英特尔如何从芯片级进行安全赋能

传统的观点认为安全能力由安全软件提供。但是，安全所处的位置越底层，安全能力就越有效——毕竟，攻击者可以通过攻陷下层的操作系统绕过安全软件。微软这几年来做了很多事来确保他们的Windows操作系统安全，但是在操作系统之下，还有硬件以及固件。

如果攻击者进入操作系统更下层，进入固件，在操作系统之上运行的安全能力对攻击几乎完全不可见，更遑论遏制攻击。一次成功的固件攻击——比如像俄罗斯APT28使用的技术，能够无视操作系统重装，甚至硬盘更换行为。因此，针对固件的高级攻击数量在今年来急剧上升。

在2021年3月，微软研究表明，超过80%的企业在过去两年内都至少经历过一次固件攻击，但只有29%的安全预算被用于保护固件。

对于固件以及其他硬件等级的问题没有一个简单的解决方案，它需要对芯片能力、硬件使用、以及这些因素和操作系统之间关系的重新思考。这样的合作项目已经进行了数年，而其成果，就是被微软成为“Secured-Core”的新一类电脑。

这一类安全电脑的基础就是其底层的芯片安全。Secured-Core电脑由硬件信任根、固件保护、Hypervisor 强制的代码一致性检查、以及分离的安全身份和域名凭证组成。

英特尔Hardware Shield

Secured-Core电脑上的芯片安全部分只是英特尔正在进行的硬件安全项目的一部分。

随着攻击者持续演进他们的技术，快速向硬件基础设施进发，英特尔认为任何规模的企业都需要将预算投入更好的技术中——从端点，到网络边界，到云。

英特尔表示他们的安全技术项目能覆盖三个领域：基础安全、工作负载和数据保护、以及软件可靠性。

而在他们的安全能力的核心，是英特尔Hardware Shield——通过一系列的技术，监测CPU行为，以发现任何恶意活动的迹象，并且通过GPU的帮助加速内存扫描。

而在英特尔Hardware Shield的中心是TDT（Threat Detection Technology，威胁检测技术），用芯片级的遥测与加速能力定位早期的勒索病毒、挖矿、无文件脚本、以及其他目标攻击迹象。

根据英特尔，TDT已经进行了升级，拥有了“目标”检测的能力，将硬件遥测能力和机器学习结合，记录、分析以及检测它们的行为。

英特尔将TDT的高级平台遥测技术描述为“低消耗工具”，不需要侵入式扫描技术或者签名数据库。

英特尔公司商用客户端平台事业部 战略规划与架构总监Michael Nordquist表示：“使用在芯片等级的遥测技术，我们可以看见一些在操作系统层面看不见的东西。如果我们看见了一种奇怪的加密方式在硬盘上运行，我们就可以标记一下。这是不正常的行为，很有可能意味着一种勒索病毒感染。这些都是我们能在设备层面做到的事。”

英特尔CET

英特尔在2020年6月宣布的英特尔CET（Control-Flow Enforcement Technology，控制流强制技术）属于软件可靠性范畴，提供针对基于JOP/COP和ROP内存攻击的进一步防护策略。

Nordquist表示，CET为软件开发者提供两种关键能力，帮助抵御控制流劫持恶意软件：影子堆栈以及间接分支追踪。影子堆栈针对JOP（jump-oriented programming）与COP（call-oriented programming）提供间接分支防御的能力，而间接分支追踪能力通过返回地址保护的方式，抵御ROP（return-oriented programming）攻击。

由于攻击者会通过将现有在执行内存中运行的代码以一种非正常的方式运作，从而改变程序的行为，因此JOP或者COP攻击一般很难防范。而英特尔CET的本质，是基于硬件的解决方案，在攻击者试图修改程序原本的工作流的时候，触发反应。

“我们在去年发布了这个产品。”Nordquist说到，“在发布后的几个月内，我们就让OS支持能够防范攻击。而用户要做的，只是点击升级到最新的操作系统版本。所以，我们发现了一个问题，意识到我们在哪里可以附加价值，然后弄清是否有一个可以配合的合作伙伴来解决整个端到端的问题，然后我们让我们的终端用户或者IT商店能够轻松地接纳这个产品。”

英特尔CET已经在Windows的谷歌Chrome上部署，同时微软也在自己的Edge浏览器中试点这项技术。

“不信任任何人”

零信任被英特尔描述为“不信任任何人”，并且作为安全的未来被公司所接受。英特尔将自己的芯片比作“芯片上的网络”，并将零信任部署到这个网络中。这包括了像“故障安全和故障可靠”确保不会因为冷启动导致的机密信息泄露、“绝对中介”检查每个接入的合法性、“最小特权”将每个硬件代理的权限最小化并最小化特权蠕变等等的能力。

通过这一系列芯片级技术的发展，确保芯片的一致性，零信任可以在更广阔的商业网络中得到应用。每一个电脑都能被单独识别，同时每台电脑里存有的芯片都能被信任。下一步就是确保设备本身的一致性，以及设备的使用者或者拥有者的一致性。

如果配合上像固件防护之类的其他新硬件安全功能，就能有很有底气地表示“我认识这个设备，并且我知道我可以信任它”。剩下的就是确认用户的身份。这在逐渐演化的混合办公环境中越来越重要，因为在家中的电脑更少地被保护。

英特尔从硬件升级层面进行的零信任支持依然在研发中，但是目标显然是要讲VPN从通信中去除：因为设备和用户能够被信任，并且通信也能被加密。

硬件升级周期

十年前，企业通常是有五年或者六年的操作系统替换周期，以及三年或者四年的计算机替换周期。这就表示，新的硬件能力会提前准备，以便下一个操作系统版本能够从中受益。这个情况已经发生了改变。

“Win 10和现在Win 11的美妙之处在于。”Nordquist表示，“大部分企业能够在6、9、12个月的周期，意味着每5、9、12个月，英特尔能够提供新的硬件能力，并且快速被操作系统所支持。和当初人们从XP升级到Win 7相比，现在人们从一个操作系统版本升级到下一个版本轻松了很多——只需要大概一个小时的下载时间，然后重启。”

但这也让主要问题逆转了。“有时候，问题可以通过能够下载的固件升级解决。”Nordquist说到，“现在，已经安装好的操作系统能够从硬件安全的升级当中受益，但是依然需要企业将老旧的计算机替换成最新的型号，获得硬件的改良。”

Nordquist相信硬件的替换周期正在缩短。他的观点是现在的董事会和CISO们明白从全局来看网络安全，一部分的原因是像勒索病毒那样攻击的潜在影响，而远程计算也成为了新出现的问题。“因此。”他表示，“企业正在更全面地思考如何他们可以真正修复这些问题？他们能做什么？他们如何能从这些攻击中得到最好的防护？然后，他们开始意识到这需要硬件和软件的结合。”网络安全的全局视角需要操作系统和硬件替换周期的近一步调和。

但同时，这又给企业增加了额外的预算负担，只有最有钱的企业才能做到这个方案。我们知道一些企业花了大量的时间替换下Windows XP系统，因为许多企业无法承受相关成本，或者面临一些其他限制（比如一些运营业务对于过去专有软件的依赖性）。

最好的解决方式是找到一种能像我们升级操作系统一样快升级硬件的方式。芯片、主板和计算能否被重新设计，从而硬件的升级能只需要通过用户自己就能进行芯片升级或者芯片添加，而不需要替换整个机箱？或许在未来可以实现，或许也不能。

参考阅读