"Over het algemeen verwijst netwerkbeveiliging naar de bescherming van netwerken, apparatuur, toepassingen (programma's) en gegevens tegen netwerkaanvallen door middel van technologieën, processen en andere praktijken; herstel van netwerkbeveiliging verwijst naar het optreden van ongunstige netwerkgebeurtenissen (zoals netwerkaanvallen). Het kan nog steeds continu de verwachte resultaten leveren, waaronder informatiebeveiliging, bedrijfscontinuïteit en uitgebreide organisatorische veerkracht.
"
Getroffen door de explosieve groei van data, grootschalige migratie naar de cloud en de volledige inzet van 5G-netwerken, worden cyberaanvallen ongebreidelder en nemen de snelheid en nauwkeurigheid van hun aanvallen voortdurend toe. Gegevens van meerdere analyse- en onderzoeksinstellingen bevestigen dit fenomeen: volgens het rapport van Accenture is in 2020 40% van de aanvallen van cybergebruikers afkomstig van problemen met de toeleveringsketen; Gartner voorspelt dat als deze bedrijven niet tijdig actie hebben ondernomen in het firmware-upgradeplan voor 2022, de mazen in de firmware-beveiliging opvullen, in 2022 70% van de bedrijven zal worden binnengevallen als gevolg van mazen in de firmware.
In theorie kan geen enkel systeem worden beschermd tegen de dreiging van een aanval en lopen alle systemen het gevaar te worden aangevallen. Het traditionele cyberbeveiligingssysteem kan veel aanvallen voorkomen, maar als de systeemfirmware (Firmware) op het laagste niveau staat, kan deze traditionele beveiligingsmethode soms machteloos zijn.
In de langdurige accumulatie van de praktijk heeft Lattice een werkelijk uitstekende beveiligingsoplossing ontdekt, namelijk om het niveau van het netwerkbeveiligingssysteem te verhogen door de Cyber Resiliency-functie toe te voegen, om lopende firmware-aanvallen in realtime te detecteren en om Het systeem wordt hersteld naar een bekende staat. De kern van dit alles is dat we ervoor moeten zorgen dat niemand toegang heeft tot coderingssleutels, behalve de eigenaar van het gecodeerde firmware-IP.
Het verschil tussen netwerkbeveiliging en herstel van netwerkbeveiliging
Over het algemeen verwijst netwerkbeveiliging naar de bescherming van netwerken, apparatuur, toepassingen (programma's) en gegevens tegen netwerkaanvallen door middel van technologieën, processen en andere praktijken; herstel van netwerkbeveiliging verwijst naar het optreden van ongunstige netwerkgebeurtenissen (zoals netwerkaanvallen). Het kan nog steeds continu de verwachte resultaten leveren, waaronder informatiebeveiliging, bedrijfscontinuïteit en uitgebreide organisatorische veerkracht.
Simpel gezegd, het belangrijkste verschil tussen de twee ligt in de verwerkingsmethoden nadat de netwerkaanval is gedetecteerd. Hoewel netwerkbeveiliging het concept van detectie en preventie van bedreigingen omvat, stellen niet alle netwerkbeveiligingsoplossingen het systeem in staat om realtime acties te ondernemen op basis van dit concept om aanvallen te verminderen, beveiligingsproblemen veroorzaakt door aanvallen op te lossen en een veilige gegevensstroom te handhaven zonder de bedrijfsvoering te onderbreken. Realtime detectie en herstel van bedreigingen vormt de kern van herstel van netwerkbeveiliging.
In 2020 lanceerde Microsoft de beveiligingsprocessor Pluton, die op basis van het Trusted Platform werd verbeterd Module (TPM)-concept. Volgens de beschrijving van Microsoft “is Pluton geëvolueerd uit de bestaande vertrouwde platformmodule in moderne computers. TPM slaat beveiligingsgerelateerde informatie van het besturingssysteem op en implementeert functies die vergelijkbaar zijn met Windows Hello.” Door de Pluton-processor te gebruiken, zal Microsoft de TPM-functie in de CPU integreren, waardoor de aanval op de inter-chip businterface tussen de CPU en de afzonderlijk op het moederbord geplaatste TPM met succes wordt geblokkeerd.
