服务器固件安全威胁来袭,你准备好了吗?

日期: 2017-07-16 作者:Robert Gates翻译:朱文浩 来源:TechTarget中国 英文

服务器固件可能成为网络犯罪分子的下一个前沿地带,对硬件供应商来说也是如此。

大多数网络犯罪涉及简单和漫无目标的勒索软件。但是,随着安全专业人员加固了操作系统和应用程序所在的数据平台,复杂的网络威胁源将寻找更易潜入的目标。一项全新的攻击向量是通过固件,在操作系统和应用程序的数据平面之下潜入。

网络安全顾问公司InfusionPoints LLC高级副总裁兼首席技术官Jason Shropshire说:“固件在数据平面的复杂性和连接性上都不断提升,这使得它成为攻击者利用弱点同时避免检测的理想场所。”

联邦调查局的休斯敦网络工作组(FBI’s Houston Cyber Task Force)计算机科学家James Morrison说,例如,网络犯罪分子试图破坏BIOS更新是一种深入网络的简单方法,因为许多IT专业人士都认为下载的BIOS更新是安全的。

固件破解行为尚不常见,但最近有一些被发现的例子。Moor Insights&Strategy公司总裁兼首席分析师Patrick Moorhead表示:“原始设计制造商将被感染的主板发送给了10位云服务供应商,其固件中包含“固定电话”功能。硬盘驱动器上的硬盘控制器已经出现了恶意软件,而USB驱动器固件也是藏污纳垢”,Morrison说。

Moorhead表示,保障安全的目标是会持续不断地变化,服务器固件已经变得越来越受关注,因为意图、工具、动机和攻击面持续在改变。网络和客户端设备变得更加安全,而黑客往往光顾那些安全性最薄弱的地方。

他说:“这就是为什么服务器固件是最新的适合攻击的场所。唯一可以添加功能来防范的就只有服务器供应商”。

据IDC分析公司的数据,对服务器固件的安全性以及最新功能的关注,伴随着服务器厂商的全球收入在2017年第一季度同比下降了4.6%至118亿美元。相比之下,惠普企业服务器(Hewlett Packard Enterprise)的收入下滑了16%。

HPE:信任硅(Trust silicon),但会验证所有代码

Hewlett Packard Enterprise(HPE)全新的Gen10 ProLiant服务器上个月推出的固件安全性最高。HPE服务器软件和产品安全总监Bob Moore说:“即使不考虑性能,他们也要考虑安全性,因为大家都很关注这一点。”

在Gen10的内部有着“基于硅的信任”,它连接硅和固件,旨在防止服务器使用受损的固件代码。Shropshire表示,之前保证服务器固件完整性的唯一方法是将其脱机,运行完整性检查,构建黄金映像并定期使服务器脱机,重新获取图像并进行比较。凭借对硅的信任,使得系统在运行时能够发生。

Shropshire说,HPE的硅基础信任领先于类似的服务器来实现平台完整性。他将这种改变与微软的创始人Bill Gates 在15年前引入可靠计算备忘录,从而改变微软操作系统安全的方法相类比。

HPE的Gen10服务器还将搭载英特尔新的至强处理器可扩展芯片,预计今年晚些时候发布。戴尔EMC上个月推出的第14代PowerEdge服务器是围绕同一芯片构建的。该芯片的细节仍然由英特尔公司承担,但两家厂商都宣称其下一代服务器将加强其安全性,与英特尔的下一代Xeon芯片保持一致(代号为Skylake)。

Moorhead表示,在最近使用的英特尔最新芯片的新服务器浪潮中,HPE的做法似乎是最安全的。戴尔EMC和HPE都有启动负载保护,但HPE是唯一通过其Integrated Lights-Out管理控制器验证所有代码的产品。

他说:“几乎所有人都在利用英特尔的安全机制,但只有HPE可以检查进出固件的每一段代码。”他说。

对安全性的担忧成为洛杉矶股票分析公司William O’Neil公司的首席系统工程师Zygmunt Diao的过去一年中的主要烦恼。他说他了解面向服务器固件的威胁,他很欣慰厂商正在认真对待这个问题。

然而他表示,他不确定HPE的新服务器增强功能是否将真正有助于保护企业IT系统。 即使新的服务器可以防止固件破坏,其中许多仍将与遗留系统相结合将传统系统至于脆弱的境地。

“从何种角度能够真正帮助客户保护自己? Diao问道。“有关安全我们还有许多工作要做。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Robert Gates
Robert Gates

TechTarget数据中心特约作者