Bảo mật ngày càng trở thành một yếu tố thiết kế quan trọng, được thúc đẩy bởi các cuộc tấn công ngày càng tinh vi, việc sử dụng ngày càng nhiều công nghệ trong các ứng dụng quan trọng về an toàn và giá trị ngày càng tăng của dữ liệu gần như ở khắp mọi nơi.

Tin tặc có thể mở khóa ô tô, điện thoại và khóa thông minh bằng cách khai thác các điểm mềm thiết kế hệ thống. Họ thậm chí có thể hack một số điện thoại di động thông qua mạch luôn bật khi chúng bị tắt. Đầu năm nay, Okta, một công ty bảo mật cung cấp dịch vụ xác thực cho nhiều công ty, cũng bị tấn công.

Cuộc tấn công mạng Lỗ hổng nghiêm trọng, được gọi là CVE - CVE-2022-1654 (mitre.org), và được xếp hạng ở mức quan trọng 9.9, khiến 90,000 trang web có nguy cơ bị tin tặc kiểm soát hoàn toàn. Đáng báo động hơn nữa, phần lớn điều này có thể bị trượt bởi phần mềm bảo mật hoàn toàn không bị phát hiện. Ví dụ: Quản lý sự kiện và thông tin bảo mật doanh nghiệp (SIEM), một công cụ phân tích an ninh mạng luôn hoạt động, không thể phát hiện 80% các kỹ thuật tấn công mạng, theo Hồng yOps.

Về mặt tích cực, bảo mật phần cứng được tích hợp sẵn sẽ giúp các nhà phát triển tăng cường khả năng phòng thủ hệ thống.

Không tin ai
Những kẻ đe dọa luôn giả vờ là người khác, đặc biệt là những người có thông tin xác thực để truy cập mạng. Bất kỳ phần nào của các mạng hoặc hệ thống đó không được cấp quyền truy cập cho bất kỳ ai một cách dễ dàng cho đến khi yêu cầu truy cập được xác thực hoàn toàn. Sau khi xác thực, chỉ nên cấp quyền truy cập một lần cho một nội dung cụ thể vào thời điểm nó được yêu cầu. Ngoài ra, xác thực phải được trình bày với thông tin đáng tin cậy như mật khẩu tài khoản, thông tin đăng nhập tài khoản và khóa (API, SSH, mã hóa).

Một khái niệm tương đối mới được gọi là “không tin cậy” đang được triển khai để tăng cường an ninh mạng ở tất cả các cấp. Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), một bộ phận của Bộ Thương mại Hoa Kỳ, định nghĩa không tin cậy (ZT), một phần, là “một tập hợp các mô hình an ninh mạng đang phát triển nhằm di chuyển phòng thủ từ các vành đai tĩnh, dựa trên mạng để tập trung vào người dùng, nội dung và tài nguyên. Kiến trúc không tin cậy (ZTA) sử dụng các nguyên tắc không tin cậy để lập kế hoạch cho quy trình làm việc và cơ sở hạ tầng công nghiệp và doanh nghiệp ”.

Zero trust giả định rằng không có sự tin tưởng ngầm nào được cấp cho nội dung hoặc tài khoản người dùng chỉ dựa trên vị trí thực tế hoặc mạng của họ hoặc dựa trên quyền sở hữu nội dung. Vì vậy, các mạng cục bộ sẽ không được đối xử khác với internet và sẽ không có sự phân biệt nào giữa mạng doanh nghiệp và mạng thuộc sở hữu cá nhân. Xác thực và ủy quyền (cả chủ thể và thiết bị) là các chức năng riêng biệt được thực hiện trước khi thiết lập một phiên cho tài nguyên doanh nghiệp.

Zero Trust tập trung vào việc bảo vệ tài nguyên - bao gồm tài sản, dịch vụ, quy trình làm việc, tài khoản mạng, v.v. - chứ không phải phân đoạn mạng. Vị trí mạng không còn được coi là thành phần chính của thế trận an ninh của tài nguyên ”.

NIST đã xuất bản Kiến trúc Zero Trust (nist.gov), được gọi là NIST 700-800, vào tháng 2020 năm XNUMX để giúp các doanh nghiệp phòng thủ trước các cuộc tấn công mạng. NIST cũng là công cụ giúp thúc đẩy an ninh mạng quốc tế với Khung an ninh mạng, NIST 700-207, được sử dụng làm ngôn ngữ an ninh mạng phổ biến.

Hình 1: Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) xác định các thành phần logic không tin cậy cốt lõi trong hướng dẫn Kiến trúc Zero Trust của nó. Nguồn: NIST

Chính sách không tin cậy xác định nhiều thuộc tính người dùng và ứng dụng để khiến những kẻ mạo danh vô cùng khó giả mạo danh tính của họ. Các chính sách đề cập đến danh tính và thông tin đăng nhập của người dùng, dù ở dạng người hay ngôn ngữ máy, bao gồm đặc quyền thiết bị, loại phần cứng, vị trí, phiên bản hệ điều hành và chương trình cơ sở cũng như các ứng dụng đã cài đặt.

So với phương pháp tĩnh truyền thống, quy trình động này đã tăng cường an ninh mạng một cách đáng kể. Ngay cả khi một tài sản bị xâm phạm, thiệt hại được giới hạn.

Cách chip tăng cường khả năng miễn nhiễm với phần mềm độc hại
Nhiều cơ chế bảo vệ an ninh mạng này (không tin cậy, khởi động an toàn, xác thực, quản lý khóa an toàn và bảo vệ chống tấn công kênh bên) từng được thực hiện bởi phần mềm doanh nghiệp hiện đang được thực hiện tự động ở cấp chip hoặc phần sụn bên trong thiết bị. Điều đó không chỉ làm tăng hiệu suất tổng thể của hệ thống mà còn làm cho chúng an toàn hơn. Tuy nhiên, điều quan trọng cần ghi nhớ là có nhiều cách để thực hiện bảo mật chip.

Steve Hanna, kỹ sư xuất sắc tại Infineon. “Tất cả người dùng và thiết bị phải được yêu cầu xác thực trước khi họ kết nối với các máy chủ hoặc mạng nhạy cảm. Để bảo vệ nâng cao, các tính năng như quản lý khóa an toàn, bảo vệ NFC, Mô-đun nền tảng đáng tin cậy (TPM) và đặc biệt là bảo vệ chống tấn công kênh bên giờ đây có thể được triển khai và tích hợp trong silicon hoặc chiplet riêng biệt. Đối với các nhà phát triển không phải là chuyên gia bảo mật, cách tốt nhất là thuê một chuyên gia bảo mật để đánh giá bảo mật. Họ sẽ kiểm tra tính bảo mật của hệ thống để tìm ra điểm yếu và đánh giá mức độ bảo mật tổng thể so với nhu cầu. Sau đó, họ sẽ cấp chứng chỉ bảo mật theo một hệ thống như Tiêu chí chung của CISA để khách hàng có thể biết sản phẩm an toàn đến mức nào ”.

Điều này đúng với tất cả các loại phần cứng. Ralph Grundler, giám đốc cấp cao của các giải pháp kiến ​​trúc và tiếp thị tại Logix linh hoạt. “Một phương pháp sử dụng tính năng obfuscation, trong đó các phần bí mật của thiết kế không được lập trình cho đến khi quá trình sản xuất hoàn tất. Các kỹ thuật khác sử dụng eFPGA để mã hóa hoặc làm hình mờ điện. Sử dụng eFPGA có thể tự động sửa đổi thuật toán hoặc khóa hình mờ. ”

