחה המוגנת על ידי Sentry.
• מהירות האימות לפני ההשקה עלתה פי 4 - Sentry 2.0 תומך ב-ECDSA מהיר יותר (40 ms), SHA (עד 70 Mbps) וביצועי QSPI (64 מגה-הרץ). תכונות אלו מאפשרות ל-Sentry 2.0 לספק זמן הפעלה מהיר יותר, למזער את זמן השבתת המערכת ולהפחית את הסיכון להתקפות קושחה במהלך האתחול.
• ניטור בזמן אמת של עד חמש תמונות קושחה - על מנת להרחיב עוד יותר את הפונקציונליות של שורש האמון בחומרה תואם PFR המבוסס על Lattice Sentry, הפתרון יכול לנטר עד חמישה רכיבי לוח אם במערכת בזמן אמת במהלך ההפעלה ותפעול. לעומת זאת, לפתרונות אבטחה מבוססי MCU חסרים ביצועי עיבוד מספיקים כדי לנטר במדויק כל כך הרבה רכיבים בזמן אמת.
יחד עם זאת, על מנת לאפשר למפתחים להתפתח במהירות ללא כל ניסיון בתכנון FPGA, Sentry יכול לגרור ולשחרר את מודול ה-IP המאומת לתוך סביבת התכנון של Lattice Propel ולשנות את קוד ההתייחסות הנתון לשפת RISC-V/C.
הערות לסיום
לנוכח התקפות סייבר, הלך הרוח המתפתח משתנה מ"כמובן שאנחנו יכולים למנוע התקפות" ל"כאשר מתרחשות התקפות, האם יש לנו שיטות ניהול טובות יותר להתמודד איתן?" או, "איך נוכל להיות יותר מסתגלים להתקפות?" אולי, התשובה נעוצה בהתחיל מרמת הקושחה כדי ליצור מערכת הגנה ושחזור רשת קרקעית.
מושפעים מהצמיחה הנפיצה של נתונים ומהגירה בקנה מידה גדול לענן, כמו גם מהפריסה המלאה של רשתות 5G, התקפות הסייבר הופכות יותר חסרות רסן, והמהירות והדיוק של התקפותיהן גדלות כל הזמן. נתונים ממספר מוסדות ניתוח ומחקר אישרו תופעה זו: לפי הדו"ח של Accenture, בשנת 2020, 40% ממתקפות משתמשי הסייבר מקורן בבעיות בשרשרת האספקה; גרטנר צופה שאם החברות הללו לא ביצעו פעולות בזמן בתוכנית שדרוג הקושחה לשנת 2022, מלאו את פרצות האבטחה של הקושחה, אז ב-2022, 70% מהחברות ייפלשו בגלל פרצות קושחה.
בתיאוריה, לא ניתן להגן על שום מערכת מפני איום התקפה, וכל המערכות נמצאות בסכנת תקיפה. מערכת אבטחת הסייבר המסורתית עשויה למנוע התקפות רבות, אך אם קושחת המערכת (Firmware) היא ברמה הנמוכה ביותר, שיטת האבטחה המסורתית הזו עשויה לפעמים להיות חסרת אונים.
בהצטברות ארוכת טווח של תרגול, Lattice גילתה פתרון אבטחה יוצא מן הכלל, שהוא להגביר את רמת מערכת אבטחת הרשת על ידי הוספת פונקציית Cyber Reiliency, לזהות כל התקפות קושחה מתמשכות בזמן אמת, וכן המערכת משוחזרת למצב ידוע. הליבה של כל זה היא שעלינו להבטיח שאף אחד לא יוכל לגשת למפתחות הצפנה למעט הבעלים של הקושחה ה-IP המוצפנת.
ההבדל בין אבטחת רשת לשחזור הגנת רשת
באופן כללי, אבטחת רשת מתייחסת להגנה על רשתות, ציוד, יישומים (תוכניות) ונתונים מפני התקפות רשת באמצעות טכנולוגיות, תהליכים ופרקטיקות אחרות; שחזור הגנת רשת מתייחס להתרחשות של אירועי רשת לא חיוביים (כגון התקפות רשת). הוא עדיין יכול לספק את התוצאות הצפויות באופן רציף, הכולל אבטחת מידע, המשכיות עסקית וחוסן ארגוני מקיף.
