我们从网络安全和网络保护恢复的概念开始谈起。网络攻击是指通过未经授权访问计算机或网络从而暴露、更改、禁用、破坏、窃取或获取信息的行为。网络安全是指通过技术、流程和其他做法来保护网络、设备、应用(程序)和数据免受网络攻击。
问题在于,在当今日益复杂的技术环境中,仅依靠网络本身的安全措施已经不足以解决问题。例如,我们讨论了2017年丹麦航运巨头A.P. Moller-Maersk网络安全措施失败的案例。
A.P. Moller-Maersk IT系统遭到入侵被迫关闭
然而不幸的是,Maersk却拥有极其强大的网络安全机制。问题在于,他们一直存在思维定式,认为他们的网络安全水平如此之高,几乎不可能受到攻击。而实际上,在某些环节,每个公司都有可能抵挡不住攻击。这不是一个可不可能的问题,而是迟早会发生的事。
“网络保护恢复(Cyber Resiliency)”是指系统在不利的网络事件(例如网络攻击)出现时依然能够持续交付预期结果。企业应该考虑如何增强对攻击的抵御能力以及如何在发生攻击时及时恢复过来。答案就是创建从底层(固件层面)开始就具备保护恢复能力的系统。
在介绍了现有的和近来兴起的网络保护恢复标准后,我们讨论了如何使用莱迪思的MachX03D™和Mach™-NX以及莱迪思最近推出的软件和服务——Lattice Sentry™解决方案集合来实现网络保护恢复。
除了作为最先上电、最后断电的器件(监控其他组件的上电和断电以及固件加载)外,这些基于闪存的器件还提供了一系列硬件安全功能(例如安全启动不可更改的安全引擎),为嵌入式系统带来符合NIST规范的安全性能,从而胜任充当系统的硬件可信根(HRoT)角色。
根据NIST SP 800 193规范的定义,平台固件保护恢复(PFR)涉及保护、检测和恢复三个步骤:
保护是指保护平台的固件和关键数据不受损坏,并确保固件更新的真实性和完整性。
检测包括在首次上电、运行时以及在进行任何在系统更新时,以加密方式检测损坏的平台固件和关键数据。
恢复则包括启动受信任的恢复过程,并将所有损坏的平台固件和关键数据恢复到其之前的状态。
莱迪思MachXO3D和Mach-NX FPGA通过将自身作为硬件可信根平台从而实现网络保护恢复
MachXO3D和Mach-NX FPGA通过提供安全的双引导等功能满足网络保护恢复的需求。系统一旦启动并运行(符合NIST SP 800 193平台固件保护恢复(PFR)规范),MachXO3D和Mach-NX器件将对自身进行保护、检测并从恶意攻击中恢复,从而确保网络保护恢复机制的可靠性,此外,可编程架构的大规模并行处理能力使这些器件能够同时保护、检测和恢复多个其他平台固件。
接下来,我们重点讨论了供应链问题。供应链的问题在于如今很难建立信任,尤其是当某些合同分包商积极地与黑客合作,在供应链的开始阶段就对产品造成破坏。我们讨论了“Zombie Zero”的经典案例,此次攻击入侵了全球财富100强公司的企业资源规划(ERP)系统。
设备离开制造商工厂后,组件的固件很容易受到损害
即便使用硬件安全模块(HSM)将加密的软件和加密密钥加载到组件中,也会出现问题。为了解决这个难题,我们讨论了莱迪思Supply Guard™供应链安全服务如何确保MachXO3D和Mach-NX FPGA在交付给制造商时,预先载入锁定程序和加密密钥。该锁定程序会禁用通常用来对FPGA进行编程的所有端口。对其进行编程的唯一方法是加载包含相应加密密钥的加密镜像(FPGA有效充当自身的HSM)。除了包含有效负载程序之外,此新映像还包含自己的锁定程序实例和一个新的加密密钥。所有这些都为莱迪思所谓的“所有权安全转移”奠定了基础,该过程的主要特点是在供应链中无人能够访问任何加密密钥或客户IP的未加密版本。
但是“谁来守护守卫”呢?也就是说谁将原始的锁定程序加载到FPGA中?这时ISS的Dave Sequino就开始他们的工作了。他们都是端到端安全方面的专家,提供基于的各类硬件和平台的安全解决方案。在上述情况下,ISS负责将初始锁定程序和所有相关的加密密钥加载到FPGA中,然后将其运输到制造商。所有这些都是在特殊的数据中心和安全设施中进行的:这些场所全天候监控、拥有电源备份(现场配备发电机)、多个网络提供商以及工业冷却和防火系统。ISS的数据中心是全球保护力度最强大的此类设施之一,守卫森严,固若金汤,是世界级安全设施的典范。
在此我们只是粗略讨论了研讨会中的一些主题。如果你想了解更多信息,可以观看研讨会的存档视频,或前往莱迪思网站阅读相关的《创建拥有网络保护恢复机制的嵌入式系统和保护供应链》白皮书。
阅读原文观看研讨会视频↙
