網(wǎng)絡(luò)安全的強(qiáng)度取決于它最下面的硬件層。最底層不是操作系統(tǒng)，而是操作系統(tǒng)所在的硬件和固件。通常認(rèn)為安全是由安全應(yīng)用程序軟件提供的。但是安全性強(qiáng)度取決于底層安全強(qiáng)度——因此攻擊者可以通過(guò)破壞安全應(yīng)用程序下面的操作系統(tǒng)來(lái)破壞安全軟件。近年來(lái)，微軟在保護(hù)Windows操作系統(tǒng)方面做了很多工作——但在操作系統(tǒng)之下是硬件和驅(qū)動(dòng)它的固件。2019年10月，安全周刊曾經(jīng)報(bào)道，Microsoft 正在與 PC 制造商和芯片合作伙伴合作設(shè)計(jì)具有更安全固件層的設(shè)備。該計(jì)劃旨在借助 Secured-core PC（將安全最佳實(shí)踐應(yīng)用于固件的設(shè)備）來(lái)對(duì)抗專(zhuān)門(mén)針對(duì)固件和操作系統(tǒng)級(jí)別的威脅。這家科技巨頭解釋說(shuō)，這些設(shè)備專(zhuān)為金融服務(wù)、政府和醫(yī)療保健等行業(yè)以及處理高度敏感的 IP、客戶(hù)或個(gè)人數(shù)據(jù)的工作人員而設(shè)計(jì)。

　　如果攻擊者進(jìn)入到操作系統(tǒng)底層并進(jìn)入固件，那么運(yùn)行在操作系統(tǒng)之上的安全系統(tǒng)幾乎不可能看到攻擊，也幾乎沒(méi)有能力減輕攻擊。一個(gè)成功的固件攻擊——比如俄羅斯的Fancy Bear集團(tuán)（又名APT28或鍶）使用的手法，在重新安裝操作系統(tǒng)甚至更換硬盤(pán)后仍能存活下來(lái)。由于這個(gè)原因，針對(duì)固件的高級(jí)攻擊在最近幾年急劇增加。

　　2021年3月，微軟研究報(bào)告稱(chēng)，超過(guò)80%的企業(yè)在過(guò)去兩年經(jīng)歷了至少一次固件攻擊，但只有29%的安全預(yù)算用于保護(hù)固件。

　　對(duì)于固件和其他硬件級(jí)別的問(wèn)題沒(méi)有簡(jiǎn)單的解決方案——它基本上需要重新思考硅功能、硬件實(shí)踐以及這些固件與操作系統(tǒng)之間的關(guān)系。這樣的合作計(jì)劃已經(jīng)實(shí)施了好幾年，產(chǎn)生了被微軟稱(chēng)為“安全核”的新型個(gè)人電腦。

　　這種新型安全PC的基礎(chǔ)是底層芯片安全。安全核PC結(jié)合了信任的硬件根、固件保護(hù)、管理程序強(qiáng)制的代碼完整性，以及隔離和安全的身份和域憑據(jù)。

　　《安全周刊》（SecurityWeek）采訪了英特爾（Intel）業(yè)務(wù)客戶(hù)規(guī)劃總監(jiān)邁克爾？諾德奎斯特（Michael Nordquist），了解了這家芯片巨頭在確保從芯片級(jí)以上的最新和未來(lái)電腦安全方面所發(fā)揮的作用。

　　英特爾硬件保護(hù)

　　“安全核”P(pán)C 的硅安全部分只是英特爾正在進(jìn)行的硬件安全計(jì)劃的一部分。

　　隨著黑客不斷提升他們的技術(shù)，越來(lái)越多地轉(zhuǎn)向硬件基礎(chǔ)設(shè)施，英特爾認(rèn)為，各種規(guī)模的組織都必須投資于更好的技術(shù)——從端點(diǎn)到網(wǎng)絡(luò)邊緣再到云端。

　　英特爾描述其安全技術(shù)計(jì)劃涵蓋三個(gè)主要領(lǐng)域：基礎(chǔ)安全、工作負(fù)載和數(shù)據(jù)保護(hù)以及軟件可靠性。

　　其安全產(chǎn)品的核心是 Intel Hardware Shield，這是一組安全技術(shù)，能夠監(jiān)控 CPU 行為是否有惡意活動(dòng)的跡象，并使用GPU來(lái)幫助加速內(nèi)存掃描。

