安全改进前

经过近两年的谈论如何安全是埃克斯波特学院面临的最大问题之一,在许多方面正在取得进展。

更改涉及许多公司,个人,通过标准团体合作。虽然这并不会停止这种高调的漏洞影响目标、家得宝(Home Depot)或摩根大通或者一长串其他巨头,这些努力将有助于保持这些数据库的基本硬件部分和销售点系统更加安全和防止成为未来非法活动的入口点。

在硬件方面,数据路径的关键因素之一。进入硬件方法有很多,但不是所有的人都是安全的。弄清楚哪些路径需要担保,哪些没有,听起来应该是相对简单的。然而,选择并不是那么简单。

“问题总是在哪里你把路径,”罗伯•艾特肯表示手臂的家伙。“你想加密当你打开或关闭这条道路。如果你有一个多核架构和你加密所有,变成一场噩梦。但是这里有另一个块,即TrustZone概念。有些事情需要安全,不要的东西。所以你需要加密的密码,但是并不是所有的物联网。如果你有一个聪明的灯泡网关,你只想加密发送数据。影响你如何想要做计算,无论是本地或片外。”

首席执行官查理程Kilopass同意:“历史上可靠的解决方案一直是独立的控制平面和数据平面。狭窄的和长期控制飞机并没有减缓数据平面。这是一个不同的体系结构从建筑物的入口/出口。”

风险承受能力
工作期间一直在过去的24个月,只有在过去的12个月里,有越来越多的人意识到和接受各级要做。这正值越来越多的聪明和连接设备在许多市场,更不用说承认如果违反继续以同样的速度,这将是更难智能设备卖给消费者和企业,

“这是获得,安全是人们关注的东西,“玛纳斯Saksena说,物联网的技术和产品营销高级主管组迈威尔公司。”物联网一切开始于SoC。一旦产品的船只,唯一应该被允许运行都信任。需要安全的引导,保持键在芯片内部,公钥加密和加密。一旦所有的基础平台,您可以添加安全最重要的是。所以你可以保持网络和云的凭证,必须加密,可以确保通信安全,这样你就不会得到任何“中间人”攻击。”

Saksena说,在那之后,安全是定义良好的传输层安全内(TLS)和云。

具有讽刺意味的是,部分与最先进的技术和保护的历史数据,即数据中心和安全网络,是最大的安全隐患发生。硬件比软件更难以破解,尽管它是容易假冒和出售一旦入侵。典型的方法是边信道攻击使用微分动力分析等技术,以及更多的物理方法,磨床用于剥包,紧随其后的是插入探针监测功能或控制芯片的时钟。

一种方法被许多安全经理在大公司是能够跟踪这些攻击。他们知道黑客将尝试获得哪里有有价值的信息,但他们不知道如何。一旦有任何特别的交通或行为,他们可以精确定位和追踪黑客的下一步的行动。最初运行良好,但黑客现在非常先进,资金雄厚,他们的入口点是极其微小的,足够他们使用的代码是有效的,很难辨别。也可以是几个月,甚至几年的时间代码之间插入,当它被激活。

更新的方法是孤立敏感数据在系统数据路径不相交并监视任何访问这些数据更密切,孤立的巨大数量的数据流经一个数据中心。

标准
更多的标准正在开发与这些新策略。开放标准组织prpl基金会已经开发了一个新的框架,将在下月进行同行评审,关注信任的根的概念,一个安全靴和一个完全独立的数据路径启动基于1型管理程序。

这种区别的管理程序2型托管虚拟机监控程序是直接在金属上运行,没有虚拟化层和操作系统下。现在有很多供应商提供1型虚拟机监控程序,包括导师图形、甲骨文、微软、VMWare,以及地狱之火的框架。

“我们将品牌这是开放的安全,”说,凯撒•加拉迪首席证券策略师prpl基金会。“这是踢在hypervisor。你可以管理这个SoC的微码。在第一阶段的启动,只是管理程序。如果不签署了由一个可信的实体,则系统不启动。安全风险管理,管理和处理,最好的方法是分层的安全。有很多上层的云安全解决方案,但他们在底层硬件有多想念。”

prpl基金会最初开始MIPS架构的支持,但它的架构是开放和它的成员名单包括公司从高通、博通、椭圆(现在所拥有的Synopsys对此)Lantiq(现在所拥有的英特尔)。

“这是一个短期的越来越紧迫和物联网连接设备,“Garlati说。“潜在的,它是人与飞机、汽车,甚至武器。黑客越来越多是战争。飞行员飞无人机多于实际的飞机。20美元的系统,您可以发送无线活动破坏,广播在2 g作为短信。”

IEEE正在安全,解决从制造分裂到身体unclonable功能。目前在这个领域工作小组,从恶意软件到一群发展物联网的体系结构框架。简而言之,这已经成为全行业的必要,因为安全是最常见的问题之一,物联网/埃克斯波特学院。参与这些努力的公司数量正在增长。

确保整个供应链
虽然大多数企业认为供应链是物理块,越来越多,包括嵌入式软件、固件、软IP和无线更新。造假一直主要集中在物理部分,这是一个潜在的风险,因为添加后门。但是其他地区同等或更大的威胁。

产品管理主管沃伦•Kurisu运行时解决方案导师图形指出,三种状态的数据,在工作中,在运输途中。他说一个解决方案是一个hardware-enforced安全分区,敏感信息的完全隔离在另一个区域的其他功能。此前关键数据路径的方法,但它也允许更新在其他部分保持电流。

“有有线和无线支持,您可以添加手臂TrustZone分离,“Kurisu说。“这是至关重要的工业客户和医疗的关键。”

导师设计了一个安全网关,包括安全的引导,反篡改技术和加密保护。外的保护设备安全装置,由防火墙保护、相互认证和访问控制。反过来,被管理设备维护,增加安全固件更新,管理代理和ARM的TrustZone。更新需要通过多层次的安全只是开始,他们被禁止进入深入设备由多个层。

图1:导师图形的分层的方法一个安全网关。

没什么事是完全安全的,但安全层越多,越难进入设备,较低的黑客的ROI。如果硬件足够安全,违约的风险转移到下一个级别,这是无线更新。这些天,甚至越来越关注。

“无线更新,你对服务器进行身份验证,并确保你在说,你认为你在跟谁说话。所以你可以验证服务器或一个图像。图像是保密和转移在一个安全的通道。所有加密的。”

臂引入了一个“snoop过滤器”今年早些时候,它捆绑最新互连技术。Snoop过滤器有助于维持一致性在缓存控制器的优化带宽,但他们也可以帮助与安全,根据尼尔·帕里斯高级营销经理的系统和软件。结合两个是非常重要的,因为第一反应是堵住安全漏洞的同时,必须完成,不影响性能或整体功率预算。“手臂花很多时间寻找系统的这些天,”帕里斯说。

结论
安全是被设计成最新的硬件架构阶段认识到每一个连接系统的一部分需要抵抗破坏。

“最终,所有芯片都将有一个基本的安全级别,”查理Janac说,董事长兼首席执行官Arteris。“你将有一个信任的根,其中可能包括在工厂员工在芯片。将会有一个硬件层和一个软件层,包括加密、微分动力分析和数字版权管理。但在硬件之上,还有一个很大的安全问题。现在,没有执行的安全公司。你想要有人承担痛苦。”