硬件安全威胁上升

公司高级副总裁兼首席技术官马丁·斯科特说Rambus他接受了《半导体工程》的采访，讨论了一个日益严重的安全问题，是什么导致了这个问题，以及为什么硬件现在成为日益增长的攻击面之一。以下是那次谈话的节选。

SE:对于Meltdown和Spectre，赌注已经改变了，因为重点不是使用硬件来获得软件。它把硬件本身作为攻击目标。这是如何改变事情的?

斯科特:通用计算界倾向于认为硬件是安全可靠的。即使该领域的专家已经知道这一点，但在脑海中，情况已经不再是这样了，这是一件大事。它将推动特别安全或快速的专用处理器的有趣工作，并可能刺激许多新的创新。这是一个巨大的漏洞，存在问题和挑战，但它也是一个警钟，可以刺激一些真正有趣的创新。

让我们深入研究这个问题。通常，在过去，您会弄清楚硬件的行为，然后使用探针或其他攻击机制进入并接管软件。“熔断”和“幽灵”，我们看到的是直接的、非常复杂的黑客行为。

斯科特:攻击的范围很广，而且正在变得越来越广。攻击硬件需要高度的复杂性，并从努力中获得高水平的价值。我们总是喜欢谈论这样一个事实:只要有足够的时间和金钱，只要有聪明的人参与，就没有什么是安全的。但同样重要的是，许多备受瞩目的攻击都是一些非常简单的事情没有做好的结果。对我来说，这个永远互联的世界的挑战和有趣之处在于它真的很容易被攻击。如果你想想Mirai攻击，它是一个僵尸网络利用开放的网络端口。

SE:那是第一次物联网那么大规模的攻击，对吧?

斯科特:这是第一批非常引人注目的攻击之一。如果你考虑到即将上线的新连接设备的数量，你就会看到世界各地的攻击越来越多。其中一些将是复杂的，但其中许多将是非常简单的IT协议，不注重细节，有人利用互联网连接来清除大数据。当世界上越来越多的东西都在互联网上，就更容易找到可以利用的东西。这几乎是一个双模态的世界，你有一些非常复杂的东西，但你也有一个不断增加的攻击面，业余人士可以进去做坏事。

SE:还有更多的数据。这些数据是否变得更加集中，以便你可以挖掘关于一件事或一个人的更有价值的数据?

斯科特:这个问题的一个方面是，这些数据流是否被私下分割。由于这些数据的混搭具有很高的商业财务价值，您将越来越多地看到想要组合这些数据流的趋势。它是有价值的。有更多的可盈利信息，不仅仅是用于营销的数据，还可以推断一个人的生活下一步。如果你知道你要买什么，你要去哪里旅行，你什么时候做，什么时候回家，那么如果你把所有这些都混在一起，你可能有很多你不想分享的个人数据。有GDPR法规的欧洲在监管回应方面走得更先进，消费者对允许这类数据有更高的期望。这将是一个非常有趣的领域。还有一个问题，什么是合法的，什么是黑客可以获得的。我们可以解决大多数用例，但数据混搭是我们都应该长期考虑的用例。

SE:现在的问题是谁拥有数据的权利?

斯科特:是的，当然。如果你有一个安全的时钟和一个安全的地理位置，在这个设备里有一个加速度计，里面有很多信息。谁会将其货币化，谁拥有它还不清楚。

SE:那么这里的攻击面是什么?它是侵入了硬件，还是仅仅侵入了数据?

斯科特攻击者总是会去最容易下手的地方。联网的东西越多，可用的设备种类就越多，进入的机会就越多。从统计学上来说也是如此。如果你看看移动平台，它更加成熟和标准化，并且已经投入生产足够长时间，可能很难进入这些设备。应用程序和内存被更好地绑定在一起。但是，如果该设备连接到你的汽车的fob，或冰箱的水过滤器替代品，或你的家庭网关，你的可穿戴设备，这些地方没有相同水平的标准化、协议遵从性或安全测试。这是有趣而令人担忧的攻击面。这些都是你认为不太有价值的东西，比如你能通过你的烤面包机进入你的房间，然后开车离开吗?

SE:你如何开发一款可以使用10到15年的设备，那时黑客会比现在更复杂?

斯科特这是个大问题。你每三到四年就会更换一次智能手机。安全性越来越好。但工业领域并非如此。那你该怎么做呢?拥有连接的、延长寿命的设备意味着你必须能够在现场升级它们。你必须能够安全地给它们打补丁，并通过安全管道推出新的固件或新的加密算法。这些都是智能手机世界自动处理的事情。要为一台冰箱或一辆汽车制定一个一站式、端到端可更新的标准并不容易。这是一个巨大的机会，可以在一开始就建立安全升级软件的能力，或者做一些简单的事情，比如撤销设备上互联网的权限。 If you authenticated and provisioned a device, you’re basically saying, ‘You are who I think you are, but I’m going to watch you.’ And it may be a case where you see strange behavior and you take action. It’s important for those extended-life devices to revoke that authority to connect.

SE:与过去相比，现在似乎对硬件后门有了更多的认识。几年前，军方担心这个问题，但其他人都不担心。现在，越来越多的人认为这是一种真正的可能性。

史考特:是的，它是。

SE:那么我们该怎么做呢?我们能否以人们愿意支付的价格有效地在设备中建立全面的安全性，或者作为附加服务更好?

