该计划旨在以 Secured-core PC 对抗针对固件和操作系统层面的威胁。Secured-core PC 是在固件层应用安全最佳实践的设备。
微软解释称,这些设备的目标用户是金融服务、政府和医疗行业,以及处理高敏感性 IP、客户或个人数据的人士。
此类数据对国家级攻击者极具吸引力,据称俄罗斯相关黑客组织 Strontium 已经在攻击中使用固件漏洞,令恶意代码极难检测且难以清除。
相较于虚拟机管理程序和操作系统内核,固件负责初始化机上硬件及其他软件,具有较高级别的访问权限。
微软指出:针对固件的攻击会暗中破坏 Secure Boot 等机制,削弱虚拟机管理程序或操作系统实现的其他安全功能,令系统或用户被黑的情况更加难以觉察。
更重要的是,终端防护和检测解决方案对固件的可见性有限,针对固件层的攻击者更容易实现规避操作。
微软称,Secured-core PC 结合了身份、虚拟化、操作系统、硬件和固件防护,可以阻止此类攻击。因此,设备能够安全启动,不受固件漏洞影响,操作系统和数据都能保证安全。
另外,SecOps 和 IT 管理员可利用内置机制远程监视系统健康情况,实现基于硬件的零信任网络。
微软的固件防护之路始于 Windows 8 中引入的 Secure Boot,缓解引导加载程序和 rootkit 等风险。然而,Secure Boot 挡不住针对受信固件中漏洞的威胁。
微软解释称:采用 AMD、英特尔和高通的新硬件功能,Windows 10 如今实现 Secured-core PC 设备关键要求 System Guard Secure Launch,旨在保护气功过程不受固件攻击危害。
System Guard 利用 AMD、英特尔和高通最新芯片中的衡量用动态信任根 (Dynamic Root of Trust for Measurement (DRTM)) 功能,确保系统重新初始化到可信状态,限制固件获得的信任,交付威胁缓解。
该功能也可保护虚拟机管理程序,使其基于虚拟化的安全 (VBS) 功能完整性不受固件入侵损害。
微软称:VBS 依赖虚拟机管理程序将敏感功能与操作系统其他功能隔离开来,帮助防止 VBS 功能不受已感染正常操作系统的恶意软件影响,即便恶意软件已经提权。
Secured-core PC 设备还配备了可信平台模块 2.0 (TPM),衡量安全启动过程中使用的组件,帮助客户以 System Guard 运行时验证实现零信任网络。
Secured-core PC 设备的各项功能还应结合深度防御方法,包括代码安全审查、自动更新和攻击界面削减。
符合 Secured-core PC 标准的设备,比如戴尔、Dynabook、惠普、联想、松下和 Surface,可于文末链接查询更多信息。
微软声明:
https://www.microsoft.com/security/blog/2019/10/21/microsoft-and-partners-design-new-device-security-requirements-to-protect-against-targeted-firmware-attacks
Secured-core PC 设备更多信息:
https://www.microsoft.com/en-us/windowsforbusiness/windows10-secured-core-computers
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。