　　Intel Hardware Shield 的核心是 TDT（威脅檢測(cè)技術(shù)），這是一組利用芯片級(jí)遙測(cè)和加速功能的工具，可幫助查明勒索軟件、加密挖礦、無(wú)文件腳本和其他針對(duì)性攻擊的早期跡象。

　　據(jù)英特爾稱(chēng)，TDT已經(jīng)更新了一項(xiàng)名為“目標(biāo)檢測(cè)”的功能，該功能將機(jī)器學(xué)習(xí)與硬件遙測(cè)相結(jié)合，以概括、漏洞利用和檢測(cè)他們的行為。

　　該公司將 TDT 的高級(jí)平臺(tái)遙測(cè)描述為不需要侵入式掃描技術(shù)或簽名數(shù)據(jù)庫(kù)的“低開(kāi)銷(xiāo)工具”。

　　諾德奎斯特說(shuō)，“使用我們?cè)谛酒?jí)的遙測(cè)技術(shù)，”“我們可以看到操作系統(tǒng)看不到的東西。如果我們看到某種形式的奇怪加密進(jìn)入硬盤(pán)驅(qū)動(dòng)器，我們可以向它拋出一個(gè)標(biāo)志。這是異常行為，可能表明存在勒索軟件感染。這些是我們能夠在設(shè)備級(jí)別做的事情?！?/p>

　　英特爾控制流執(zhí)行技術(shù)（Intel CET）

　　英特爾于2020年6月宣布的控制流執(zhí)行技術(shù)屬于軟件可靠性類(lèi)別，可提供進(jìn)一步保護(hù)，防止基于跳轉(zhuǎn)/面向調(diào)用編程（JOP/COP）和面向返回編程（ROP）內(nèi)存的攻擊。

　　根據(jù)諾德奎斯特的說(shuō)法，CET為軟件開(kāi)發(fā)人員提供了兩個(gè)關(guān)鍵功能來(lái)幫助抵御控制流劫持惡意軟件：影子堆棧和間接分支跟蹤。第一個(gè)提供針對(duì)跳轉(zhuǎn)/面向調(diào)用編程 （JOP/COP） 攻擊方法的間接分支保護(hù)，而第二個(gè)提供返回地址保護(hù)以幫助防御面向返回編程 （ROP） 攻擊方法。

　　JOP或ROP攻擊難以檢測(cè)或預(yù)防，因?yàn)槁┒蠢镁帉?xiě)者以一種創(chuàng)造性的方式使用從可執(zhí)行內(nèi)存運(yùn)行的現(xiàn)有代碼來(lái)改變程序行為。從本質(zhì)上講，英特爾CET是一種基于硬件的解決方案，當(dāng)黑客試圖修改程序的自然流程時(shí)，它會(huì)觸發(fā)異常。

　　“我們?nèi)ツ晖瞥隽嗽摦a(chǎn)品，”諾德奎斯特繼續(xù)說(shuō)道?！霸诎l(fā)布后的幾個(gè)月內(nèi)，我們就獲得了操作系統(tǒng)支持以幫助防止攻擊。您只需單擊即可升級(jí)到最新版本的操作系統(tǒng)。因此，我們發(fā)現(xiàn)了一個(gè)問(wèn)題，看看我們可以在哪里增加價(jià)值，我們確定是否有需要合作的合作伙伴來(lái)解決完整的端到端問(wèn)題，然后讓我們的最終客戶(hù)或IT商店只是吸收它?！?/p>

　　英特爾CET已經(jīng)在Windows版 Google Chrome中啟用，微軟在其新的“超級(jí)安全模式”Edge瀏覽器安全實(shí)驗(yàn)中采用了該技術(shù)。

　　‘不相信任何人'

　　英特爾稱(chēng)之為“不信任任何人”的零信任是該公司已接受的安全愿景。英特爾將其芯片描述為“芯片上的網(wǎng)絡(luò)”，并正在該網(wǎng)絡(luò)中實(shí)施零信任。這包括諸如“功能故障和安全”之類(lèi)的概念，以確保在例如冷啟動(dòng)攻擊之后沒(méi)有秘密存在；“完全調(diào)解”以檢查每個(gè)訪問(wèn)的合法性；“最低權(quán)限”以最小化每個(gè)硬件代理的權(quán)限，同時(shí)最小化權(quán)限“蠕變”；等等。

