如何应对新时代数据中心勒索？

在网络安全的动态背景中，与勒索软件的无情斗争证明了网络威胁的演变越来越严酷。勒索软件攻击经历了蜕变，成为擅长隐身和躲避的极为老练的对手。一次有名的险恶勒索的例证发生在2022年。这次令人震惊的恶意勒索软件攻击，竟然隐藏了324天，甚至受害方发现后又花费了91天才重新获得法定控制权。这种攻击的长期隐藏，可能会给组织机构带来巨大灾难，突显出需要更快、更智能检测机制的必要性。

勒索软件问题的规模惊人，估计目前每天发生4000起攻击。这一统计数据是保守的，因为它只统计了已报告事件，而没有统计无数未记录的其他事件。许多勒索软件攻击，如WannaCry、NotPetya、Sodinokibi、SamSam、Colonial Pipeline勒索软件攻击和Kronos，都已经在网络安全史上臭名昭著。

用外行的话问，勒索软件到底是什么？想象一个未经授权的参与者访问机主的计算机系统并植入恶意软件，甚至对机主的宝贵数据进行非法加密，结果不仅会导致机主无法访问自己的计算机，也可能使系统数据被直接盗走或删除。在噩梦般的场景中，这些恶毒的行为者拥有超级用户或管理员权限，夺取机主系统的完全控制权，并要求赎金。受害者往往只能在绝望中支付赎金，而别无选择。

然而，勒索软件已经远远超出了单纯的文件非法加密和比特币勒索。现代勒索软件策略已经包含了骚扰，并引入了双重和三重勒索计划。面对这些快速演变的威胁，传统的解决方案(如维护安全备份)已远远不足以应对。

下面来深入研究勒索软件攻击造成的复杂缺陷和深远后果：

补丁延迟

即使勒索软件攻击成为头条新闻，包括首席信息安全官(CISO)或首席安全官(CSO)在内的许多网络安全专家，也可能需要数月时间来确定自己的系统是否容易受到类似攻击。这种时间滞后使企业容易受到潜在的模仿或后续攻击。

恢复难

一旦勒索软件展开攻击，受害者往往发现除了接受勒索赎金要求之外别无选择，尤其是在关键数据受到威胁的场景中。

取证难

勒索软件攻击的执行非常精准，通常不会留下明显痕迹。这种对数字足迹的细致擦除，使“法医”分析成为徒劳，从而导致对犯罪者的身份和方法一无所知。此外，无法保证恶意勒索者在收到赎金后还会不会重演，或者会不会向其他邪恶实体传播其策略。

生产力损失和更换成本

即使在支付赎金后，受损的系统仍然受到影响，并经常无法使用。这种困境需要将数据迁移到新系统，从而导致生产力损失和更换成本。

缺乏安全的处置/停运方法

威胁行为者访问废弃系统的可能性很大，可能会通过追踪ID或授权证书来为他们提供访问密钥，从而对各类企业系统进行新的攻击。

系统恶意访问

首先，这些恶意行为者是如何钻入到系统中(图1)的呢？最普遍的方法是通过钓鱼电子邮件。受害者经常在不知不觉中经不住这些欺骗性电子邮件中的诱饵诱惑，要么点击了恶意链接，要么在访问受损网站时成为木马的猎物。这种看似无害的判断失误，是将勒索软件变种引入其系统的入口，为即将到来的灾难埋下了伏笔。

图1：业界已开发多种缓解方案，以跟上不断演进的勒索威胁。

在某些情况下，网络犯罪分子利用物理漏洞进行由内而外的攻击，进一步加剧了安全形势的复杂性。在所有这些场景中，对手通过机主某种形式的授权证书泄露进入系统，无论是因为点击恶意链接还是证书丢失。

这些漏洞通常被称为“侵入端口”，可以在各种系统组件中表现出来，包括软件应用程序、驱动程序、内核代码、操作系统代码或固件代码。网络犯罪分子熟练地利用这些入口，将自己定位为管理员，随后将目光投向“钱箱”，即隐藏在硬件平台内的宝贵内容存储库，这类似于以金库为目标的银行窃贼。

纯软件零信任解决方案

尽管许多现有的纯软件解决方案努力控制这些潜在的侵入端口，但网络犯罪分子不断适应并规避这些防御措施。其中许多解决方案据称坚持零信任模型，依赖于硬件信任根(RoT)的神圣性。然而，仍有一些令人痛心的例子，甚至RoT本身也受到了损害，这使得人们对这些防御方案的有效性产生了怀疑。

这种不断演变的威胁背景，导致了对创新解决方案(能够补足防御软件)的需求急剧增长。这些新颖的解决方案，需要通过在硬件中直接操作，来提供更强大的保护层，以抵御勒索软件攻击。

数据中心硬件安全现状

那目前硬件的安全状况又如何呢？在数据中心基础设施解决方案领域，有一个被称为“控制和管理”平台的关键组件，承担着在引导过程中确保系统完整性的责任。此外，它还管理身份密钥，在运行应用程序时进行身份确认和验证。尽管25年来已经证明了这种体系结构范式的有效性，但如今它却也面临新的艰巨挑战。