Als netwerkbeveiligingsoplossing is Pluton ongetwijfeld zeer krachtig, maar het kan het systeem niet beschermen tijdens het opstartproces voordat het besturingssysteem is geladen. Met andere woorden, het korte tijdvenster tussen de componenten op het moederbord vanaf het moment dat de firmware is gestart, het besturingssysteem is geladen en de netwerkbeveiligingsmaatregelen actief zijn, is nu een steeds interessanter aanvalspad geworden voor cybercriminelen. Om de beveiligingsprestaties van TPM's zoals Pluton te verbeteren, moet het systeem daarom ook een krachtig, dynamisch netwerkbeveiligings- en herstelmechanisme implementeren op de hardware root of trust (HRoT).
Bij het uitvoeren van een veilige opstart van hardware wordt bijvoorbeeld elk onderdeel op het moederbord pas geactiveerd nadat is bevestigd dat de firmware legaal is, en wordt het hele verificatieproces uitgevoerd door HRoT; daarnaast zal HRoT de niet-vluchtige firmware van de beschermde CPU blijven bewaken, reageren op de aanval met een reactie van nanoseconden om te voorkomen dat deze wordt aangevallen. Dit vermogen om snel de normale werking van het systeem te herstellen zonder externe hulp, vormt de kern van het herstelmechanisme voor systeemnetwerkbeveiliging.
Zoals eerder vermeld, is apparaatfirmware een steeds populairder wordende aanvalsvector geworden. Of het nu de router van een fabrikant is of een online beveiligingsmonitoringapparaat, de firmware is binnengevallen. Daarom heeft het National Institute of Standards en Technologie (NIST) heeft een standaard beveiligingsmechanisme gedefinieerd (NIST SP-800-193), genaamd Platform Firmware Protection Recovery (PFR). PFR kan worden gebruikt als de hardwarebasis voor vertrouwen in het systeem, als aanvulling op het bestaande op BMC/MCU/TPM gebaseerde systeem, waardoor het volledig compatibel wordt met de NIST SP-800-193-standaard, en daarmee een geheel nieuwe methode biedt voor het beschermen van bedrijfsservers. firmware, die aanvallen op alle firmware van de server volledig kan voorkomen.
De normatieve vereisten van NIST SP-800-193 voor firmwarebescherming op het gehele hardwareplatform omvatten hoofdzakelijk drie delen: ten eerste kan het detecteren dat hackers de firmware aanvallen; de tweede is bescherming, iemand valt bijvoorbeeld illegaal de firmware aan. Bij het lezen en schrijven moeten deze illegale acties worden voorkomen en gemeld aan de bovenste software om een waarschuwingsbericht te geven; de derde is dat zelfs als de firmware is beschadigd, deze kan worden hersteld, bijvoorbeeld vanuit een back-upbestand. Deze drie onderdelen (herstel, detectie, bescherming) zijn geïntegreerd en op elkaar afgestemd, en het belangrijkste doel is om de firmware op het hardwareplatform te beschermen.
Sentry-oplossing voor beveiligingssysteemcontrole
De Sentry-oplossing is niet zomaar een hardwareproduct. Het heeft een reeks bijpassende tools, software en services. De nieuwste versie is Sentry 2.0.
Zoals te zien is in bovenstaande figuur, is het onderliggende hardwareplatform van Sentry 2.0 gebaseerd op MachXO3D en Mach-NX FPGA, de op controle gerichte FPGA van Lattice die voldoet aan de beveiligings- en herstelnormen voor firmware van het NIST-platform. Wanneer de bovenstaande hardware wordt gebruikt voor systeembesturingsfuncties, zijn dit meestal de "first power-on/last power-off"-apparaten op de circuit bord. Door beveiligings- en systeemcontrolefuncties te integreren, worden MachXO3D en Mach-NX de vertrouwensketen voor systeembescherming. De eerste koppeling.
In tegenstelling tot het controleproces en de timing van de TPM/MCU-oplossing die seriële verwerking gebruikt, kan de FPGA-oplossing meerdere randapparatuur tegelijkertijd bewaken en beschermen, dus de realtime prestaties zijn relatief sterk. Op het gebied van detectie en herstel kunnen FPGA-apparaten actief worden geverifieerd en kunnen ze sneller identificeren en reageren bij tijdgevoelige toepassingen of ernstige schade.
Boven het hardwareplatform bevindt zich een reeks vooraf geverifieerde en geteste IP-cores, softwaretools, referentieontwerpen, demonstratievoorbeelden en aangepaste ontwerpservices, die samen een complete Sentry-oplossing vormen. Met zijn zegen kan de ontwikkeltijd van PFR-applicaties worden verkort van 10 maanden naar 6 weken.
