中文 英语

下一个大威胁:系统安全

系列第四章:为什么你不可能知道下一个缺口将在哪里发生,以及正在对此采取什么措施。

人气

没有SOC永远是完全安全的,没有技术将阻止真正想要进入设备的盗贼。但芯片制造商和知识产权公司正在检查至少使其更加困难 - 而且至少在理论上,更少利润。

当然,一个大的变化是,连接的电子生态系统使位置无关紧要。在过去,犯罪率仅限于犯罪分子的位置,而单项犯罪分子地减少了犯罪的几率。越来越多的世界将继续改变这些赔率,因为犯罪组织,其中许多训练有素,能够从全球的任何地方偷窃数据,金钱和其他贵重物品。

最近的这证明来自a刚刚发布的资金思科,思科,呈现出稳定的警报趋势,同比增长14%。

屏幕截图2014-01-30下午2.36.59
资料来源:思科2014年度安全报告

各地的专家都同意这个问题没有一个解决方案。它必须在每个级别都有无情的警惕,因为攻击在时钟周围发生,每周七天,频繁在纳秒中测量频繁的时间。盗贼已经已经穿透了IP,嵌入式软件,甚至是SoC内的通信。

当然,这一趋势尚未被芯片制造商忽视,并且使用两种主要方法被用来将安全性建立在芯片中。第一个涉及尽可能多地击败盗贼,例如自毁如果芯片被篡改,那么从芯片的一个区域转移到另一个区域的安全区域,以及转移那个和零的内存代码。所以而不是一个安全墙,有很多。第二种方法是限制盗贼的损坏确实获得访问权限。它足够糟糕,可以访问一个机顶盒,例如或一个iPhone。闯入一个然后能够进入所有这些问题。

这可能来自互联网的最大风险,其中包括来自全球各地许多不同供应商的大量应用,没有中央安全监督表。

Sonics首席技术官Drew Wingard说:“如果你看看互联网供应商,现在他们知道什么连接到了他们的网络上。”“物联网将改变这一点,因为设备将会出现。这把网络供应商吓死了。他们可以制造混乱,甚至不必是故意的。所以有机会提高价格,这是他们喜欢的。但对其控制有更多的担忧,尤其是涉及到医疗保健和电子钱包时。如果你想想物联网的芯片,重点是低功耗。这意味着更简单的芯片,而更简单的芯片没有多少保护功能。”

分层安全性和并行网络
部分由于这个原因,从第三方IP到处理器核心再到嵌入式软件,安全必须跨多种技术层层构建。它必须位于每个家庭网络内,与家庭、企业和医疗机构之间没有交互作用的重复网络。

考虑这种情况。刑事组织突破到机顶盒中,进入电视连接的无线网络,并获得具有个人信息,银行密码和盗贼可能想要的任何其他信息的网络上的计算机的访问权限。防止这种情况发生的最简单方法是保留单独的网络和路由器的计算机和任何包含重要信息的设备。

Synopsys IP部门高级经理John Swanson表示:“我们需要在硬件领域采用同样的方法。”“今天我们做了很多加密,但单一的加密层比添加另一层物理检测和中断更难保证安全。你可以一层一层地为多个系统进行加密,安装时使用定制密钥进行加密。”

一种选择是使用超低功耗技术将软件代码嵌入到设备中(甚至是IP块和子系统),这样当设备检测到任何入侵时就可以被唤醒。这可以包括从物理或交通运动传感器到软件包完整性监测的一切。该领域的一些专家私下也指出,这也不是万无一失的。不小心丢弃带有这种技术的设备可以设置防篡改关机序列,永久禁用芯片。

阻止犯罪狂欢
一旦发生入侵,工业公司和公用事业尤为担心限制损害,并且鉴于攻击数量升高,就有一个或多个入侵者将突破防火墙并进入所有公司的某些地方的有价值的数据。问题是如何限制损坏一次发生。

“攻击者通常会达到最容易进入的点,”蒂芙尼Strauchs Rad,高级安全研究员以及卡巴斯基实验室全球研究和分析团队成员。“如果他们受到了损害的IP,那么IP触摸脆弱的地方。”

RAD表示,芯片制造商需要开始思考他们创建或集成的每一块技术,从硬件到嵌入式软件到网络。但强调安全性也需要退回较低功率的性能,这已成为设计竞争指标。“肯定是节目负荷和使其安全的快速之间的权衡之间的权衡,”她说。“如果您正在使用更多的内存以进行安全性,则会使手机运行较慢。但是还有用于安全编码实践的工作。Carnegie-Mellon拥有课程的整个课程。在设计开头时,更容易考虑安全性而不是完成后的安全性。“

成本管理
安全性也不是免费的。这就像设计资源的税款,需要额外的编程和更多硅 - 更不用说更多的调试,验证和可能的产量问题。

“武装营销安全主任Hayden Povey说:”平衡成本和安全之间存在巨大挑战“。“您可以在这方面花费无限数量的钱,从确保您控制供应链,灰色市场,以及在所有组件中具有非常强大的信任根,这与制药行业相同做。从那里,您必须使用内部防火墙,并且使用超级复杂SoC,您可能需要更多的芯片方法网络,其中不同的组件由防火墙分隔。“

在数据中心内部,一种用于安全性的方法越来越多地涉及到已经存在的技术——虚拟化。这有点讽刺,因为虚拟化作为一种提高服务器利用率的方式在数据中心内变得非常流行,而在拥挤的机架中,服务器的运行成本很高,冷却成本甚至更高。虚拟化为公司节省了大量成本,允许他们使用虚拟机运行应用程序,而不是将服务器限制在一个操作系统上运行一个应用程序。

该方法还可以通过将权限添加到虚拟化层中来说,该方法可以限制对数据的访问,以便将哪些数据或其可以运行的操作系统限制。它还可以与模式检测等技术分层,可以从每个级别发送触发器,从硬件周期到网络流量到正在运行的软件。

“我们一直在使用戒指架构,但我们已添加到这样的功能,如安全启动,以便您将产品引导到一个已知的和可信的环境中,”英特尔安全工程总监大卫·德夫蒂说。“最重要的是,McAffee一直在开发深度发件人技术,在那里他们使用虚拟化技术将薄层放在OS下方。当有人试图在堆栈中访问资源时,这很难损坏,因为您可以从不同的特权级别的角度来看它。“

要查看本系列之一,请单击这里
要查看第二部分,请单击这里
要查看第三部分,请单击这里



发表评论


(注意:此名称将被公开显示)