在数据中心服务器系统的生态中，有两类不同的网络端口共存，即“数据端口”与“控制和管理”端口。前者从事外部通信，通常利用防火墙来增强防御。这些防火墙虽然对边缘安全有效，但主要检查数据包头，利用对数据包头进行分析，来作为抵御潜在威胁的主要手段。然而，如今恶意活动的关键信息往往隐藏在数据包的有效载荷内，避开了传统安全措施的侦测。

数据处理单元的兴起

在过去十年中，数据处理单元(DPU)的引入曾被证明是革命性的。英伟达、博通、Marvell和Fungible等公司率先推出了擅长进行深度数据包检查的DPU。通过精心过滤恶意软件，这种创新解决方案显著增强了安全性。然而，当IT专业人员过渡到云并需要远程访问这些关键“主密钥”端口时，又经常会遇到这些端口躲在相同或类似的防火墙后面。考虑到这种解决方案的固有局限性，仅仅依靠传统防火墙技术来屏蔽这些至关重要的“控制和管理”端口是不稳定的。

新方案：安全、人工智能驱动的硬件

如今威胁越演越烈，Axiado看到了提供新方案的机会，并开始着手构思一种加强现有安全框架的解决方案。该解决方案力求可靠、自学习、自我防御、人工智能驱动，并从根本上固化在硬件中(图2)。这一雄心勃勃的愿景，最终催生了可信计算/控制单元(TCU)的概念，这是一个从一开始就精心设计的解决方案，旨在为数据中心控制和管理端口提供全面的安全性。

图2：Axiado的单芯片TCU控制平面。这是一种基于硬件的解决方案，根植于实时和先发制人的人工智能，具有威胁超前检测功能。

TCU利用智能片上AI的力量，彻底检查访问会话，检测异常，并监控引导过程中潜在的侧通道攻击。这些侧通道攻击也有引起细微变化，诸如电压毛刺和热异常等。TCU可对细微的异常变化迅速作出反应，来识别和消除这些阴险的威胁。此外，TCU已经被训练成能够识别象征已知勒索软件攻击的行为模式，这是通过分析硬件痕迹磨练出来的能力。利用这种模式识别，TCU能够实时检测和挫败勒索软件攻击，减轻潜在的损害。

物理端口和会话保护

TCU对物理端口、用户会话和应用程序交互进行持续而警惕的监控。它们吸收上下文信息，来辨别任何表征潜在威胁的行为。这种强大的防御机制擅长分析、检测和挫败各种威胁，从而保护关键基础设施免受侧通道攻击及内部威胁。

实际上，TCU并不仅仅局限于加强对勒索软件和其他威胁的防御，还提供了一系列增值功能，将多种实实在在的好处带给了各类各利益相关者，包括云服务提供商(CSP)、主机代管数据中心(colos)、原始设备制造商和企业。

基于硬件的取证

TCU捕获从启动阶段到运行过程中的硬件解剖数据。这些宝贵数据具有极其重要的意义，尤其是在袭击发生后。它们是事件后分析的关键资源，可揭示袭击性质和袭击者使用的战术，为未来网络系统防御奠定基础。

异常和勒索软件检测

TCU检测系统控制和管理方面的异常，是能够识别潜在勒索软件攻击模式的预警系统。得益于先进的人工智能，TCU能够及时标记违规行为，提醒管理员注意潜在的威胁。通过将检测到的异常与已知和经过训练的漏洞进行比较，能够在攻击造成损害之前识别并阻止攻击。

检测和隔离

TCU能够检测和隔离具有细粒度控制的受损系统。当检测到异常行为时，这将扩展到应用程序、容器或虚拟机。这种精细的控制使IT专业人员能够决定是允许这些实体继续运营，还是主动干预以降低潜在风险。此功能不仅提高了安全性，而且促进了高效和有效的系统管理。

硬件所有权管理、调试/停运

通过物理不可克隆功能(PUF)引擎，TCU促进基于硬件的所有权转移，从而引入了变革性功能。在确保整个平台生命周期中调试和停运过程的安全方面，这些功能具有至关重要的作用。它为硬件资产的安全管理提供了一个全面解决方案，解决了与数据完整性和所有权变更相关的各种问题。

TCU提供了强大的先进功能库，这些功能共同增强了包括CSP、主机厂、原始设备制造商和企业在内的各种利益相关者系统的安全性、可见性和控制能力。这些功能包括硬件级别的取证数据监控、异常的早期检测、对系统组件的精细控制以及安全的硬件所有权转移。这种全面的功能组合构成了一个强大且智能的安全解决方案，可满足现代数据中心基础设施的安全需求。

(参考原文：how-do-trusted-compute-units-address-new-era-of-data-center-ransomware）

本文为《电子工程专辑》2024年2月刊杂志文章，版权所有，禁止转载。点击申请免费杂志订阅