在數位世界中資料為王,不少企業透過資料分析增加產品或服務的附加價值,以維持競爭優勢。此外,在5G和物聯網等技術的加持下,設備可以比以往更輕鬆地透過網路共用資料。共用資料引發資料量的爆發狂潮,研究分析公司Statista預計,到2025年全球創造的資料將達到180 ZB。這些資料擷取到的豐富資訊,包含信用卡號、專用IP等,都是對駭客具有吸引力的目標。因此隨著資料中心收集和儲存的資料量成長,針對資料中心的網路攻擊創新性和複雜性也日益提高。
存放中央處理單元(CPU)、圖形處理單元(GPU)的裝置,和網路卡的韌體是特別吸引駭客的目標。因為韌體作為電子系統的基本元素,如果遭到破壞,系統會更加難以偵測異常。長期以來,企業都已意識到保護這些設備中的資料,免於遭竊取至關重要。目前在較具規模的資料中心,儲存重要資料的設備往往會受到良好的保護。
惡意駭客為了尋找資料中心其他潛在的漏洞,在試圖攻擊資料中心時,越來越多以伺服器元件為目標。伺服器中常見許多半導體元件,例如控制引導順序、風扇控制和電池管理的嵌入式控制器。半導體元件的韌體可能會遭到破壞或被替換成虛假韌體,導致駭客可以未經授權就存取伺服器上的資料,或干擾正常的伺服器操作。
韌體攻擊的隱匿性非常強,因為伺服器元件的韌體,是在伺服器的作業系統運作,和任何反惡意軟體功能生效之前就會載入。導致韌體攻擊難以被發現,或者即使被發現也很難消除,而且許多公司對於韌體安全並不夠重視。在由Microsoft委託對IT和安全決策者進行的調查中指出,受訪者認為韌體漏洞幾乎與軟體或硬體漏洞一樣具有破壞性,但用於保護韌體的預算不到整體資安運算的三分之一(表1)。企業必須認真對待資料中心的韌體安全,否則可能面臨重要資料或IP遭竊的風險。在考慮韌體安全時,IT和安全團隊應關注三個因素,包含建立設備真實性、程式碼真實性以及保護資料安全。
建立設備真實性
伺服器的主機板、工作負載加速器和購買後安裝的附加板,由不同的供應商設計,並在全球各地製造。這些設備的供應鏈容易受攻擊,非法韌體或硬體可以在生產和測試的各個階段安裝到電路板上,等待毫無戒心的客戶在伺服器中安裝已遭到破壞的設備。IT團隊必須確保新增到伺服器的任何硬體,都能驗證新的硬體是否按照規範運作。
建立程式碼真實性
韌體若遭到破壞,不只導致資料遭到竊盜,IP被也可能被竊取,影響元件製造商的盈利能力和聲譽。如前文所述,半導體通常在某個國家/地區製造,在另一個國家/地區封裝,最後在第三個國家/地區整合到系統中。由於半導體元件在供應鏈中的接觸點較多,缺乏道德的承包商可以輕鬆複製供應商的韌體,將其安裝在未經授權的晶片上,然後在處於灰色地帶的市場上銷售假冒的零組件。惡意人士假冒韌體不僅影響原始供應商的利潤,如果經假冒的設備效能低下,還可能損害原供應商的聲譽。
保護資料安全
加密是防止未經授權者存取資料的成熟技術,但新的加密威脅正在引起網路安全產業的關注。量子運算等技術如果應用得當,有機會破解複雜的加密技術。目前多數企業都在使用128位元和256位元加密,對於使用傳統運算技術的攻擊者而言,這樣的做法已足以保護資料。但是,量子運算能夠以指數成長的速度處理資料,過去使用傳統運算方法需要數十年才能破解的加密演算法,量子運算可能只需要幾天就能破解。
利用HRoT保護韌體
值得慶幸的是,2018年美國國家標準及技術研究所(NIST)發布了平台韌體韌性的SP 800-193指南。NIST表示,這些指南提供保護平台免受未經授權的(韌體)更改、偵測發生的未經授權更改,並建立可快速安全地從攻擊中恢復的安全機制。包括OEM廠商和元件/設備供應商在內的人員,可以使用這些指南在平台內建立更強大的安全機制。系統管理員、資安專業人員和用戶,可以使用這份文件來指導未來系統的採購策略和優先事項。
NIST SP 800-193標準推廣使用硬體信任根或HRoT(圖1),以確保裝置在啟動過程中,載入到伺服器元件中的韌體,在裝置啟動之前經過合法驗證。當伺服器啟動時,HRoT元件是第一個接電的元件,可驗證裝置中韌體,和在HRoT啟動後,接電的任何元件的韌體,所需的加密元件。透過在伺服器的嵌入式控制器增加HRoT功能,企業不但可以在整個啟動過程中保護伺服器,還可以在作業系統和反惡意軟體載入並運行之前,保護伺服器。
NIST也在鼓勵企業採用更先進的加密演算法。2016年,NIST在優秀的密碼學家之間舉辦一場比賽,以開發能夠抵禦基於量子運算的攻擊的演算法。比賽於2023年結束,NIST宣布了四種新加密演算法,新演算法將包含在即將推出的後量子加密標準化專案中。
網路安全就像是一場軍備競賽,一方是致力於保護電腦系統的守護者,另一方是打算破壞這些系統的攻擊者(包括犯罪分子和國家支援的駭客)。雙方都不停地抵抗對方的進攻。韌體已經成為這場持久鬥爭的最新戰場,若是忽視在威脅評估和安全計畫中包含韌體的企業,將較高的資料外洩風險。
(本文作者為Microchip Technology資料中心事業部門經理)
