Lattice Blog

Share:

全新NIST标准可应对最新服务器攻击

Is Your Computer Firmware Safe?
Posted 11/07/2018 by Shyam Chandra

Posted in

黑客可以通过一种新兴的、但并不广为人知的攻击载体——固件入侵服务器。上月,ESET的研究人员发布了一份有关恶意软件(固件入侵工具)Lojax的报告,据称该软件的开发者是与俄罗斯军事情报机构关系密切的著名网络间谍组织Sednit。Lojax可利用UEFI(一种用于计算机硬件和操作系统交互的固件标准)的漏洞,一旦安装了这种软件,几乎所有的杀毒软件都难以检测到。即便是重装系统或者置换硬盘,它还是能够正常活动。

国际信息系统审计协会(ISACA)2016年的一份调查显示,在那些声称将硬件安全视作组织头等大事的受访者中,超过半数“报告了至少一起受恶意软件影响的固件被引入公司系统的事件”,并且17%的受访者表示“这些事件造成了实质性影响i。”

固件是指服务器组件(即CPU、网络控制器,片上RAID解决方案等)率先上电后立即执行的启动代码。组件的处理器通常假定固件为一个有效可靠的起点,从中启动并根据服务器的配置使用它来分阶段验证和加载更高级别的功能。在某些情况下,处理组件在其整个运行周期内使用固件执行所需的功能。

安装了固件的系统在以下供应链环节很容易受到攻击:生产地、系统运输过程中、系统集成时、修复缺陷或者进行特性增强操作时。由于从固件启动后很难检测到安装在固件中的恶意软件,因此即使进行系统更新,恶意软件也会一直存在。幸而业界为解决固件安全问题做出了积极响应。今年年初,美国国家标准与技术研究所 (NIST)发布了NIST SP 800 193标准,,定义了一种标准的固件安全机制,称为平台固件保护恢复(PFR)。PFR可全面防范针对计算机上所有固件的攻击。它主要基于以下三个指导原则:

  • 系统工作时保护固件免受攻击
  • 检测存储在SPI闪存中的受损固件
  • 将受损固件恢复为已知的完好固件

NIST SP 800 193标准规定,平台固件保护恢复(PFR)应当使用符合规定的拥有可信根的器件通过硬件实现。基于可信根FPGA的突破性方案可轻松可靠地实现符合NIST标准的PFR。该方案可为服务器系统中的所有固件提供全面保护。

了解详情

i. http://www.isaca.org/Knowledge-Center/Research/Documents/CSX-Firmware_whp_eng_1016.pdf?regnum=461390

Share: