企业网络技术的发展一方面为高速数据交互提供了通道支撑,另一方面也为黑客提供了新型的攻击思路。有人说,勒索病毒盯上的是那些操作系统和上层软件的漏洞,而网络硬件受到的攻击似乎比较有限。现实情况并非如此,原因不仅是因为定制化引入了更多人为规则,同时风险规避也往往被人忽视。
从企业网络看硬件威胁(图片来自albertasupernet)
通常,网络中的漏洞部分是由于操作人员对网络环境的生疏所导致,设计开发时没有对网络安全有预先部署,对网络中运行的应用程序也不甚了解,由此造成的功能与标准相矛盾,从而出现漏洞。其中,数据传输时的泄密可谓是网络硬件方面出现最多的安全漏洞之一。这些硬件漏洞一旦被检测出来,就需要由供应商为固件完善特定的代码,这可不是软件OTA升级那么容易。
考虑到硬件远高于软件的设计复杂度,以及一些技术瓶颈的限制,再加上较高开放程度,引起黑客注意是早晚的事情。要想在硬件设备或者芯片中嵌入恶意逻辑,难度正在降低。前不久就有网友爆料称,英特尔管理引擎中的AMT、ISM、SBT在ME(非CPU固件)上有远程利用漏洞,涉及所有英特尔企业版服务器芯片技术。即使没有联网,在本地仍然能被黑。而在更早之前,也有黑客利用1997年就存在的一个x86处理器漏洞,在计算机底层固件中安装了rootkit恶意软件。
除了芯片,也有黑客利用某些类型的DDR芯片设计缺陷,在内存应用和OS的沙盒中,修改了该区域的内容,提升了自己的Linux系统权限,使其能够执行恶意代码或劫持用户数据。只要是存在“位翻转”漏洞的DDR3内存,都会成为潜在的攻击对象。在64毫秒内,攻击者可以发起超过54万次内存访问。尽管升级DDR4可以避免这一漏洞,但还是让技术人员捏了一把汗。
回到网络层面,第三方IP核的采用,以及硬件设计越来越依赖于CAD等软件工具来实现,都对网络防御技术提出了挑战。以无线AP为例,加密后的风险性仍较高。对此,企业除了要部署多层防护,也要学会识别网络设备的接入点。再来看SNMP(简单网络管理协议),其主要由设备、代理、NMS(网络管理系统)三部分组成,而攻击者可以破解硬件部分,通过修改配置来潜入网络。此时,安全人员对网络漏洞的定期测试必不可少。
一些基于硬件而研发的防火墙类入侵检测及防御系统也不是万能的,黑客完全可以趁着供应商推出修复补丁时对其进行反向操作来攻克它。换句话说,每一次的更新上线和配置更改,都面临着硬件风险。当防御系统变成了可被利用的工具,设备的安全性如何保证?
更重要的是,随着物联网技术的落地,黑客针对IoT设备发起的攻击比例逐步攀升,可造成的攻击包括设备拒绝服务、获取设备控制权、恶意代码控制网络、流量劫持等。根据国家信息安全漏洞共享平台给出的信息,网络摄像头、路由器、交换机、网关等网络硬件的漏洞数量排在前列。可以说,当物联网设备承载了海量用户数据后,被攻克造成的损失是难以统计的。
如果将这种硬件威胁放大到整个数据中心,同样是适用的。拿定制化服务器来说,用户可以通过突发网络峰值、CPU温度、电力使用情况来判断各个硬件组件是否被入侵。如果想检测硬件中的恶意软件,就要主动连到风险网络去监控所有的网络活动。要是有无法确定的恶意组件,恐怕就要逐一移除来排查了。
总的来说,虽然软件漏洞仍在安全风险中占据多数,但硬件层面的漏洞绝对无法忽视。无论是通过网络破解软件,从而获得硬件的控制权,还是经由硬件攻破数据中心,二者的安全性是需要综合考量的,切不可防了“软”,却忽视了“硬”。
