「一般的に、ネットワークセキュリティとは、ネットワーク、機器、アプリケーション(プログラム)、およびデータを、テクノロジ、プロセス、およびその他の方法によるネットワーク攻撃から保護することを指します。 ネットワーク保護の回復とは、好ましくないネットワークイベント(ネットワーク攻撃など)の発生を指します。 それでも、情報セキュリティ、ビジネスの継続性、包括的な組織の回復力など、期待される結果を継続的に提供できます。
「
データの爆発的な増加、クラウドへの大規模な移行、および5Gネットワークの完全な展開の影響を受けて、サイバー攻撃はますます制限されなくなり、攻撃の速度と精度は絶えず向上しています。 複数の分析および研究機関からのデータにより、この現象が確認されています。アクセンチュアのレポートによると、2020年には、サイバーユーザー攻撃の40%がサプライチェーンの問題に起因しています。 ガートナーは、これらの企業が2022年のファームウェアアップグレード計画でタイムリーなアクションを実行しなかった場合、ファームウェアのセキュリティの抜け穴を埋めると予測しています。2022年には、ファームウェアの抜け穴が原因で企業の70%が侵入します。
理論的には、攻撃の脅威からシステムを保護することはできず、すべてのシステムが攻撃の危険にさらされています。 従来のサイバーセキュリティシステムは多くの攻撃を防ぐことができますが、システムファームウェア(ファームウェア)が最低レベルの場合、この従来のセキュリティ方法は無力な場合があります。
長期にわたる実践の積み重ねの中で、Latticeは真に優れたセキュリティソリューションを発見しました。これは、サイバーレジリエンシー機能を追加することでネットワークセキュリティシステムのレベルを高め、進行中のファームウェア攻撃をリアルタイムで検出し、システムは既知の状態に復元されます。 このすべての核心は、暗号化されたファームウェアIPの所有者以外の誰も暗号化キーにアクセスできないようにする必要があるということです。
ネットワークセキュリティとネットワーク保護の復元の違い
一般的に、ネットワークセキュリティとは、ネットワーク、機器、アプリケーション(プログラム)、およびデータを、テクノロジ、プロセス、およびその他の方法によるネットワーク攻撃から保護することを指します。 ネットワーク保護の回復とは、好ましくないネットワークイベント(ネットワーク攻撃など)の発生を指します。 それでも、情報セキュリティ、ビジネスの継続性、包括的な組織の回復力など、期待される結果を継続的に提供できます。
簡単に言うと、このXNUMXつの主な違いは、ネットワーク攻撃が検出された後の処理方法にあります。 ネットワークセキュリティには脅威の検出と防止の概念が含まれていますが、すべてのネットワークセキュリティソリューションで、システムがこの概念に基づいてリアルタイムのアクションを実行し、攻撃を軽減し、攻撃によって引き起こされるセキュリティの問題を解決し、ビジネスを中断することなく安全なデータフローを維持できるわけではありません。 リアルタイムの脅威の検出と回復は、ネットワーク保護回復の中核です。
2020 年に Microsoft は、Trusted Platform に基づいて改良された Pluton セキュリティ プロセッサを発売しました。 モジュール (TPM)コンセプト。 Microsoft の説明によると、「Pluton は、現代のコンピューターにある既存の信頼できるプラットフォーム モジュールから進化しました。 TPM はオペレーティング システムのセキュリティ関連情報を保存し、Windows Hello と同様の機能を実装します。」 Plutonプロセッサを使用することで、マイクロソフトはCPUにTPM機能を統合し、マザーボード上に別途配置されたCPUとTPM間のチップ間バスインターフェースへの攻撃をブロックすることに成功しました。
ネットワークセキュリティソリューションとして、Plutonは間違いなく非常に強力ですが、オペレーティングシステムがロードされる前の起動プロセス中にシステムを保護することはできません。 言い換えれば、 コンポーネント ファームウェアが起動し、オペレーティングシステムがロードされ、ネットワークセキュリティ対策がアクティブになっているときからマザーボード上で、サイバー犯罪者にとってますます興味深い攻撃パスになっています。 したがって、PlutonなどのTPMのセキュリティパフォーマンスを強化するために、システムは、ハードウェアの信頼のルート(HRoT)に強力で動的なネットワーク保護および回復メカニズムを実装する必要もあります。