Sự thay đổi từ một giải pháp chỉ sử dụng phần mềm sang sự kết hợp của cả hai là một sự thay đổi lớn. Scott Best, giám đốc công nghệ bảo mật chống giả mạo tại Rambus. “Không thể để một ứng dụng cấp cao (ví dụ: ứng dụng thanh toán di động) xác minh tính xác thực của hypervisor nếu hypervisor là độc hại. Tất cả các lớp đều phụ thuộc ngầm vào sự tin cậy và cách duy nhất để đảm bảo sự tin cậy trong toàn hệ thống là bắt đầu với bảo mật được neo trong phần cứng ở cấp độ chip. Nếu bạn tin tưởng silicon, thì mọi 'lớp' phần mềm có thể được ký và xác minh bằng mật mã bằng cách sử dụng cơ sở hạ tầng khóa công khai đáng tin cậy để đảm bảo tính xác thực của mọi lớp trong ngăn xếp, từ phần sụn CPU cho đến hết trình siêu giám sát và cấp cao đăng kí. Nếu không có silicon an toàn, được cung cấp và theo dõi bởi một hệ thống chuỗi cung ứng an toàn và không có cơ sở hạ tầng khóa công khai đáng tin cậy, thì không thể chứng minh rằng một thứ thiết yếu trong hệ thống không phải là một vật thay thế độc hại ”.

Tại sao khởi động an toàn lại quan trọng?
Ngay cả trước khi không tin cậy được thực hiện, "khởi động an toàn" cần phải được áp dụng. Phần mềm độc hại cố gắng giả mạo hệ điều hành, bộ nạp khởi động và ROM khởi động bằng cách thay đổi mã hệ điều hành hoặc bộ nạp khởi động. Nếu một máy tính hoặc một hệ thống nhúng bị nhiễm, phần mềm độc hại sẽ tiếp quản trong quá trình khởi động lại và toàn bộ hệ thống, bao gồm cả mạng, sẽ bị xâm phạm. Do đó, điều quan trọng là phải đảm bảo quá trình khởi động, hay còn gọi là khởi động an toàn. Khởi động an toàn là một tính năng của Unified Extensible Firmware Interface Thông số kỹ thuật 2.3.1 (UEFI), xác định giao diện giữa hệ điều hành và phần sụn / BIOS. Nó được hỗ trợ bởi Windows và nhiều nền tảng phần cứng khác.

Với khởi động an toàn, phần cứng được định cấu hình trước với thông tin xác thực đáng tin cậy. Ví dụ, CPU / chủ sở hữu của một hệ thống nhúng trước tiên tạo ra hai khóa khác nhau, một khóa riêng tư và một khóa công khai, sử dụng mã hóa không đối xứng. Các khóa là một chuỗi mã phần mềm. Khóa riêng tư được biết bởi chủ sở hữu chứ không ai khác. Khóa công khai được biết cho bất kỳ ai. Trước khi mã của bộ nạp khởi động thực thi, các chữ ký được tạo bởi bộ nạp khởi động bằng khóa công khai được so sánh với chữ ký được tạo bởi khóa riêng. Hai khóa này được liên kết với nhau bằng một công thức toán học. Khóa công khai được sử dụng để mã hóa, trong khi khóa cá nhân được sử dụng để giải mã.

Ngay cả khi tác nhân đe dọa cố gắng phá hoại bộ tải khởi động bằng phần mềm độc hại, tác nhân đe dọa sẽ không biết công thức toán học. Khi bộ nạp khởi động phát hiện thiếu chữ ký hợp lệ và các khóa cần thiết, quá trình khởi động sẽ dừng lại.

Quản lý khóa an toàn được sử dụng trong xác thực là điều cần thiết. Một số phương pháp hay bao gồm chia chìa khóa thành nhiều phần để chỉ một cá nhân biết được chìa khóa hoàn chỉnh, tự động hóa khoảng thời gian sử dụng chìa khóa và thiết lập để nó tự động hết hạn và tránh mã hóa cứng các chìa khóa.

