Giảm thiểu rủi ro với FPGA và Bảo mật dựa trên phần cứng

Công nghệ bảo mật dữ liệu thông thường đã bước vào một chế độ leo thang dai dẳng. Các nhà thiết kế hệ thống đầu tư rất nhiều vào thiết kế và xác thực, trong khi những kẻ tấn công liên tục phát hiện, khai thác và chia sẻ các lỗ hổng mới. Kết quả là một dòng cập nhật và các bản vá để đóng các phương thức tấn công đã biết. Để làm chậm sự phát triển của các mối đe dọa mới và bảo vệ các hệ thống dễ bị tấn công khỏi các tác nhân độc hại, cần có sự thay đổi mô hình và một cách tiếp cận mới.

An ninh mạng dựa trên phần cứng sử dụng công nghệ mảng cổng lập trình hiện trường (FPGA) cung cấp khả năng bảo vệ mạnh mẽ hơn, tiết kiệm chi phí hơn cho các thiết bị được sử dụng bởi các tổ chức cơ sở hạ tầng, quân sự và tình báo quan trọng. Không giống như các CPU cung cấp năng lượng cho tường lửa phần mềm, FPGA được giới hạn ở một số trạng thái có thể hữu hạn, làm giảm đáng kể phạm vi của các lỗ hổng hoặc lỗ hổng triển khai tiềm ẩn.

Tại sao phải bảo mật dựa trên phần cứng? 

Bảo đảm và đảm bảo cơ bản rất hiếm trong an ninh mạng. Mục tiêu thường là tìm ra giải pháp mang lại rủi ro thỏa hiệp thấp nhất so với các giải pháp khác, với sự hiểu biết rằng rủi ro sẽ luôn lớn hơn 0.  

Bảo mật dựa trên phần cứng làm giảm rủi ro bảo mật xuống mức thấp nhất có thể và mang lại cho các tổ chức sự tin tưởng cao rằng các thành phần của họ không thể thực hiện bất kỳ chức năng nào ngoài chức năng mà họ được thiết kế để thực hiện.   

Mặc dù không có gì có thể loại bỏ tất cả rủi ro an ninh mạng, nhưng việc bổ sung công nghệ bảo mật phần cứng có thể biến các điểm dễ bị tấn công trước đây thành điểm mạnh nhất trong mạng và giảm đáng kể bề mặt tấn công của tổ chức.  

CPU và tường lửa: vốn dễ bị tổn thương

Các nền tảng máy tính hiện đại dựa trên công trình của Alan Turing, người đã chứng minh rằng ngay cả một thiết bị tính toán tương đối cơ bản có thể đọc và ghi lặp đi lặp lại từ bộ nhớ (hoặc bộ nhớ) về mặt lý thuyết cũng có thể thực hiện bất kỳ thuật toán phức tạp tùy ý nào. Hạn chế duy nhất về mức độ phức tạp của các trạng thái mà Máy Turing có thể đảm nhận là dung lượng lưu trữ mà nó có sẵn. Những kẻ tấn công lợi dụng sự phức tạp này bằng cách tìm cách “lừa” Bộ xử lý trung tâm (CPU) trong hệ thống máy tính để vượt ra ngoài giới hạn của việc thực thi thông thường và bắt đầu xử lý các lệnh mới.   

Cách tiếp cận phổ biến để bảo vệ CPU dễ bị tấn công là triển khai tường lửa mạng: một bộ lọc giám sát các thông báo bên ngoài và chặn hoặc sửa đổi bất kỳ thứ gì tuân theo một mẫu được biết là (hoặc có khả năng) độc hại. Nhiều tường lửa hiện đại được xây dựng trên các nền tảng chuyên biệt cao với các tính năng dành riêng cho bảo mật, nhưng bất chấp những tính năng nâng cao này, tường lửa được triển khai bằng CPU chỉ có tác dụng đơn giản là đặt một CPU ít lỗ hổng hơn trước một CPU dễ bị tấn công.

FPGA: kiểm soát quá trình

Một cách tiếp cận thay thế để triển khai các chức năng bảo mật là sử dụng máy trạng thái hữu hạn hoặc mạch chuyên dụng. Cách tiếp cận này thiếu tính linh hoạt không giới hạn của máy Turing, nhưng nó có lợi ích là giảm đáng kể hoặc loại bỏ khả năng thực hiện không mong muốn. Một mạch chuyên dụng vẫn có thể triển khai các chức năng logic rất phức tạp, nhưng không giống như CPU ​​thông thường, nó không dựa vào việc thực thi lặp đi lặp lại và truy cập ngẫu nhiên vào bộ nhớ hoặc bộ lưu trữ trung tâm.    

Một cách thực tế để triển khai các mạch chuyên dụng phức tạp trong các hệ thống hiện đại là sử dụng mảng cổng có thể lập trình hiện trường, hoặc FPGA. FPGA có thể lập trình được trong đó mạch mà nó thực hiện có thể được cập nhật và thay thế thông qua một tệp cấu hình. Với thiết kế cẩn thận, quy trình được sử dụng để tải một cấu hình mới có thể bị cô lập khỏi đường dẫn dữ liệu qua FPGA, dẫn đến một mạch không thể thay đổi trong quá trình thực thi.     

