导语:本文解释了为什么企业应该给予固件安全更大的关注。
在当今的数字环境下,组织可以通过运用数据分析为设计新产品或新服务提供思路,从而获得显著的竞争优势。此外,5G和物联网等技术使设备连接到互联网以共享数据变得比以往任何时候都来得容易,这实际上导致了新数据海啸。
研究分析公司Statista预测,到2025年,全球生成的数据总量将达到180泽字节(ZB),这些数据蕴含大量丰富信息(比如信用卡号、社会保障号和专有知识产权),因而成为黑客的诱人目标,而随着数据中心中收集和存储的数据量不断增加,针对它们的网络攻击的创造性和复杂性也随之增加。
中央处理单元(CPU)、图形处理单元(GPU)、存储设备和网卡中的固件是特别诱人的目标,原因是作为电子系统中的基本组件,如果固件被损坏,检测起来极其困难。长期以来,保护这些设备免受那些企图窃取数据的人的攻击一直至关重要。因此,在最庞大的数据中心,像这样的设备现在往往受到了精心保护。
为了寻找其他的潜在漏洞,恶意黑客在企图破坏数据中心时,日益以服务器组件为目标。服务器中许多常见的半导体组件(比如调节启动顺序、风扇控制和电池管理的嵌入式控制器)会遇到固件可能被破坏或被伪造的固件取代的情形,从而获得对服务器上数据的未授权访问,或者破坏服务器的正常操作。
固件攻击之所以特别阴险,是由于服务器组件固件在服务器操作系统运行、任何反恶意软件工具发挥功效之前就已加载。这使得固件攻击很难被发现,一旦发现也很难消除。
然而,许多公司对固件安全并没有给予应有的重视。微软曾委托第三方对IT和安全决策者进行了一项调查,结果发现受访者认为固件安全事件的破坏性与软硬件安全事件几乎一样大,但用于保护固件的安全预算却不到三分之一。
企业必须认真对待其数据中心的固件安全性,否则将面临严重后果。为此,IT和安全团队在固件安全方面应该关注这三个因素。
1. 确保设备真实性
企业在购买后安装的服务器主板、工作负载加速器和附加板由不同的供应商设计,并在全球各地制造。这些设备的供应链易受攻击,非法固件或硬件可能在生产和测试期间的不同环节安装在电路板上,只等毫无防备的客户将受感染的设备安装到服务器中。IT团队必须确保自己能够验证他们添加到服务器上的任何硬件都在按照规范正常运行。
2. 确保代码真实性
数据盗窃并不是固件受损造成的唯一问题,知识产权盗窃也会影响组件制造商的盈利能力和声誉。如上所述,半导体常常在一个国家制造,在另一个国家封装,最后在第三个国家集成到系统中。
由于供应链中有如此多的接触点,肆无忌惮的承包商很容易复制供应商的固件,将其安装在未经授权的芯片上,然后将假货拿到灰色市场上出售。这不仅影响原始供应商的利润,而且如果假货性能低劣,还会败坏其声誉。
3. 确保数据安全性
加密是一种行之有效的保护数据免受未授权访问的方法,但一种新的加密威胁正在引起网络安全界的关注。如果运用得当,量子计算甚至可以破解当今最复杂的加密技术。
如今大多数企业使用128位和256位加密技术,这足以确保数据安全,远离使用传统计算技术的最顽固的攻击者。但量子计算可以以极快的速度处理数据——使用传统计算方法需要几十年才能破解的加密算法可以在短短几天内被量子计算破解。
用HRoT和强大的加密保护固件
在2018年,美国国家标准与技术研究所(NIST)发布了确保平台固件弹性的SP800-193指导原则。据NIST声称,这些指导原则提供了“保护平台免受未授权(固件)更改的安全机制,可以检测发生的未授权更改,并快速安全地在攻击后恢复如初。”
NIST SP800-193标准提倡使用“硬件信任根(HRoT)”,以确保在启动过程中加载到服务器组件中的固件在激活之前被验证为是合法的。HRoT组件是服务器启动后启动的第一个组件,它含有验证其自身固件和在HRoT激活后启动的任何组件的固件所需的加密元素。通过在服务器的嵌入式控制器中添加HRoT功能,企业就可以在整个启动过程中全程保护服务器,甚至在操作系统和反恶意软件工具被加载和运行之前加以保护。
NIST还鼓励企业采用更先进的加密算法。2016年,NIST在全球知名的密码学家之间发起了一场竞赛,以研发能够抵御基于量子计算的攻击的算法。去年竞赛结束时NIST宣布了四种新的加密算法,它们将添加到即将启动的后量子加密标准化项目中。
网络安全类似于竭力保护计算机系统的人和企图破坏这些系统的人之间的军备竞赛,后者既包括从事犯罪活动的黑客,还包括政府撑腰的黑客。双方都在不停地较量。固件已成为这场持续斗争的最新战场,而将来在威胁评估和安全计划中未考虑固件这方面的企业会面临风险。
文章翻译自:https://www.datacenterknowledge.com/industry-perspectives/data-center-perils-countermeasures-your-server-firmware-secure如若转载,请注明原文地址