Một chiến thuật tấn công mạng phổ biến là tấn công kênh phụ. Tin tặc có thể triển khai các phương tiện khác nhau để lắng nghe thiết bị mục tiêu bằng phương pháp điện tử. Bằng cách phát hiện thành công mẫu tín hiệu do thiết bị tạo ra, chúng có thể giải mã mật khẩu và xác định các phương pháp xác thực.

Jasper van Woudenberg, CTO của Rủi ro ở Bắc Mỹ. “Cả hai lớp tấn công đều yêu cầu bảo vệ nhiều lớp, lý tưởng nhất là từ các giao thức thông qua phần mềm và đến silicon. Các biện pháp đối phó ở mức silicon tồn tại. Đối với sự kháng cự thực tế được đưa ra bởi các biện pháp đối phó, ác quỷ đang ở trong chi tiết. Các triển khai ngây thơ có thể không thực sự hiệu quả, hoặc có thể có chi phí lớn - hoặc cả hai. Giống như xác minh chức năng, bắt buộc phải xác định hiệu quả của biện pháp đối phó trong quá trình thiết kế, cũng như xác định số lượng vị trí tối thiểu để áp dụng chúng có hiệu quả nhất. Các kỹ thuật mô phỏng tồn tại giúp một nhà thiết kế xác định chính xác đâu là điểm yếu tiềm ẩn, để làm cho các vấn đề có thể phát hiện và khắc phục được. ”

Khi có sẵn phần cứng nguyên thủy với khả năng chống lỗi hoặc kênh bên đã biết, lập trình viên hệ thống có thể sử dụng chúng để bảo mật phần sụn hoặc ứng dụng. “Ví dụ, một lõi mật mã có thể hỗ trợ các khóa được bọc,” van Woudenberg nói. “Phần mềm hiện có thể xử lý an toàn các khóa được mã hóa và đã ký mà không cần quyền truy cập vào các khóa thực. Khi việc mở khóa được thực hiện trong silicon bằng cách sử dụng bảo vệ kênh bên, kiến ​​trúc như vậy có thể hỗ trợ quản lý khóa khỏi phần mềm đáng tin cậy và từ môi trường không đáng tin cậy nơi có thể xảy ra các cuộc tấn công phần cứng. Tương tự, khối gỡ lỗi có thể hỗ trợ mở khóa thông qua cụm mật khẩu, trong khi nó bảo vệ khỏi các cuộc tấn công lỗi thông qua xác minh dự phòng cụm mật khẩu đó. Nói tóm lại, tính bảo mật và tổng chi phí để có được sự bảo mật đó, không chỉ phụ thuộc vào tính bảo mật của các thành phần phần cứng và phần mềm riêng lẻ, mà còn vào cách chúng được kết hợp với nhau ”.

Bảo mật yêu cầu thử nghiệm rộng rãi
Cấp phép IP bảo mật có lợi thế hơn so với việc phát triển SoC từ đầu vì IP đã được chứng minh và sẽ có các lỗi bảo mật tối thiểu.

“Người dùng từ các cộng đồng thương mại và hàng không vũ trụ và quốc phòng muốn bảo vệ các mạch độc quyền của họ bằng eFPGA IP,” Andy Jaros, phó chủ tịch tiếp thị và bán hàng IP tại Flex Logix cho biết. “Vải FPGA tích hợp không chỉ khó thăm dò và thiết kế đối chiếu mà nội dung của nó còn bị mất khi chip tắt nguồn. Việc lập trình FPGA trong một môi trường an toàn cũng hạn chế quyền truy cập vào các mạch độc quyền chỉ cho những người có nhu cầu biết ”.

Trong quá trình triển khai IP và / hoặc SoC, điều quan trọng là phải có quy trình xác minh toàn diện để đảm bảo thông tin về lỗ hổng liệt kê điểm yếu chung (CWE) cập nhật nhất từ ​​MITER luôn có sẵn và được xác minh. Ngoài ra, quy trình xác minh phải tuân thủ các tiêu chuẩn bảo mật mới nhất.

