使用正確的工具和實(shí)踐避免安全漏洞

通過(guò)開源軟件中未修補(bǔ)的漏洞對(duì) Equifax 的黑客攻擊暴露了開發(fā)人員在確保設(shè)備和網(wǎng)絡(luò)安全方面每天都在努力解決的兩個(gè)問題：管理冷漠和需要保持警惕，即使在產(chǎn)品交付之后，無(wú)論是硬件或軟件。

然而，隨著組織迅速遷移到關(guān)鍵業(yè)務(wù)線的分散云計(jì)算數(shù)據(jù)中心，并且物聯(lián)網(wǎng)繼續(xù)看到更多連接的設(shè)備，網(wǎng)絡(luò)安全還面臨其他問題。

例如，根據(jù) Barbara Filkins 為 Netscout 撰寫的 SANS 調(diào)查，一些組織不愿意實(shí)施可用的主動(dòng)安全功能，因?yàn)樗鼈兛赡軙?huì)影響性能 （68%） 和延遲，一些組織只是厭倦了誤報(bào)，以及有些人擔(dān)心網(wǎng)絡(luò)停機(jī)（圖 1）。毫不奇怪，大多數(shù)公司啟用的在線安全功能不到 20%：只有 5% 的公司使用了 100% 的可用在線安全功能。

圖 1：在未實(shí)施所有可用的主動(dòng)安全功能的原因中，性能影響排名最高。圖片來(lái)源：Sans Institute。

數(shù)據(jù)中心和相關(guān)設(shè)備的設(shè)計(jì)人員可以通過(guò)基于硬件的安全性來(lái)解決對(duì)提高安全性的需求與對(duì)延遲和性能的擔(dān)憂之間的平衡需求。

這是今年早些時(shí)候宣布的 AMD Epyc 7000 片上系統(tǒng) （SoC） 的顯著方面之一。除了多達(dá) 32 個(gè) Zen x86 內(nèi)核和 128 個(gè) PCIe Gen 3 通道外，AMD 還添加了一個(gè)專用的 128 位 AES 加密引擎和基于 ARM Cortex-A5 的硬件信任根子系統(tǒng)（圖 2）。

圖 2：AMD 的 Epyc 7000 SoC 具有基于 ARM Cortex-A5 的硬件信任根，支持內(nèi)存加密和安全加密虛擬化等功能。

安全處理器使用 ARM 的 TrustZone 對(duì) CPU 進(jìn)行分區(qū)，以運(yùn)行敏感和非敏感應(yīng)用程序和任務(wù)。它還確保安全啟動(dòng)并運(yùn)行可信平臺(tái)模塊 （TPM） 及其自己的操作系統(tǒng)/管理程序。這并不排除使用一些客戶可能需要的非車載 TPM。

除了加速加密、使系統(tǒng)更防篡改、降低功耗和延遲外，該架構(gòu)還支持?jǐn)?shù)據(jù)中心中特別使用的兩個(gè)獨(dú)特功能：安全內(nèi)存加密 （SME） 和安全加密虛擬化 （SEV）。

SME 通過(guò)加密內(nèi)存來(lái)防止物理攻擊。SEV 允許對(duì)虛擬機(jī) （VM） 或容器進(jìn)行加密，以便應(yīng)用程序可以安全運(yùn)行。

端到端保護(hù) IoT 網(wǎng)絡(luò) 對(duì)于 Equifax，內(nèi)嵌安全功能（例如 AMD Epyc 啟用的功能）幾乎沒有用處，因?yàn)樵撀┒词情_源軟件包 Apache Struts 的未修補(bǔ)版本。由于它不是零日漏洞，Equifax 可以通過(guò)遵守一個(gè)簡(jiǎn)單的規(guī)則來(lái)阻止攻擊：定期更新軟件，尤其是在安全補(bǔ)丁方面。

這聽起來(lái)很簡(jiǎn)單，但卻經(jīng)常被忽視。在物聯(lián)網(wǎng)的背景下，這也很難做到，因?yàn)榭赡苡袛?shù)以千計(jì)的設(shè)備覆蓋廣泛的地理區(qū)域。此外，很少有設(shè)備制造商確信自己可能成為攻擊的目標(biāo)，因此此類設(shè)備通常嚴(yán)重缺乏防御能力，將它們變成企業(yè)網(wǎng)絡(luò)的后門入口。

