多可信网络Thwarts安全攻击

第二部分Series:可信任联网不单技术,它文化

可信硬件和软件联网解决方案以可核查方式实现期望目标实施网络可信解决方案,自始设计,帮助确保签名、密封和可核查网络基础设施这部分可信联网,我讨论过信任技术并设计成硬件软件保护网络设备软件不受未经授权篡改、操纵和仿真从建立连锁信任硬件安全ACIC使用软件安全开发生命周期到产品安全事件响应队管理常见脆弱性和接触

文章从防安全黑客攻击角度检视可信网络可信系统阻塞攻击启动前 如何限制损害 通过非安全网络设备

可信赖网络防安全攻击

CISO完全知道,有许多方法擅自访问无线网络设备过去十年中,网络设备,如路由器和开关等,随着设备开始建建在商品硬件上,并有数量开源代码整合到网络操作系统开通数条攻击渠道举例说,正如我们在第一部分所讨论的那样持久恶意软件可生存硬重播,因为恶意代码可改变BIOS或甚至下层启动程序以获取root控件硬件根层不内置保护防止低级代码加载并感染整个OS,检测并消除持久恶意感染几乎是不可能的.

有三大类防御网络设备威胁

• 运行时防御避免恶意代码注入网络软件,使攻击者很难利用软件硬件配置中的已知漏洞
• 安全设备上载防被篡改、染色或假冒装置可隐藏恶意代码新出盒或配置期间受感染
• 安全引导卫士对高级持久威胁攻击启动码并接管路由器和开关操作

这三个保障措施如何互为依存地提供多层保护以抵御各种威胁

运行时防御预防内存攻击

最常用攻击之一 — 强制缓冲溢出控制设备 — 也是最古老攻击之一但它仍在使用中,因为一些网络设备工程类商品不包含更高级运行时防御性措施以防止缓冲区溢出成功攻击运行时防御系统如ASLR、BOSC安全C和X-Space使攻击者更难利用像网络操作系统或网络协议等软件操作中的漏洞使用不同的辅助技术,运行时防御防止恶意可执行代码成功注入,将大于预期数据包插入存储器,并调用可预测的存储布局

地址空间布局随机化防控系统甚至在加载前启动随机划分设备内存布局部分使用模糊逻辑算法,防止攻击者设计依赖已知内存安排的恶意软件举例说,每个Cisco催化开关(同类型)都配置相同的工厂内存布局增强电源时,ASLR取出并随机分出一部分内存,结果每个开关都有一个不同的运行内存配置设计使用工厂内存布局或攻击器设备内存布局时,ASRR重构会阻塞自内存布局改变时设备靴,对ASLR设备持续攻击变得非常困难

内置物体大小检验运行时两防并用管理数据复制到存储器依赖通过路由包或CLI命令强迫更多恶意代码进入小块内存以引起缓冲溢出错误的攻击,通过实施BOSC并结合兼容编译技术停止编译者无法预测目的地缓冲大小时,安全C库实施以提供额外保护,避免缓冲溢出攻击

X-Space或可执行空间保护常由CPU-maker架构支持,以防止数据流隐藏的可执行代码在内存空间执行网络设备加固 X-Space表示内存区不可执行,使包中隐藏的恶意代码无法在这些存储区执行,并加层保护使攻击者难以利用缓冲溢出网络设备设计应指定X-空间功能CPU利用额外运行时防御

每一次运行时防御都必须实现逐字设计进路由器切换方式不可绕开网络设备没有变换 绕过内置安全措施,例如运行时防御安全根信任安全启动 Cisco可信安全双柱 保证安全装置登陆 防御持久威胁

安全设备入职保证认证

应用软件定义网络架构的长处之一是使用零触控和插件PnP服务配置远程网络设备的能力路由器和开关等设备可直接运到分支办公网站,由非技术雇员供电,由云管理门户IT专家远程配置制造、仓储、运输安装之间 IT如何知道设备是否以任何方式变换是否有方法防止未经授权设备试图窃取网络控制器和拦截网络设备配置数据? 内含敏感客户信息

安全嵌入硬件字面密钥,以确保设备安装和配置真实和无染安全信任锁定模块芯片嵌入硬件安全基础CiscoTam包含安全唯一设备标识器(SUDI)以及生成并存储配对密码服务包括随机数生成能力

SUDI安全启动器对用ZTP配置网络设备尤其重要,保证硬件均认证为原创软件加载路由器或开关加载BIOS和网络操作系统前,单元必须先向网络控制器证明它是一个可验证Cisco硬件组件,向域控制器提交加密SUDI-CiscoACI、Cisco数据中心网络管理员、Cisco脱氧核糖核酸中心或CiscovManage未经授权设备无法跨过此阶段, 因为它对SUDI、加密密钥和证书一无所知 。

硬件证书验证后,BIOS和启动程序由附加加密证书验证,以确保代码运行前不打印网络操作系统内核负载和路由器接收配置文件加入管弦结构过程的每一步都配有加密证书安全通道供端对端可信提供

硬件根信任预防持久威胁

持久威胁由恶意代码组成 深入启动软件根连重开或重置电源都不可调离代码,如果没有硬件信任根检测并避免代码运行安全启动程序定位于托管锚硬件中,即使是设计为持久化的代码也不会有证书或加密密钥通过硬件托管链授权的预加载测试

安全装置上载并预防持久威胁只是两个原因 信任之根必须来自安全防篡改硬件在x86和ARM设备中,这需要特别注意设计一些网络商贩试图从BIOS搭建安全启动器,而不是安全硬件锚攻击者拥有设备腐烂BIOS可指令加载错误OS图像,但报告正确版本运行路由器或开关BIOS破损后,攻击者可随意访问网络

可信赖技术协同工作

Cisco开发并部署到客户的多项安全措施协同工作创建可信网络单方解决无法提供可信网络建立信任链包括安全开发生命周期、安全信任根嵌入硬件、图像签名、通过独立PSIRT持续监控CVes、多运行时防御和安全装置入机

最重要的是网络构件可信度取决于致力于设计、实施和支持这些关键构件的文化数列第三篇文章中,我将研究如何创建、推广并维护可信赖开发支持文化

订阅网络博客