Mitchell Mlinar, phó chủ tịch kỹ thuật của Tortuga logic. “Nó bắt đầu với kiến ​​trúc của hệ thống. Khi xây dựng kiến ​​trúc - trước cả khi bạn xây dựng phần cứng hoặc phần mềm - bạn phải nghĩ đến tất cả các trường hợp sử dụng có liên quan đến bảo mật hoặc tài sản an toàn. Điều này tự nó đã khó. Sau đó, khi bạn bắt đầu xây dựng hệ thống của mình, các trường hợp sử dụng đó sẽ mở rộng và phát triển thành các thử nghiệm cụ thể trong phần cứng và phần mềm. Có nhiều khối, chẳng hạn như khởi động an toàn phần cứng và quản lý khóa, cũng như xác thực phần mềm và kiểm soát truy cập cần có sẵn trong bộ xây dựng. Nhưng quan trọng hơn bản thân các khối là cách chúng tương tác với phần còn lại của hệ thống ”.

Điều này có thể trở nên phức tạp. Mlinar nói: “Người ta phải xem xét các kịch bản khai thác có thể xảy ra và đảm bảo những lỗ hổng tiềm ẩn này không thể xảy ra. “An ninh là một chuỗi liên tục và tất cả các thành phần đều phụ thuộc lẫn nhau ở một mức độ nào đó. Ví dụ: bạn có thể xây dựng một con chip hoàn toàn an toàn từ góc độ phần cứng - và bạn nên làm như vậy. Do đó, điều quan trọng là phải trải qua một quy trình xác minh bảo mật toàn diện để đảm bảo việc triển khai IP và SoC được an toàn ngay từ đầu. Điều này có nghĩa là không chỉ thiết kế phần cứng đảm bảo các nội dung thiết kế quan trọng không thể bị tin tặc truy cập mà còn xây dựng bố cục silicon để ngăn chặn các cuộc tấn công kênh bên có thể trích xuất khóa mã hóa phần cứng (hoặc thậm chí phần mềm). Nhưng bạn cần thực hiện các hoạt động hợp pháp trên chip đó, chẳng hạn như thay đổi mã khởi động hoặc truy cập tài sản an toàn và điều đó có nghĩa là các lớp phía trên nó cũng cần được bảo mật. Nếu một số ứng dụng được phép truy cập phần cứng do xác thực kém hoặc kiểm soát truy cập yếu, điều đó có thể dễ dàng làm tổn hại đến toàn bộ chuỗi tin cậy ”.

Hình 2: Quy trình xác minh bảo mật toàn diện rất quan trọng để đảm bảo việc triển khai IP bảo mật và / hoặc SoC sẽ đạt được mức bảo mật tối đa. Nguồn: Tortuga Logic

Và ngay cả khi mọi thứ được thực hiện chính xác, bảo mật hiếm khi vĩnh viễn. Mark Knight, giám đốc quản lý sản phẩm kiến ​​trúc tại Cánh tay. “Mục tiêu quan trọng của vòng đời phát triển an toàn (SDL) là xác định phản ứng thích hợp đối với các mối đe dọa bảo mật có thể thấy trước để một sản phẩm sẽ được bảo vệ trong suốt vòng đời dự định. Điều này liên quan đến việc hiểu khả năng xảy ra và tác động tiềm ẩn của một mối đe dọa để các sản phẩm có thể được định vị ở đúng phần của đường cong rủi ro. Giảm thiểu rủi ro bảo mật có thể có nhiều hình thức - kỹ thuật, kiểm soát bù đắp hoặc các biện pháp thương mại. Kiểm tra thâm nhập và đánh giá bởi phòng thí nghiệm kiểm tra độc lập hoặc bên thứ ba có kinh nghiệm là hai trong những cách tốt nhất để đảm bảo rằng sản phẩm được bảo mật trước các kỹ thuật tấn công mới nhất và do đó có thể tăng độ bền của sản phẩm. ”