認(rèn)識(shí)到物聯(lián)網(wǎng)安全問題的有害性質(zhì)，整個(gè)公司如雨后春筍般涌現(xiàn)，以填補(bǔ)硬件和應(yīng)用程序之間的安全漏洞。IoTium 就是這樣一家公司，它在應(yīng)用程序和網(wǎng)絡(luò)層提供端到端的安全性，以及零接觸管理。

目前專注于工業(yè)和智能建筑應(yīng)用，一旦建立連接，IoTium 的 eNode OS 就會(huì)安裝在遠(yuǎn)程站點(diǎn)的網(wǎng)關(guān)上，然后使用 IoTium Orchestrator 通過(guò)云遠(yuǎn)程管理所有服務(wù)和安全性。來(lái)自每個(gè)傳感器的每個(gè)數(shù)據(jù)流都單獨(dú)加密，只有授權(quán)的最終用戶才能解密。

IoTium 方法的關(guān)鍵方面包括通過(guò)公鑰加密消除每個(gè)設(shè)備或設(shè)施的用戶名和密碼、無(wú)需上門服務(wù)以及無(wú)需更改 IT 的企業(yè)代理和防火墻策略。

特別令人感興趣的是，鑒于 Equifax 崩潰的性質(zhì)以及更新許多 IoT 設(shè)備的難度，IoTium 的軟件不斷自我更新，并且所有設(shè)備都得到了充分的實(shí)時(shí)配置和管理。無(wú)需等待手動(dòng)更新。每一項(xiàng)資產(chǎn)和每一個(gè)數(shù)據(jù)流都是完全安全的。此外，只需按一下按鈕，即可在選定的設(shè)備或整個(gè)網(wǎng)絡(luò)上部署新的應(yīng)用程序和服務(wù)。

嵌入式物聯(lián)網(wǎng) 的困境 對(duì)于許多嵌入式系統(tǒng)設(shè)計(jì)人員來(lái)說(shuō)，安全的困難始于這樣一個(gè)事實(shí)，即傳統(tǒng)上，嵌入式系統(tǒng)足夠安全，因?yàn)樗鼈兪仟?dú)立的且未連接的。連接性和物聯(lián)網(wǎng)的興起提高了人們的意識(shí)，但仍然存在上市時(shí)間壓力，而且開發(fā)團(tuán)隊(duì)通常需要大力推動(dòng)管理，以確保設(shè)備或系統(tǒng)得到徹底保護(hù)。

也就是說(shuō)，越來(lái)越多地使用無(wú)線 （OTA） 更新是有幫助的，但如果調(diào)試端口處于打開狀態(tài)或內(nèi)存未得到保護(hù)，設(shè)備就會(huì)成為網(wǎng)絡(luò)的攻擊面和后門。

需要采取的其他一些預(yù)防措施包括保護(hù) EEPROM 中的密鑰并在檢測(cè)到篡改時(shí)將其擦除，或者更好的是，使用公鑰加密對(duì)密鑰進(jìn)行加密。

在軟件方面，Apache 發(fā)布了一些關(guān)于網(wǎng)絡(luò)安全執(zhí)行的提醒，每個(gè)人都應(yīng)該牢記在心。除了定期更新外，它還會(huì)提醒用戶任何復(fù)雜的軟件都包含缺陷?！安灰僭O(shè)支持的軟件產(chǎn)品完美無(wú)缺，尤其是在安全漏洞方面?！?/p>

此外，建立網(wǎng)絡(luò)安全層：這只是一個(gè)好習(xí)慣。

安全是一場(chǎng)失敗的戰(zhàn)斗嗎？ 雖然這似乎是一項(xiàng)不可能完成的任務(wù)，但由于 AMD 的 Epyc 7000 所顯示的硬件安全性的進(jìn)步，以最小的吞吐量和功率損失為數(shù)據(jù)中心實(shí)現(xiàn)高水平的網(wǎng)絡(luò)安全是可行的。然而，堅(jiān)定的攻擊者是頑強(qiáng)的，而且它是很大程度上是使網(wǎng)絡(luò)足夠安全，以便攻擊者轉(zhuǎn)移到下一個(gè)安全性較低的設(shè)備或系統(tǒng)。

審核編輯：郭婷