Ondersteuning van de volgende generatie hardware root of trust (HRoT) die voldoet aan de NIST Platform Firmware Protection and Recovery (PFR) specificatie (NIST SP-800-193) en 384-bits encryptie is het belangrijkste hoogtepunt van de Sentry 2.0-oplossing. De belangrijkste kenmerken zijn:
• Sterkere beveiligingsprestaties: aangezien veel serverplatforms van de volgende generatie ondersteuning nodig hebben voor 384-bits codering, ondersteunt de Sentry-oplossingsset Mach-NX-beveiligingscontrole FPGA en veilige Enclave IP-module, die 384-bits codering kan bereiken (ECC-256 / 384 en HMAC-SHA-384) om ongeoorloofde toegang tot door Sentry beschermde firmware beter te voorkomen.
• Pre-launch authenticatiesnelheid verhoogd met 4 keer Sentry 2.0 ondersteunt snellere ECDSA (40 ms), SHA (tot 70 Mbps) en QSPI-prestaties (64 MHz). Dankzij deze functies kan Sentry 2.0 een snellere opstarttijd bieden, uitvaltijd van het systeem minimaliseren en het risico op firmware-aanvallen tijdens het opstarten verminderen.
• Realtime monitoring van maximaal vijf firmware-images - Om de functionaliteit van de PFR-compliant hardware root of trust op basis van Lattice Sentry verder uit te breiden, kan de oplossing tot vijf moederbordcomponenten in het systeem in realtime bewaken tijdens het opstarten en operatie. Daarentegen missen op MCU gebaseerde beveiligingsoplossingen voldoende verwerkingsprestaties om zoveel componenten nauwkeurig in realtime te bewaken.
Tegelijkertijd kan Sentry, om ontwikkelaars in staat te stellen snel te ontwikkelen zonder enige FPGA-ontwerpervaring, de geverifieerde IP-module naar de Lattice Propel-ontwerpomgeving slepen en neerzetten en de gegeven RISC-V/C-taalreferentiecode wijzigen.
Slotopmerkingen
In het licht van cyberaanvallen verandert de opkomende mentaliteit van "natuurlijk kunnen we aanvallen voorkomen" naar "wanneer aanvallen plaatsvinden, kunnen we betere beheermethoden hebben om ze aan te pakken?" of: "hoe kunnen we ons beter aanpassen aan aanvallen?" Misschien ligt het antwoord in het starten vanaf het firmwareniveau om een nuchter netwerkbeveiligings- en herstelsysteem te creëren.
Getroffen door de explosieve groei van data en grootschalige migratie naar de cloud, evenals de volledige inzet van 5G-netwerken, worden cyberaanvallen ongebreidelder en nemen de snelheid en nauwkeurigheid van hun aanvallen voortdurend toe. Gegevens van een aantal analyse- en onderzoeksinstellingen bevestigden dit fenomeen: volgens het rapport van Accenture is in 2020 40% van de aanvallen van cybergebruikers afkomstig van problemen met de toeleveringsketen; Gartner voorspelt dat als deze bedrijven niet tijdig actie hebben ondernomen in het firmware-upgradeplan voor 2022, de mazen in de firmware-beveiliging opvullen, in 2022 70% van de bedrijven zal worden binnengevallen als gevolg van mazen in de firmware.
In theorie kan geen enkel systeem worden beschermd tegen de dreiging van een aanval en lopen alle systemen het gevaar te worden aangevallen. Het traditionele cyberbeveiligingssysteem kan veel aanvallen voorkomen, maar als de systeemfirmware (Firmware) op het laagste niveau staat, kan deze traditionele beveiligingsmethode soms machteloos zijn.
In de langdurige accumulatie van de praktijk heeft Lattice een werkelijk uitstekende beveiligingsoplossing ontdekt, namelijk om het niveau van het netwerkbeveiligingssysteem te verhogen door de Cyber Resiliency-functie toe te voegen, om lopende firmware-aanvallen in realtime te detecteren en om Het systeem wordt hersteld naar een bekende staat. De kern van dit alles is dat we ervoor moeten zorgen dat niemand toegang heeft tot coderingssleutels, behalve de eigenaar van het gecodeerde firmware-IP.
Het verschil tussen netwerkbeveiliging en herstel van netwerkbeveiliging
Over het algemeen verwijst netwerkbeveiliging naar de bescherming van netwerken, apparatuur, toepassingen (programma's) en gegevens tegen netwerkaanvallen door middel van technologieën, processen en andere praktijken; herstel van netwerkbeveiliging verwijst naar het optreden van ongunstige netwerkgebeurtenissen (zoals netwerkaanvallen). Het kan nog steeds continu de verwachte resultaten leveren, waaronder informatiebeveiliging, bedrijfscontinuïteit en uitgebreide organisatorische veerkracht.