במילים פשוטות, ההבדל העיקרי בין השניים טמון באופן שבו הם מתמודדים עם מתקפת הרשת לאחר שזוהתה. למרות שאבטחת רשת כוללת את הרעיון של זיהוי ומניעה של איומים, לא כל פתרונות אבטחת הרשת מאפשרים למערכת לבצע פעולות בזמן אמת המבוססות על תפיסה זו כדי לצמצם התקפות, לפתור בעיות אבטחה הנגרמות מהתקפות ולשמור על זרימת מידע בטוחה מבלי להפריע לעסק. זיהוי ושחזור איומים בזמן אמת הם הליבה של שחזור הגנת הרשת.
בשנת 2020 השיקה מיקרוסופט את מעבד האבטחה Pluton, ששופר על בסיס תפיסת Trusted Platform Module (TPM). לפי התיאור של מיקרוסופט, "פלוטון התפתח ממודול הפלטפורמה המהימנה הקיים במחשבים מודרניים. TPM מאחסן מידע הקשור לאבטחת מערכת ההפעלה ומיישם פונקציות דומות ל-Windows Hello." על ידי שימוש במעבד פלוטון, מיקרוסופט תפריד את פונקציית ה-TPM משולבת ב-CPU, וחוסמת בהצלחה את ההתקפה על ממשק האוטובוס בין השבבים בין ה-CPU ל-TPM הממוקם בנפרד על לוח האם.
כפתרון אבטחת רשת, פלוטון הוא ללא ספק חזק מאוד, אך הוא אינו יכול להגן על המערכת במהלך תהליך האתחול לפני טעינת מערכת ההפעלה. במילים אחרות, חלון הזמן הקצר בין הרכיבים בלוח האם החל מהפעלת הקושחה, טעינת מערכת ההפעלה והזמן שבו אמצעי אבטחת הרשת פעילים, הפך כעת לנתיב התקפה מעניין יותר ויותר עבור פושעי סייבר. לכן, על מנת לשפר את ביצועי האבטחה של TPMs כמו Pluton, המערכת צריכה גם להטמיע מנגנון חזק, דינמי, הגנה ושחזור רשת על שורש החומרה של אמון (HRoT).
לדוגמה, בעת ביצוע אתחול מאובטח של חומרה, כל רכיב בלוח האם מופעל רק לאחר אישור הקושחה שלו כחוקית, וכל תהליך האימות מבוצע על ידי HRoT; בנוסף, HRoT תמשיך לנטר את הקושחה הלא נדיפה של המעבד המוגן, תגיב למתקפה בתגובה של ננו-שניות כדי למנוע את התקפתה. יכולת זו לשחזר במהירות את הפעולה הרגילה של המערכת ללא סיוע חיצוני היא הליבה של מנגנון שחזור הגנת רשת המערכת.
כפי שהוזכר קודם לכן, קושחת המכשיר הפכה לוקטור התקפה פופולרי יותר ויותר. בין אם מדובר בנתב של יצרן או במכשיר ניטור אבטחה מקוון, הקושחה פלשה. לכן, להגנה על התקפות קושחה, המכון הלאומי לתקנים וטכנולוגיה (NIST) הגדיר מנגנון אבטחה סטנדרטי (NIST SP-800-193), אשר נקרא Platform Firmware Protection Recovery (PFR). ניתן להשתמש ב-PFR כשורש החומרה של אמון במערכת, משלים את המערכת הקיימת מבוססת BMC/MCU/TPM, מה שהופך אותה לתואמת במלואה לתקן NIST SP-800-193, ובכך מספקת שיטה חדשה לגמרי להגנה על שרת ארגוני. קושחה , שיכולה למנוע באופן מלא התקפות על כל הקושחה של השרת.
הדרישות הנורמטיביות של NIST SP-800-193 להגנת קושחה על כל פלטפורמת החומרה כוללות בעיקר שלושה חלקים: ראשית, הוא יכול לזהות שהאקרים תוקפים את הקושחה; השני הוא הגנה, למשל, מישהו תוקף את הקושחה באופן לא חוקי. בעת קריאה וכתיבה של פעולות, יש למנוע פעולות בלתי חוקיות אלו ולדווח לתוכנה העליונה כדי להוציא הודעת אזהרה; השלישית היא שגם אם הקושחה פגומה, ניתן לשחזר אותה, כגון מקובץ גיבוי. שלושת החלקים הללו (שחזור, איתור, הגנה) משולבים ומתואמים זה עם זה, והמטרה העיקרית היא להגן על הקושחה בפלטפורמת החומרה.
פתרון בקרת מערכת האבטחה של Sentry
פתרון Sentry אינו רק מוצר חומרה. יש לו סדרה של כלים, תוכנות ושירותים תואמים. הגרסה האחרונה היא Sentry 2.0.
