Firmware máy chủ của bạn có được an toàn không? Tốt nhất là bạn hãy đảm bảo chắc chắn về điều đó!
Tác giả: Kyle Gaede, Cán bộ Quản lý chính – Bộ phận giải pháp trung tâm dữ liệu của Microchip.
Trong thế giới số ngày nay, dữ liệu có ý nghĩa vô cùng quan trọng. Các tổ chức có thể giành được lợi thế cạnh tranh đáng kể nhờ việc áp dụng giải pháp phân tích dữ liệu để định hướng hoạt động phát triển các sản phẩm hoặc dịch vụ mới. Ngoài ra, các công nghệ như 5G và IoT giúp cho việc kết nối các thiết bị với mạng Internet để chia sẻ dữ liệu trở nên dễ dàng hơn bao giờ hết. Điều đó đã dẫn đến việc tạo ra vô cùng nhiều dữ liệu mới; Hãng nghiên cứu Statista dự báo lượng dữ liệu được tạo ra trên toàn cầu sẽ đạt 180 zettabyte vào năm 2025. Lượng thông tin phong phú có được từ những dữ liệu này (như mã số thẻ tín dụng, mã số an sinh xã hội, quyền sở hữu trí tuệ) khiến nó trở thành mục tiêu hấp dẫn đối với tin tặc và khi lượng dữ liệu được thu thập và lưu trữ trong các trung tâm dữ liệu tăng lên, mức độ sáng tạo và tinh vi của các cuộc tấn công mạng nhằm vào chúng cũng vậy.
Firmware trong các Bộ xử lý trung tâm (CPU), thiết bị lưu trữ của bộ xử lý đồ họa (GPU) và card mạng là những mục tiêu đặc biệt hấp dẫn bởi vì, là các yếu tố cơ bản trong các hệ thống điện tử, nếu chúng bị tấn công thì có thể khó phát hiện hơn nhiều. Từ lâu, việc bảo vệ các thiết bị này trước những kẻ muốn đánh cắp dữ liệu là rất quan trọng. Thật vậy, trong các trung tâm dữ liệu lớn nhất, các thiết bị như thế hiện có xu thế được bảo vệ tốt.
Tìm kiếm các lỗ hổng tiềm ẩn khác, tin tặc đang ngày càng gia tăng việc tập trung mục tiêu vào các linh kiện của máy chủ trong quá trình tấn công vào các trung tâm dữ liệu. Nhiều linh kiện bán dẫn phổ biến trong máy chủ (ví dụ như bộ điều khiển nhúng điều khiển trình tự khởi động, điều khiển quạt và quản lý pin) có thể bị chiếm quyền hoặc thay thế bằng một firmware giả để truy cập trái phép vào dữ liệu trên máy chủ hoặc làm gián đoạn hoạt động bình thường của máy chủ.
Các cuộc tấn công firmware đặc biệt tinh vi khi firmware của linh kiện máy chủ được tải trước khi chạy hệ điều hành của máy chủ cũng như trước khi có sự hoạt động của bất kỳ phần mềm chống mã độc nào. Điều đó làm cho các cuộc tấn công nhằm vào firmware khó bị phát hiện và khó được loại bỏ.
Tuy nhiên, nhiều công ty chưa dành cho hoạt động bảo mật firmware sự quan tâm mà nó xứng đáng có được. Trong một cuộc khảo sát với những người có thẩm quyền ra quyết định bảo mật và CNTT do Microsoft ủy quyền, những người được khảo sát đã cho rằng tấn công firmware cũng có mức độ ảnh hưởng gần như các vụ tấn công vào phần mềm hoặc phần cứng nhưng chỉ cam kết dành ít hơn một phần ba ngân sách bảo mật của mình để bảo vệ firmware.
| Vụ tấn công gây ảnh hưởng | % ngân sách bảo mật | Được xếp hạng dễ bị tổn thương nhất trước mối đe dọa an ninh mạng | |
| Phần mềm | 78% | 39% | 63% |
| Phần cứng | 75% | 32% | 20% |
| Firmware | 73% | 29% | 17% |
Nguồn biểu đồ: Microsoft Security Signals, Tháng 3/2021
Các doanh nghiệp phải thực hiện bảo mật firmware trong các trung tâm dữ liệu của mình một cách nghiêm túc nếu không muốn phải gánh chịu hậu quả. Để thực hiện điều đó, các bộ phận CNTT và bảo mật nên tập trung vào ba yếu tố xét từ phương diện bảo mật firmware.