たとえば、ハードウェアの安全な起動を実行する場合、マザーボード上の各コンポーネントは、ファームウェアが合法であることが確認された後にのみアクティブ化され、検証プロセス全体がHRoTによって実行されます。 さらに、HRoTは保護されたCPUの不揮発性ファームウェアを引き続き監視し、攻撃を防ぐためにナノ秒の応答で攻撃に応答します。 外部の支援なしでシステムの通常の動作を迅速に復元するこの機能は、システムネットワーク保護回復メカニズムの中核です。
前述したように、デバイスのファームウェアは攻撃ベクトルとしてますます人気が高まっています。 メーカーのルーターであっても、オンライン セキュリティ監視デバイスであっても、ファームウェアが侵入されています。 したがって、ファームウェア攻撃を保護するために、米国国立標準研究所と テクノロジー (NIST) は、プラットフォーム ファームウェア保護リカバリ (PFR) と呼ばれる標準セキュリティ メカニズム (NIST SP-800-193) を定義しました。 PFR は、システム内のハードウェア信頼のルートとして使用でき、既存の BMC/MCU/TPM ベースのシステムを補完して、NIST SP-800-193 標準に完全に準拠し、エンタープライズ サーバーを保護するためのまったく新しい方法を提供します。これにより、サーバーのすべてのファームウェアに対する攻撃を完全に防ぐことができます。
ハードウェアプラットフォーム全体のファームウェア保護に関するNISTSP-800-193の規範的な要件には、主にXNUMXつの部分が含まれます。XNUMXつは、ハッカーがファームウェアを攻撃していることを検出できることです。 XNUMXつ目は保護です。たとえば、誰かがファームウェアを不法に攻撃しています。 操作の読み取りと書き込みを行う場合、これらの違法行為を防止し、警告メッセージを発行するために上位のソフトウェアに報告する必要があります。 XNUMXつ目は、ファームウェアが破損している場合でも、バックアップファイルなどから復元できることです。 これらのXNUMXつの部分(リカバリ、検出、保護)は相互に統合および調整されており、主な目的はハードウェアプラットフォーム上のファームウェアを保護することです。
セントリーセキュリティシステム制御ソリューション
Sentryソリューションは、単なるハードウェア製品ではありません。 一連のマッチングツール、ソフトウェア、およびサービスがあります。 最新バージョンはSentry2.0です。
上の図からわかるように、Sentry 2.0の基盤となるハードウェアプラットフォームは、MachXO3DとMach-NXに基づいています。 FPGA、これは、NISTプラットフォームのファームウェア保護および復元標準を満たすLatticeの制御指向FPGAです。 上記のハードウェアがシステム制御機能に使用される場合、それらは通常、上の「最初の電源オン/最後の電源オフ」デバイスです。 回路 ボード。 セキュリティとシステム制御機能を統合することにより、MachXO3DとMach-NXはシステム保護の信頼の鎖になります。 最初のリンク。
シリアル処理を使用するTPM / MCUソリューションの制御プロセスやタイミングとは異なり、FPGAソリューションは複数の周辺機器を同時に監視および保護できるため、リアルタイムのパフォーマンスは比較的強力です。 検出とリカバリの観点から、FPGAデバイスはアクティブに検証でき、時間に敏感なアプリケーションや深刻な損傷に直面した場合でも、より迅速に識別して応答できます。
ハードウェアプラットフォームの上には、事前に検証およびテストされた一連のIPコア、ソフトウェアツール、リファレンスデザイン、デモンストレーションの例、およびカスタムデザインサービスがあり、これらが一緒になって完全なSentryソリューションを形成します。 その恩恵により、PFRアプリケーションの開発期間を10か月から6週間に短縮することができます。