Chứng nhận cũng có thể là một lợi thế cạnh tranh trên thị trường. Knight cho biết: “Chứng nhận có thể cho phép các nhà cung cấp giới thiệu tác phẩm 'vô hình' này cho khách hàng của họ. “Bảo hiểm mạng cũng có thể đáng được xem xét, vì điều này có thể cung cấp giảm thiểu ở cấp độ doanh nghiệp cùng với các phương pháp kỹ thuật tốt nhất. Ngoài ra, các công ty bảo hiểm đang ngày càng tìm kiếm bằng chứng cho thấy các sản phẩm được triển khai đáp ứng các tiêu chuẩn bảo mật thông lệ tốt nhất ”.

Cập nhật phần mềm và chương trình cơ sở an toàn
Làm thế nào để cập nhật chương trình cơ sở một cách an toàn là một cân nhắc quan trọng trong việc thiết kế các hệ thống an toàn. Để hỗ trợ nỗ lực này, Nhóm máy tính đáng tin cậy (TCG) gần đây đã xuất bản Hướng dẫn của TCG về Cập nhật an toàn phần mềm và chương trình cơ sở trên hệ thống nhúng. Tham khảo phiên bản cũ hơn của Hướng dẫn Bảo vệ Hệ thống Đầu vào / Đầu ra Cơ bản (BIOS) của NIST, Hướng dẫn TCG cung cấp các hướng dẫn chi tiết để cập nhật phần mềm và chương trình cơ sở một cách an toàn.

TCG là một tổ chức phi lợi nhuận được hỗ trợ bởi các thành viên hàng đầu bao gồm AMD, Cisco, Dell, Google, Hewlett-Packard, Huawei, IBM, Infineon, Intel, Juniper, Lenovo, Microsoft và Toyota. Các công nghệ Mô-đun Nền tảng Tin cậy (TPM) dựa trên tiêu chuẩn đã được các thành viên của nó triển khai để bảo mật các hệ thống doanh nghiệp, hệ thống lưu trữ, mạng, hệ thống nhúng và thiết bị di động chống lại các cuộc tấn công mạng. Đặc điểm kỹ thuật thư viện TPM 2.0 hiện là tiêu chuẩn của Tổ chức tiêu chuẩn hóa quốc tế / Ủy ban kỹ thuật điện quốc tế (ISO / IEC).

Không có gì tồn tại mãi mãi khi nói đến bảo mật. Nhưng việc triển khai zero trust, cập nhật phần mềm an toàn và bảo mật bán dẫn sẽ cho phép các nhà phát triển có cơ hội tốt hơn nhiều trong việc bảo vệ chống lại tin tặc trong suốt vòng đời của thiết bị.

Đọc thêm:
Các tài liệu kỹ thuật về bảo mật
Thay thế chip Làm tăng lo ngại về bảo mật
Rất nhiều ẩn số sẽ tồn tại trong nhiều thập kỷ trên nhiều phân khúc thị trường.
Xây dựng an ninh vào các vi mạch từ đầu
Các cuộc tấn công không nhấp chuột và các cuộc tấn công blockchain chỉ ra sự gia tăng sự tinh vi của hacker, đòi hỏi sự tập trung sớm hơn nhiều vào các giải pháp và rủi ro bảo mật tiềm ẩn.
Ẩn khóa bảo mật bằng cách sử dụng ReRAM PUF
Hai công nghệ khác nhau đang được kết hợp như thế nào để tạo ra một giải pháp bảo mật độc đáo và rẻ tiền.
Xác minh tiền silicon bảo mật kênh bên
Sự phức tạp và các ứng dụng mới đang đẩy bảo mật xa hơn nhiều về phía bên trái trong quy trình thiết kế.