Simpel gezegd, het belangrijkste verschil tussen de twee ligt in de manier waarop ze omgaan met de netwerkaanval nadat deze is gedetecteerd. Hoewel netwerkbeveiliging het concept van detectie en preventie van bedreigingen omvat, stellen niet alle netwerkbeveiligingsoplossingen het systeem in staat om realtime acties te ondernemen op basis van dit concept om aanvallen te verminderen, beveiligingsproblemen veroorzaakt door aanvallen op te lossen en een veilige gegevensstroom te handhaven zonder de bedrijfsvoering te onderbreken. Realtime detectie en herstel van bedreigingen vormt de kern van herstel van netwerkbeveiliging.
In 2020 lanceerde Microsoft de Pluton-beveiligingsprocessor, die werd verbeterd op basis van het Trusted Platform Module (TPM)-concept. Volgens de beschrijving van Microsoft: “Pluton is voortgekomen uit de bestaande vertrouwde platformmodule in moderne computers. TPM slaat informatie over de beveiliging van het besturingssysteem op en implementeert functies die vergelijkbaar zijn met Windows Hello.” Door gebruik te maken van de Pluton-processor scheidt Microsoft de TPM-functie is geïntegreerd in de CPU, waardoor de aanval op de inter-chip businterface tussen de CPU en de TPM afzonderlijk op het moederbord wordt geblokkeerd.
Als netwerkbeveiligingsoplossing is Pluton ongetwijfeld zeer krachtig, maar het kan het systeem niet beschermen tijdens het opstartproces voordat het besturingssysteem is geladen. Met andere woorden, het korte tijdsbestek tussen de componenten op het moederbord vanaf het opstarten van de firmware, het laden van het besturingssysteem en het moment waarop netwerkbeveiligingsmaatregelen actief zijn, is nu een steeds interessanter aanvalspad geworden voor cybercriminelen. Om de beveiligingsprestaties van TPM's zoals Pluton te verbeteren, moet het systeem daarom ook een krachtig, dynamisch netwerkbeveiligings- en herstelmechanisme implementeren op de hardware root of trust (HRoT).
Bij het uitvoeren van een veilige opstart van hardware wordt bijvoorbeeld elk onderdeel op het moederbord pas geactiveerd nadat is bevestigd dat de firmware legaal is, en wordt het hele verificatieproces uitgevoerd door HRoT; daarnaast zal HRoT de niet-vluchtige firmware van de beschermde CPU blijven bewaken, reageren op de aanval met een reactie van nanoseconden om te voorkomen dat deze wordt aangevallen. Dit vermogen om snel de normale werking van het systeem te herstellen zonder externe hulp, vormt de kern van het herstelmechanisme voor systeemnetwerkbeveiliging.
Zoals eerder vermeld, is apparaatfirmware een steeds populairder wordende aanvalsvector geworden. Of het nu de router van een fabrikant is of een online beveiligingsmonitoringapparaat, de firmware is binnengevallen. Daarom heeft het National Institute of Standards and Technology (NIST) voor de bescherming tegen firmware-aanvallen een standaard beveiligingsmechanisme gedefinieerd (NIST SP-800-193), genaamd Platform Firmware Protection Recovery (PFR). PFR kan worden gebruikt als de hardwarebasis voor vertrouwen in het systeem, als aanvulling op het bestaande op BMC/MCU/TPM gebaseerde systeem, waardoor het volledig compatibel wordt met de NIST SP-800-193-standaard, en daarmee een geheel nieuwe methode biedt voor het beschermen van bedrijfsservers. firmware, die aanvallen op alle firmware van de server volledig kan voorkomen.
De normatieve vereisten van NIST SP-800-193 voor firmwarebescherming op het gehele hardwareplatform omvatten hoofdzakelijk drie delen: ten eerste kan het detecteren dat hackers de firmware aanvallen; de tweede is bescherming, iemand valt bijvoorbeeld illegaal de firmware aan. Bij het lezen en schrijven moeten deze illegale acties worden voorkomen en gemeld aan de bovenste software om een waarschuwingsbericht te geven; de derde is dat zelfs als de firmware is beschadigd, deze kan worden hersteld, bijvoorbeeld vanuit een back-upbestand. Deze drie onderdelen (herstel, detectie, bescherming) zijn geïntegreerd en op elkaar afgestemd, en het belangrijkste doel is om de firmware op het hardwareplatform te beschermen.