　　通過(guò)這些和其他硅級(jí)開(kāi)發(fā)確保芯片的完整性后，零信任可以在頂部和更廣泛的商業(yè)網(wǎng)絡(luò)中分層實(shí)施。每臺(tái)P 都可以被唯一識(shí)別，并且其中包含的芯片是可信的。下一步是確保設(shè)備本身以及設(shè)備的用戶(hù)或所有者的完整性。

　　將此添加到其他新的硬件安全功能（例如固件保護(hù)）中，您就可以說(shuō)“我知道這個(gè)設(shè)備并且我知道我可以信任它”有堅(jiān)實(shí)的基礎(chǔ)。剩下的就是確認(rèn)用戶(hù)的身份。這對(duì)于不斷發(fā)展的混合家庭/辦公室工作環(huán)境更為重要，因?yàn)榧抑械腜C受到的保護(hù)要少得多。

　　英特爾對(duì)從硬件級(jí)別向上的零信任愿景的支持正在進(jìn)行中，但其目的無(wú)非是消除互聯(lián)網(wǎng)通信中所需的VPN——因?yàn)樵O(shè)備及其用戶(hù)可以信任，并且通信可以加密。

　　硬件升級(jí)周期

　　十年前，公司將處于五年或六年的操作系統(tǒng)更換周期，以及三年或四年的PC 更換周期。這意味著，在大多數(shù)情況下，新的硬件功能可以準(zhǔn)備好供下一個(gè)操作系統(tǒng)版本利用它們。這已經(jīng)改變了。

　　“Win10和現(xiàn)在Win11的美妙之處在于，大多數(shù)企業(yè)都處于6、9或12個(gè)月的周期，這意味著我們 [英特爾] 能夠每6、9或12 個(gè)月提供一次操作系統(tǒng)可以快速支持的新硬件功能。與從XP升級(jí)到Win7相比，人們可以更輕松地從操作系統(tǒng)的一個(gè)版本升級(jí)到下一個(gè)版本。只需大約一個(gè)小時(shí)的下載和重新啟動(dòng)?！?/p>

　　但這只是顛倒了主要問(wèn)題?！坝袝r(shí)，問(wèn)題可以通過(guò)可下載的固件更新來(lái)解決，”諾德奎斯特說(shuō)。如今，已安裝的操作系統(tǒng)已準(zhǔn)備好利用此類(lèi)硬件安全改進(jìn)，但必須等待公司將老化的計(jì)算機(jī)替換為包含硬件改進(jìn)的最新型號(hào)。

　　諾德奎斯特認(rèn)為硬件更換周期正在縮短。他的論點(diǎn)是，董事會(huì)和現(xiàn)代 CISO 現(xiàn)在對(duì)網(wǎng)絡(luò)安全有一個(gè)整體的看法——部分原因是勒索軟件等攻擊的潛在災(zāi)難性影響，以及遠(yuǎn)程計(jì)算機(jī)保護(hù)不力的新問(wèn)題。“所以，”他說(shuō)，“公司正在從整體上考慮，我如何才能真正解決這個(gè)問(wèn)題？我能做什么？我如何獲得針對(duì)其中某些情況的最佳保護(hù)？他們意識(shí)到它需要是硬件和軟件的結(jié)合?！本W(wǎng)絡(luò)安全的整體視圖需要操作系統(tǒng)和硬件更換周期更緊密地結(jié)合。

　　這只會(huì)給企業(yè)帶來(lái)額外的預(yù)算壓力，只有最富有的公司才能做到這一點(diǎn)。我們從一些組織更換 Windows XP系統(tǒng)所用的時(shí)間長(zhǎng)度了解到，許多公司要么負(fù)擔(dān)不起更定期更換硬件的費(fèi)用，要么有額外的限制（例如可能對(duì)老化的專(zhuān)有軟件的操作依賴(lài)）來(lái)阻止它們。

　　最好的解決方案是找到某種方法來(lái)像我們現(xiàn)在升級(jí)操作系統(tǒng)一樣快速、輕松地升級(jí)硬件。是否可以重新設(shè)計(jì)芯片、主板和PC，以便硬件升級(jí)可以是用戶(hù)執(zhí)行的芯片更換（或額外的芯片插件），而無(wú)需更換整個(gè)盒子？這在未來(lái)可能會(huì)或可能不會(huì)在技術(shù)上實(shí)現(xiàn)。