斯科特当前的问题是谁的损失最大，谁愿意为更多的安全保障买单。通常情况下，负债最多的实体需要有预算来减轻这些风险。如果你选择一家产量高、利润率低的芯片制造商，安全似乎是一笔额外成本。在现实中，他们的责任可能仅限于制造、包装、测试和向OEM发货。他们必须保证功能，但不能损失数据或安全性——至少在历史上是这样。如果你与开发芯片组的人交谈，他的价值主张取决于用于安全关键或财务决策的数据，那么这些生态系统必须划分预算并愿意为安全买单。但如果他们可以采用订阅模式来增加连接的安全性，而不是单位成本大幅上升，这是一个合理的替代方案。我们将看到更多类似于订阅的持续安全业务模式，因为这不是一个安全或不安全的问题。这是一个连续体，不是静态的。对于一个延长寿命的设备来说，它与设备的安全性有着持续的关系。 It’s not a check-box and it’s deployed. You’re talking to it for a long time. If you’re paying for it on an ongoing basis, it’s less painful.

SE:那么这个问题到底有多严重?

斯科特要理解所有简单事物的复杂性，以及真正困难的事物，是令人生畏的。这涉及到几乎没有资金的业余爱好者，一直到民族国家。对抗措施和协议保护的级别范围很广。对侵入性内部攻击的担忧也增加了很多。如果你看看超大规模的数据中心，对特权访问、背景调查和持续行为分析的审查已经发生了变化。攻击的严重性可能很大，部分原因是计算、网络和存储集中在大数据中心。但同时，对于非经济利益而言，造成混乱的可能性也非常高。我们被要求解决“网络供应商X”和“服务器供应商Y”可以访问的区域的安全数据，因为他们有徽章，他们将交换出这个线路卡或交换机或ssd堆栈。假设他们不被信任，人们对环境故障安全的担忧与10年前不同。

SE:十年前，所有人都认为静态数据是安全的。只有当它启动时，人们才开始关心。现在支持这些数据的是底层硬件。

斯科特:是的，你必须考虑DRAM可以转储到NVM模块的位置，以及物理设备的可移动性。

SE:在支付方面发生了什么?

斯科特对于钱，你在乎的是它应该去的地方。银行不愿意损失你的钱，你也不愿意损失自己的钱。这当然需要仔细审查和关注可验证的身份。越来越多的金融交易安全领域与这样一种假设有关，即传输中的凭证不仅有可能，而且很可能会被拦截。您如何降低凭证被盗或被用于另一笔金融交易的风险?我们非常努力研究的一大技术领域是标记化。它将有价值的个人凭证(因为它可以绑定到个人或信用卡号码)转换为一个没有意义的字母数字，因为您没有实际的代码。您假设如果该令牌对对手可用，他们就不能对该数字做任何事情;代币的价值毫无价值。我们业务的主要部分是为金融服务提供网关、连接器和标记化。 Mobile payments drove a lot of that, but we’re getting a lot of inquiries about other kinds of payments, like tokenization for ACH (automated clearing house) transfers. Rather than just mobile payments, financial institutions are looking at tokenizing everything that might have value. We’re trying to broaden the footprint of tokenization because it’s a very straightforward way to reduce the security risk of credentials in transit.

SE:在过去，代币使用起来很痛苦。这是自动的吗?

斯科特:是的。这不是关于开发本地第二个因素进行身份验证。您不知道的是，您的凭证在来回更改。这不是身份问题。这是一种混淆您的凭证，以帮助安全保护您的数据和信息。它是自动的，而且速度非常快，因为Rambus不会增加显著的延迟，而且易于部署。

SE:对于可能出现的问题，我们拥有所有这些能力和知识。这对功率和性能有什么影响?

斯科特这要看情况。防止最严重的侧通道攻击需要一些额外的能量、一些额外的区域和计算，以确保即使有数百万个周期的攻击也不会泄露信息。你无法逃避。但安全解决方案是一个连续体。挑战在于在对手的风险和回报之间取得平衡。它值多少钱?如果我有一个单一的、有限的语音机器，我可能可以接受对该平台进行逆向工程的风险。这可能是一个不值得花钱来使它更安全的例子。可能在其他情况下，根据资产或与之相关的东西，它的价值更高。很多证券业务都是关于风险与回报的匹配。 There’s no free lunch in engineering. It’s another optimization. Our customers expect us to make security recommendations and architecture direction decisions that are as important as the clock cycle, throughput and bandwidth. It’s another architectural optimization parameter, rather than in the past where you added security when the device is done. That could be software, firmware or packaging. There’s been a sea of change in the past five years, where security has become part of the architectural design.

SE:我们过去认为安全风险主要存在于接缝或接口上。这是真的吗，还是现在到处都是?

斯科特这仍然是事实，但它也无处不在。我们会有很大的前门和坚固的锁，但你必须假设坏人仍然会进来。现场监测，无论是网络还是芯片级别，都将是非常有趣的。如果你将其与一些学习算法结合起来，设备将更加安全。你不可能达到100%的安全。你能做的最好的事情就是让攻击面尽可能小，使用最好的应对措施来对付任何最有可能的威胁，随着时间的推移，确保你能不断地意识到发生了什么，这样你就可以采取行动。