NISTプラットフォームファームウェア保護およびリカバリ(PFR)仕様(NIST SP-800-193)および384ビット暗号化に準拠する次世代ハードウェアルートオブトラスト(HRoT)をサポートすることは、Sentry2.0ソリューションの中心的なハイライトです。 その主な機能は次のとおりです。
•より強力なセキュリティパフォーマンス—多くの次世代サーバープラットフォームが384ビット暗号化のサポートを必要とすることを考慮すると、SentryソリューションセットはMach-NXセキュリティ制御FPGAと384ビット暗号化を実現できるセキュアエンクレーブIPモジュールをサポートします(ECC-256 / 384およびHMAC-SHA-384)は、Sentryによって保護されているファームウェアへの不正アクセスをより適切に防止します。
•起動前の認証速度が4倍に向上– Sentry 2.0は、より高速なECDSA(40 ms)、SHA(最大70 Mbps)、およびQSPIパフォーマンス(64 MHz)をサポートします。 これらの機能により、Sentry 2.0は起動時間を短縮し、システムのダウンタイムを最小限に抑え、起動中のファームウェア攻撃のリスクを軽減します。
•最大XNUMXつのファームウェアイメージのリアルタイム監視– Lattice Sentryに基づくPFR準拠のハードウェア信頼ルートの機能をさらに拡張するために、ソリューションは、起動時にシステム内の最大XNUMXつのマザーボードコンポーネントをリアルタイムで監視できます。および操作。 対照的に、MCUベースのセキュリティソリューションには、非常に多くのコンポーネントをリアルタイムで正確に監視するための十分な処理パフォーマンスがありません。
同時に、開発者がFPGA設計の経験がなくても迅速に開発できるようにするために、Sentryは検証済みのIPモジュールをLattice Propel設計環境にドラッグアンドドロップし、指定されたRISC-V / C言語参照コードを変更できます。
結び
サイバー攻撃に直面して、新たな考え方は「もちろん攻撃を防ぐことができる」から「攻撃が発生したときに、それらに対処するためのより良い管理方法を持つことができるか」に変わりつつあります。 または、「どうすれば攻撃にもっと適応できるようになるのでしょうか?」 おそらく、その答えは、ファームウェアレベルから始めて、ネットワーク保護およびリカバリシステムを現実のものにすることにあります。
データの爆発的な増加とクラウドへの大規模な移行、および5Gネットワークの完全な展開の影響を受けて、サイバー攻撃はますます抑制されなくなり、攻撃の速度と精度は絶えず向上しています。 多くの分析および研究機関からのデータにより、この現象が確認されました。アクセンチュアのレポートによると、2020年には、サイバーユーザー攻撃の40%がサプライチェーンの問題に起因しています。 ガートナーは、これらの企業が2022年のファームウェアアップグレード計画でタイムリーなアクションを実行しなかった場合、ファームウェアのセキュリティの抜け穴を埋めると予測しています。2022年には、ファームウェアの抜け穴が原因で企業の70%が侵入します。
理論的には、攻撃の脅威からシステムを保護することはできず、すべてのシステムが攻撃の危険にさらされています。 従来のサイバーセキュリティシステムは多くの攻撃を防ぐことができますが、システムファームウェア(ファームウェア)が最低レベルの場合、この従来のセキュリティ方法は無力な場合があります。
長期にわたる実践の積み重ねの中で、Latticeは真に優れたセキュリティソリューションを発見しました。これは、サイバーレジリエンシー機能を追加することでネットワークセキュリティシステムのレベルを高め、進行中のファームウェア攻撃をリアルタイムで検出し、システムは既知の状態に復元されます。 このすべての核心は、暗号化されたファームウェアIPの所有者以外の誰も暗号化キーにアクセスできないようにする必要があるということです。
ネットワークセキュリティとネットワーク保護の復元の違い
一般的に、ネットワークセキュリティとは、ネットワーク、機器、アプリケーション(プログラム)、およびデータを、テクノロジ、プロセス、およびその他の方法によるネットワーク攻撃から保護することを指します。 ネットワーク保護の回復とは、好ましくないネットワークイベント(ネットワーク攻撃など)の発生を指します。 それでも、情報セキュリティ、ビジネスの継続性、包括的な組織の回復力など、期待される結果を継続的に提供できます。