Sentry-oplossing voor beveiligingssysteemcontrole
De Sentry-oplossing is niet zomaar een hardwareproduct. Het heeft een reeks bijpassende tools, software en services. De nieuwste versie is Sentry 2.0.
Zoals te zien is in de bovenstaande afbeelding, is het onderliggende hardwareplatform van Sentry 2.0 gebaseerd op MachXO3D en Mach-NX FPGA, de op controle gerichte FPGA van Lattice die voldoet aan de NIST-platformfirmwarebescherming en herstelnormen. Wanneer de bovenstaande hardware wordt gebruikt voor systeembesturingsfuncties, zijn dit meestal de "eerste power-on/last power-off"-apparaten op de printplaat. Door beveiligings- en systeemcontrolefuncties te integreren, worden MachXO3D en Mach-NX de vertrouwensketen van systeembescherming. De eerste schakel.
In tegenstelling tot het controleproces en de timing van de TPM/MCU-oplossing die seriële verwerking gebruikt, kan de FPGA-oplossing meerdere randapparatuur tegelijkertijd bewaken en beschermen, dus de realtime prestaties zijn relatief sterk. Op het gebied van detectie en herstel kunnen FPGA-apparaten actief worden geverifieerd en kunnen ze sneller identificeren en reageren bij tijdgevoelige toepassingen of ernstige schade.
Boven het hardwareplatform bevindt zich een reeks vooraf geverifieerde en geteste IP-cores, softwaretools, referentieontwerpen, demonstratievoorbeelden en aangepaste ontwerpservices, die samen een complete Sentry-oplossing vormen. Met zijn zegen kan de ontwikkeltijd van PFR-applicaties worden verkort van 10 maanden naar 6 weken.
Ondersteuning van de volgende generatie hardware root of trust (HRoT) die voldoet aan de NIST Platform Firmware Protection and Recovery (PFR) specificatie (NIST SP-800-193) en 384-bits encryptie is het belangrijkste hoogtepunt van de Sentry 2.0-oplossing. De belangrijkste kenmerken zijn:
• Sterkere beveiligingsprestaties: aangezien veel serverplatforms van de volgende generatie ondersteuning nodig hebben voor 384-bits codering, ondersteunt de Sentry-oplossingsset Mach-NX-beveiligingscontrole FPGA en veilige Enclave IP-module, die 384-bits codering kan bereiken (ECC-256 / 384 en HMAC-SHA-384) om ongeoorloofde toegang tot door Sentry beschermde firmware beter te voorkomen.
• Pre-launch authenticatiesnelheid verhoogd met 4 keer Sentry 2.0 ondersteunt snellere ECDSA (40 ms), SHA (tot 70 Mbps) en QSPI-prestaties (64 MHz). Dankzij deze functies kan Sentry 2.0 een snellere opstarttijd bieden, uitvaltijd van het systeem minimaliseren en het risico op firmware-aanvallen tijdens het opstarten verminderen.
• Realtime monitoring van maximaal vijf firmware-images - Om de functionaliteit van de PFR-compliant hardware root of trust op basis van Lattice Sentry verder uit te breiden, kan deze oplossing tot vijf moederbordcomponenten in het systeem in realtime bewaken tijdens het opstarten en operatie. Daarentegen missen op MCU gebaseerde beveiligingsoplossingen voldoende verwerkingsprestaties om zoveel componenten nauwkeurig in realtime te bewaken.
Tegelijkertijd kan Sentry, om ontwikkelaars in staat te stellen snel te ontwikkelen zonder enige FPGA-ontwerpervaring, de geverifieerde IP-module naar de Lattice Propel-ontwerpomgeving slepen en neerzetten en de gegeven RISC-V/C-taalreferentiecode wijzigen.
Slotopmerkingen
In het licht van cyberaanvallen verandert de opkomende mentaliteit van "natuurlijk kunnen we aanvallen voorkomen" naar "wanneer aanvallen plaatsvinden, kunnen we betere beheermethoden hebben om ze aan te pakken?" of: "hoe kunnen we ons beter aanpassen aan aanvallen?" Misschien ligt het antwoord in het starten vanaf het firmwareniveau om een nuchter netwerkbeveiligings- en herstelsysteem te creëren.
De connecties: CM150RX1-24T LB104S02-TD02