Intel geeft prioriteit aan beveiliging in de nieuwste VPro-chips

Heruitgegeven door Plato

volgers: 0

Intel slaat een nieuwe weg in met de nieuwste commerciële pc-chips die vorige maand werden aangekondigd: in plaats van snelheid en prestaties aan te prijzen, legde het bedrijf de nadruk op de beveiligingsfuncties van de chip.

De chipgigant heeft de afgelopen jaren samengewerkt met beveiligingsleveranciers om beveiliging op hardwareniveau op de chips te implementeren om laptops te beschermen tegen ransomware- en malware-aanvallen. De nieuwe 13e generatie Intel Core vPro-processors bevatten verbeteringen onder de motorkap op firmware- en besturingssysteemniveau die de systeembescherming en het beheer verbeteren, zegt het bedrijf.

Aanvallers zullen het moeilijker vinden om de firmware te compromitteren door middel van hardware-exploits, omdat veel van de nieuwe upgrades zich in de firmware en het BIOS van de chip bevinden en de beveiligingslaag van de chip preventie- en detectiemogelijkheden bevat. Er is bijvoorbeeld een betere handshake tussen de firmware en De virtualisatietechnologie van Microsoft in Windows 11 om inbraken te voorkomen, zegt Mike Nordquist, vice-president en algemeen manager van Intel Business Client Product Planning and Architecture. Hij merkt op dat Hyper-V op Windows 11 werkt met vPro om geheimen en referenties op te slaan in een virtuele container.

“Als je alleen detectie hebt, laat je steeds iedereen je voordeur binnen. Je gaat het probleem nooit echt aanpakken. Je moet uitzoeken hoe je die voordeur sluit”, zegt Nordquist.

Veilige enclaves op chip

Intel's vPro biedt nu de hooks voor kritieke applicaties die op Windows 11 draaien om in het geheugen te worden versleuteld via een functie genaamd Total Memory Encryption-Multi-Key.

Microsoft biedt de mogelijkheid om opslagschijven te versleutelen, maar heeft onlangs de mogelijkheid toegevoegd om gegevens in het geheugen te versleutelen. Intels nieuwere Core-chips, codenaam Raptor Lake, zijn klaar voor die functie; ze hebben 16 geheugenslots waarin applicaties kunnen worden gecodeerd, met aparte sleutels die nodig zijn om de gegevens te ontgrendelen.

De functie helpt zijkanaalaanvallen voorkomen, waarbij meestal wordt ingebroken in een chip en niet-versleutelde gegevens worden gestolen uit bronnen die geheugen bevatten. Hackers zouden een sleutel nodig hebben om de gegevens te ontgrendelen, en het isoleren van applicaties in 16 verschillende slots maakt het een nog grotere uitdaging om gegevens te stelen.

Applicaties worden versleuteld in virtuele machines die in de geheugenslots zijn gemaakt en systeembeheerders kunnen de functie in- of uitschakelen.

"We versleutelen niet het hele geheugen, want als je het niet hoeft te doen, heeft dat in feite invloed op de prestaties", zegt Venky Venkateswaran, directeur clientproductbeveiliging en virtualisatie-architectuur en -definitie voor Intel's Client Computing Groep.

Een nieuwe vPro-technologie om beveiligingsbedreigingen te voorkomen, TDT (Threat Detection Technology), gebruikt bibliotheken die in de chips zijn ingebouwd om abnormale activiteiten en beveiligingsbedreigingen op een pc te identificeren. De bibliotheek beoordeelt telemetrie die afkomstig is van CPU's en die mogelijk verband houdt met abnormale verwerkingsactiviteit als gevolg van een inbreuk op de beveiliging.

De bibliotheken kunnen bijvoorbeeld zien of een toepassing voor het minen van cryptocurrency een abnormaal hoog aantal crypto-instructies gebruikt. Die informatie wordt naar beveiligingstoepassingen gestuurd, die die gegevens in hun engine gebruiken om bedreigingen te beoordelen en te stoppen.

De bibliotheken hebben modellen die zijn afgestemd om ransomware en andere soorten aanvallen uit te bannen.

"We hebben low-level telemetrie en een soort AI-engine die de ruis kan verwijderen... je wilt geen valse positieven hebben", zegt Venkateswaran.

Intel werkt samen met verschillende antivirusleveranciers, waaronder Microsoft, CrowdStrike, Eset en Check Point Technologies, om TDT-functies te integreren in beveiligingssoftware. Op deze manier krijgen de leveranciers toegang tot hardwaretelemetrie om bedreigingen in virtuele machines te detecteren. Eset Endpoint Security zal bijvoorbeeld ransomware kunnen detecteren via de performance monitoring unit (PMU) van Intel, die zich onder applicaties in het besturingssysteem bevindt.

Componenten patchen

Intel werkt samen met pc-fabrikanten om een standaardmethodologie te ontwikkelen voor het patchen van pc's, en het legt niet alle eieren in één mand als het gaat om het beveiligen van systemen. De focus ligt op het opzetten van beveiligingseilanden voor verschillende hardwarecomponenten.

“Er is geen reden waarom het BIOS toegang moet hebben tot het geheugen van het besturingssysteem. Er zit geen toegevoegde waarde in. Dus we hebben dat eigenlijk bevoordeeld op een basisniveau … en we hebben een verbeterd niveau gedaan waar we het echt goed konden afsluiten. Op vPro is dat iets beter”, zegt Nordquist.

Aanvalsvectoren voor pc's zijn anders dan servers en vereisen een ander beveiligingsprofiel, zegt Nordquist. “Vroeger werden pc's ontworpen om ervoor te zorgen dat het besturingssysteem beschermd was. Wat als ik iets wil beschermen tegen het besturingssysteem? Wat als ik de hypervisor niet vertrouw? Ik heb het volgende beveiligingsniveau nodig om daarmee om te gaan”, zegt Nordquist.

Chipbugs pletten

Als teken dat Intel het serieus neemt om van hardwarebeveiliging een prioriteit te maken, kende het bedrijf vorig jaar $ 935,751 aan bugpremies toe aan beveiligingsonderzoekers die beveiligingsfouten in zijn chips en firmware openbaarden. Het bedrijf heeft sinds de start van het programma in 4 in totaal $ 2017 miljoen betaald, volgens de meest recente jaarverslag veiligheidsonderzoek.

“Deze firmware-updates worden meestal uitgebracht op de website van Intel en de leverancier van het apparaat is verantwoordelijk voor de distributie ervan. Sommigen van hen kunnen automatisch worden geleverd door Microsoft Windows Update, maar slechts een beperkt aantal leveranciers kan hun apparaten hiermee updaten”, zegt Alex Matrosov, oprichter van Binarly, maker van een firmware-beveiligingsplatform dat mensen helpt hardwarekwetsbaarheden te ontdekken en te patchen.

“CISO's zouden meer aandacht moeten besteden aan bedreigingen en apparaatbeveiliging onder het besturingssysteem. Elke volwassen onderneming zou moeten investeren in firmwarebeveiliging en in het bijzonder in beheer van kwetsbaarheden voor hun apparaatbeveiligingsweide”, zegt Matrosov.