簡単に言えば、XNUMXつの主な違いは、ネットワーク攻撃が検出された後の対処方法にあります。 ネットワークセキュリティには脅威の検出と防止の概念が含まれていますが、すべてのネットワークセキュリティソリューションで、システムがこの概念に基づいてリアルタイムのアクションを実行し、攻撃を軽減し、攻撃によって引き起こされるセキュリティの問題を解決し、ビジネスを中断することなく安全なデータフローを維持できるわけではありません。 リアルタイムの脅威の検出と回復は、ネットワーク保護回復の中核です。
2020年に、マイクロソフトは、トラステッドプラットフォームモジュール(TPM)の概念に基づいて改良されたPlutonセキュリティプロセッサを発売しました。 Microsoftの説明によると、「Plutonは、最新のコンピューターの既存のトラステッドプラットフォームモジュールから進化しました。 TPMは、オペレーティングシステムのセキュリティ関連情報を格納し、WindowsHelloと同様の機能を実装します。」 Plutonプロセッサを使用することにより、MicrosoftはTPM機能を分離します。TPM機能はCPUに統合されており、CPUとマザーボードに別々に配置されたTPM間のチップ間バスインターフェイスへの攻撃を正常にブロックします。
ネットワークセキュリティソリューションとして、Plutonは間違いなく非常に強力ですが、オペレーティングシステムがロードされる前の起動プロセス中にシステムを保護することはできません。 言い換えれば、ファームウェアの起動から始まるマザーボード上のコンポーネント間の短い時間枠、オペレーティングシステムのロード、およびネットワークセキュリティ対策がアクティブな時間は、サイバー犯罪者にとってますます興味深い攻撃パスになっています。 したがって、PlutonなどのTPMのセキュリティパフォーマンスを強化するために、システムは、ハードウェアの信頼のルート(HRoT)に強力で動的なネットワーク保護および回復メカニズムを実装する必要もあります。
たとえば、ハードウェアの安全な起動を実行する場合、マザーボード上の各コンポーネントは、ファームウェアが合法であることが確認された後にのみアクティブ化され、検証プロセス全体がHRoTによって実行されます。 さらに、HRoTは保護されたCPUの不揮発性ファームウェアを引き続き監視し、攻撃を防ぐためにナノ秒の応答で攻撃に応答します。 外部の支援なしでシステムの通常の動作を迅速に復元するこの機能は、システムネットワーク保護回復メカニズムの中核です。
前述したように、デバイスのファームウェアは攻撃ベクトルとしてますます人気が高まっています。 メーカーのルーターであっても、オンライン セキュリティ監視デバイスであっても、ファームウェアが侵入されています。 したがって、ファームウェア攻撃を保護するために、米国標準技術研究所 (NIST) は、プラットフォーム ファームウェア保護回復 (PFR) と呼ばれる標準セキュリティ メカニズム (NIST SP-800-193) を定義しました。 PFR は、システム内のハードウェアの信頼のルートとして使用でき、既存の BMC/MCU/TPM ベースのシステムを補完し、NIST SP-800-193 標準に完全に準拠することで、エンタープライズ サーバー ファームウェアを保護するためのまったく新しい方法を提供し、サーバーのすべてのファームウェアに対する攻撃を完全に防ぐことができます。
ハードウェアプラットフォーム全体のファームウェア保護に関するNISTSP-800-193の規範的な要件には、主にXNUMXつの部分が含まれます。XNUMXつは、ハッカーがファームウェアを攻撃していることを検出できることです。 XNUMXつ目は保護です。たとえば、誰かがファームウェアを不法に攻撃しています。 操作の読み取りと書き込みを行う場合、これらの違法行為を防止し、警告メッセージを発行するために上位のソフトウェアに報告する必要があります。 XNUMXつ目は、ファームウェアが破損している場合でも、バックアップファイルなどから復元できることです。 これらのXNUMXつの部分(リカバリ、検出、保護)は相互に統合および調整されており、主な目的はハードウェアプラットフォーム上のファームウェアを保護することです。