FPGA và bảo mật 

Việc sử dụng công nghệ FPGA cho mạng tiên tiến không phải là mới. Có nhiều ví dụ về các hệ thống mạng sử dụng FPGA để giảm tải các hoạt động tốc độ cao, lặp đi lặp lại và có các thư viện dành cho thiết kế mạch hoàn thiện để triển khai các ngăn xếp mạng và bộ điều hợp giao thức mạnh mẽ. Tuy nhiên, hầu hết các hệ thống dựa trên FPGA thông thường được thiết kế để tối đa hóa hiệu suất và dễ dàng cấu hình hơn là bảo mật.    

Kiến trúc bộ lọc FPGA an toàn cần đảm bảo cách ly hoàn toàn đường dẫn dữ liệu khỏi quá trình cấu hình. Khi được thiết kế phù hợp, cách tiếp cận này thay đổi đáng kể bề mặt tấn công của hệ thống kết quả. Quyền truy cập vào CPU được bảo vệ hiện có thể được xử lý thông qua một mạch chuyên dụng trong FPGA. Một bộ lọc được thiết kế phù hợp, dành riêng cho ứng dụng sẽ đảm bảo rằng ngay cả một CPU dễ bị tấn công sẽ không bao giờ nhận được nội dung độc hại.    

Ngoài ra, hầu hết các FPGA hiện đại đều có thể được định cấu hình để chỉ chấp nhận tệp cấu hình được ký kỹ thuật số. Nếu khóa bí mật cần thiết để ký một cấu hình mới nằm ngoài CPU quản trị, thì ngay cả khi có quyền truy cập vào bộ xử lý được phân đoạn này, kẻ tấn công vẫn không thể thay đổi cấu hình của FPGA.

Khi thực hiện lọc dựa trên phần cứng bằng cách sử dụng mô hình này, các tổ chức có thể đạt được mức độ bảo mật vượt xa những gì tường lửa dựa trên phần mềm có thể cung cấp. Thay vì thêm nhiều lớp phần mềm để bảo vệ một nền tảng bị thiếu sót, FPGA cho phép các tổ chức tập trung vào việc thiết kế các mạch thực tế có thể giám sát và thực thi các bộ quy tắc giao thức và dữ liệu nghiêm ngặt.    

Nhúng an ninh mạng

Một trong những ứng dụng hứa hẹn nhất của bảo mật dựa trên FPGA là tạo ra công nghệ an ninh mạng nhúng để bảo vệ các hệ thống điều khiển công nghiệp và các hệ thống quan trọng khác.
Trong những năm gần đây, các tác nhân đe dọa đã phát triển các công cụ rất tinh vi để tấn công các hoạt động công nghiệp, quân sự và chính phủ. Một số cuộc tấn công nhằm mục đích đánh cắp dữ liệu hoặc lây nhiễm các máy trạm của người dùng, trong khi các mối đe dọa khác, nghiêm trọng hơn, nhắm vào mạng thấp hơn và cố gắng phá vỡ các quy trình vật lý. Một cuộc tấn công thành công ở cấp độ thấp nhằm vào một nhà máy điện, hệ thống nước, cơ sở hóa chất hoặc địa điểm cơ sở hạ tầng quan trọng khác có thể gây thiệt hại hàng triệu đô la và khiến hàng nghìn sinh mạng gặp rủi ro.

Khi ngày càng có nhiều thiết bị công nghệ hoạt động (OT) được kết nối với mạng, nguy cơ xảy ra loại vi phạm thảm khốc này càng tăng. Các thiết bị OT đặc biệt dễ bị tấn công, bởi vì chúng không được thiết kế với tính bảo mật và trước đây đã được vận hành trên các mạng bị cô lập. Để quản lý rủi ro, các nhà khai thác cơ sở hạ tầng quan trọng đã buộc phải bảo vệ thiết bị của họ bằng các giải pháp bảo mật ngày càng phức tạp. Tốt nhất, các giải pháp này khó và tốn kém để duy trì; tệ nhất, chúng thực sự tạo ra các lỗ hổng mới do cấu hình không đúng.

Các chủ sở hữu mạng ICS đang hướng tới một chiến lược mới để bảo vệ chống lại các mối đe dọa mạng: an ninh mạng nhúng. Thay vì bảo mật hệ thống của họ bằng cách thêm các lớp cơ sở hạ tầng mới và hỗ trợ cùng với chúng, các chủ sở hữu mạng đang tìm kiếm thiết bị OT bao gồm công nghệ bảo mật tích hợp sẵn. Các hệ thống với công nghệ bảo mật tích hợp có thể tự bảo mật mà không cần đến cơ sở hạ tầng bên ngoài.

Sự thay đổi đang diễn ra đối với các thiết bị thông minh, dịch vụ đám mây và tăng cường kết nối tạo ra cả cơ hội mới và rủi ro mới. Bảo mật được thực thi bằng phần cứng, dựa trên công nghệ FPGA, thể hiện một sự thay đổi cơ bản trong công nghệ an ninh mạng và cung cấp một con đường hướng tới các hệ thống thực sự linh hoạt và an toàn.