כפי שניתן לראות מהאיור שלעיל, פלטפורמת החומרה הבסיסית של Sentry 2.0 מבוססת על MachXO3D ו-Mach-NX FPGA, שהוא ה-FPGA מונחה השליטה של Lattice שעומד בתקני הגנת קושחה ושחזור של פלטפורמת NIST. כאשר החומרה שלעיל משמשת לפונקציות בקרת מערכת, הם בדרך כלל התקני "הדלקה/כיבוי ראשון" בלוח המעגלים. על ידי שילוב פונקציות אבטחה ובקרת מערכת, MachXO3D ו-Mach-NX הופכים לשרשרת האמון של הגנת המערכת החוליה הראשונה.
בניגוד לתהליך הבקרה והתזמון של פתרון TPM/MCU המשתמשים בעיבוד טורי, פתרון ה-FPGA יכול לנטר ולהגן על מספר ציוד היקפי בו-זמנית, כך שהביצועים בזמן אמת חזקים יחסית. במונחים של זיהוי ושחזור, ניתן לאמת באופן אקטיבי התקני FPGA, והם יכולים לזהות ולהגיב מהר יותר מול יישומים רגישים לזמן או נזק חמור.
מעל פלטפורמת החומרה נמצאת סדרה של ליבות IP מאומתות ונבדקות מראש, כלי תוכנה, עיצובי עזר, דוגמאות הדגמה ושירותי עיצוב מותאם אישית, שיחד יוצרים פתרון שלם של Sentry. בברכתה ניתן לקצר את זמן הפיתוח של יישומי PFR מ-10 חודשים ל-6 שבועות.
תמיכה בשורש האמון של החומרה מהדור הבא (HRoT) התואם את מפרט NIST Platform Firmware Protection and Recovery (PFR) (NIST SP-800-193) והצפנה של 384 סיביות היא גולת הכותרת של פתרון Sentry 2.0. המאפיינים העיקריים שלו כוללים:
• ביצועי אבטחה חזקים יותר — בהתחשב בכך שפלטפורמות שרתים רבות מהדור הבא דורשות תמיכה בהצפנה של 384 סיביות, ערכת הפתרונות של Sentry תומכת בקרת אבטחה של Mach-NX FPGA ובמודול IP מאובטח של Enclave, שיכול להשיג הצפנה של 384 סיביות (ECC-256 / 384 ו-HMAC-SHA-384) כדי למנוע טוב יותר גישה לא מורשית לקושחה המוגנת על ידי Sentry.
• מהירות האימות לפני ההשקה עלתה פי 4 - Sentry 2.0 תומך ב-ECDSA מהיר יותר (40 ms), SHA (עד 70 Mbps) וביצועי QSPI (64 מגה-הרץ). תכונות אלו מאפשרות ל-Sentry 2.0 לספק זמן הפעלה מהיר יותר, למזער את זמן השבתת המערכת ולהפחית את הסיכון להתקפות קושחה במהלך האתחול.
• ניטור בזמן אמת של עד חמש תמונות קושחה - על מנת להרחיב עוד יותר את הפונקציונליות של שורש האמון בחומרה תואם PFR המבוסס על Lattice Sentry, פתרון זה יכול לנטר עד חמישה רכיבי לוח אם במערכת בזמן אמת במהלך האתחול ותפעול. לעומת זאת, לפתרונות אבטחה מבוססי MCU חסרים ביצועי עיבוד מספיקים כדי לנטר במדויק כל כך הרבה רכיבים בזמן אמת.
יחד עם זאת, על מנת לאפשר למפתחים להתפתח במהירות ללא כל ניסיון בתכנון FPGA, Sentry יכול לגרור ולשחרר את מודול ה-IP המאומת לתוך סביבת התכנון של Lattice Propel ולשנות את קוד ההתייחסות הנתון לשפת RISC-V/C.
הערות לסיום
לנוכח התקפות סייבר, הלך הרוח המתפתח משתנה מ"כמובן שאנחנו יכולים למנוע התקפות" ל"כאשר מתרחשות התקפות, האם יש לנו שיטות ניהול טובות יותר להתמודד איתן?" או, "איך נוכל להיות יותר מסתגלים להתקפות?" אולי התשובה טמונה בהתחלת מרמת הקושחה כדי ליצור מערכת הגנה ושחזור רשת קרקעית.
הקישורים: CM150RX1-24T LB104S02-TD02