セントリーセキュリティシステム制御ソリューション
Sentryソリューションは、単なるハードウェア製品ではありません。 一連のマッチングツール、ソフトウェア、およびサービスがあります。 最新バージョンはSentry2.0です。
上の図からわかるように、Sentry 2.0の基盤となるハードウェアプラットフォームは、MachXO3DとMach-NX FPGAに基づいています。これは、NISTプラットフォームのファームウェア保護およびリカバリ標準を満たすLatticeの制御指向FPGAです。 上記のハードウェアをシステム制御機能に使用する場合、通常、これらは回路基板上の「最初の電源オン/最後の電源オフ」デバイスです。 セキュリティとシステム制御機能を統合することにより、MachXO3DとMach-NXはシステム保護の信頼の鎖になります最初のリンク。
シリアル処理を使用するTPM / MCUソリューションの制御プロセスやタイミングとは異なり、FPGAソリューションは複数の周辺機器を同時に監視および保護できるため、リアルタイムのパフォーマンスは比較的強力です。 検出とリカバリの観点から、FPGAデバイスはアクティブに検証でき、時間に敏感なアプリケーションや深刻な損傷に直面した場合でも、より迅速に識別して応答できます。
ハードウェアプラットフォームの上には、事前に検証およびテストされた一連のIPコア、ソフトウェアツール、リファレンスデザイン、デモンストレーションの例、およびカスタムデザインサービスがあり、これらが一緒になって完全なSentryソリューションを形成します。 その恩恵により、PFRアプリケーションの開発期間を10か月から6週間に短縮することができます。
NISTプラットフォームファームウェア保護およびリカバリ(PFR)仕様(NIST SP-800-193)および384ビット暗号化に準拠する次世代ハードウェアルートオブトラスト(HRoT)をサポートすることは、Sentry2.0ソリューションの中心的なハイライトです。 その主な機能は次のとおりです。
•より強力なセキュリティパフォーマンス—多くの次世代サーバープラットフォームが384ビット暗号化のサポートを必要とすることを考慮すると、SentryソリューションセットはMach-NXセキュリティ制御FPGAと384ビット暗号化を実現できるセキュアエンクレーブIPモジュールをサポートします(ECC-256 / 384およびHMAC-SHA-384)は、Sentryによって保護されているファームウェアへの不正アクセスをより適切に防止します。
•起動前の認証速度が4倍に向上– Sentry 2.0は、より高速なECDSA(40 ms)、SHA(最大70 Mbps)、およびQSPIパフォーマンス(64 MHz)をサポートします。 これらの機能により、Sentry 2.0は起動時間を短縮し、システムのダウンタイムを最小限に抑え、起動中のファームウェア攻撃のリスクを軽減します。
•最大XNUMXつのファームウェアイメージのリアルタイム監視– Lattice Sentryに基づくPFR準拠のハードウェア信頼ルートの機能をさらに拡張するために、このソリューションは、起動時にシステム内の最大XNUMXつのマザーボードコンポーネントをリアルタイムで監視できます。および操作。 対照的に、MCUベースのセキュリティソリューションには、非常に多くのコンポーネントをリアルタイムで正確に監視するための十分な処理パフォーマンスがありません。
同時に、開発者がFPGA設計の経験がなくても迅速に開発できるようにするために、Sentryは検証済みのIPモジュールをLattice Propel設計環境にドラッグアンドドロップし、指定されたRISC-V / C言語参照コードを変更できます。
結び
サイバー攻撃に直面して、新たな考え方は「もちろん攻撃を防ぐことができる」から「攻撃が発生したときに、それらに対処するためのより良い管理方法を持つことができるか」に変わりつつあります。 または、「どうすれば攻撃にもっと適応できるようになるのでしょうか?」 おそらく答えは、ファームウェアレベルから始めて、ネットワーク保護およびリカバリシステムを現実のものにすることにあります。