Đảm bảo tính xác thực của thiết bị
Bo mạch chủ của máy chủ, bộ tăng tốc khối lượng công việc và các bảng mạch mà doanh nghiệp lắp thêm vào sau khi mua thiết bị được thiết kế bởi các nhà cung cấp khác nhau và được sản xuất trên toàn thế giới. Chuỗi cung ứng các thiết bị này dễ bị tổn thương và firmware hoặc phần cứng bất hợp pháp có thể được cài vào bo mạch tại nhiều điểm khác nhau trong quá trình sản xuất và thử nghiệm, và chờ đợi một khách hàng thiếu cảnh giác cài đặt thiết bị đã bị chiếm quyền này vào máy chủ. Các bộ phận CNTT phải đảm bảo rằng bất kỳ phần cứng nào được họ cài đặt thêm vào máy chủ đều có thể được xác minh để đảm bảo rằng phần cứng mới đang hoạt động theo đúng đặc tả kỹ thuật.
Đảm bảo tính xác thực của mã phần mềm (code)
Đánh cắp dữ liệu không phải là vấn đề duy nhất gây ra bởi firmware đã bị chiếm quyền; Đánh cắp IP (quyền sở hữu trí tuệ) cũng có thể ảnh hưởng đến lợi nhuận và danh tiếng của các nhà sản xuất linh kiện. Như đã được đề cập đến ở trên, các chip chất bán dẫn thường được sản xuất ở một quốc gia và được đóng gói ở một quốc gia khác trước khi được tích hợp vào một hệ thống ở nước thứ ba.
Với rất nhiều điểm chạm trong chuỗi cung ứng, một nhà thầu vô đạo đức có thể dễ dàng sao chép firmware của nhà cung cấp, cài đặt nó trên chip bán dẫn một cách trái phép và sau đó bán linh kiện giả trên thị trường không chính thức. Điều đó không chỉ ảnh hưởng đến lợi nhuận của nhà cung cấp ban đầu mà còn có thể làm phương hại danh tiếng của họ nếu linh kiện giả hoạt động kém.
Bảo mật dữ liệu
Mã hóa là một phương pháp hiệu quả để bảo mật dữ liệu nhằm chống lại truy cập trái phép, nhưng có một mối đe dọa mới đối với chức năng mã hóa đang gây lo ngại trong giới an ninh mạng. Nếu được áp dụng đúng cách, điện toán lượng tử có thể bẻ khóa ngay cả những công nghệ mã hóa tinh vi nhất.
Hầu hết các doanh nghiệp hiện nay sử dụng mã hóa 128 và 256 bit; Quá đủ để bảo mật dữ liệu chống lại ngay cả những kẻ tấn công quyết tâm nhất nếu chúng chỉ sử dụng công nghệ điện toán truyền thống. Nhưng điện toán lượng tử có thể xử lý dữ liệu với tốc độ nhanh hơn nhiều và do đó, nếu trước đây phải mất nhiều thập kỷ để bẻ khóa các thuật toán mã hóa bằng các phương pháp tính toán cũ thì các thuật toán đó có thể bị bẻ khóa bằng điện toán lượng tử chỉ trong vòng vài ngày.
Bảo vệ firmware của bạn bằng giải pháp HRoT và mã hóa mạnh mẽ
Thật may mắn là, vào năm 2018, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã xuất bản hướng dẫn SP 800-193 về Khả năng phục hồi firmware nền tảng. Theo NIST, các hướng dẫn này cung cấp “cơ chế bảo mật để bảo vệ nền tảng chống lại các thay đổi trái phép (đối với firmware), phát hiện trường hợp xảy ra các thay đổi trái phép và phục hồi sau các cuộc tấn công một cách nhanh chóng và an toàn. Người triển khai, bao gồm Nhà sản xuất thiết bị gốc (OEM) và nhà cung cấp linh kiện / thiết bị, có thể sử dụng những hướng dẫn này để đưa các cơ chế bảo mật mạnh mẽ hơn vào các nền tảng. Quản trị viên hệ thống, chuyên gia bảo mật và người dùng có thể sử dụng tài liệu này để hướng dẫn các chiến lược và ưu tiên mua sắm cho các hệ thống trong tương lai.
Tiêu chuẩn NIST SP 800-193 khuyến khích việc sử dụng giải pháp “Gốc rễ niềm tin từ phần cứng – Hardware Root of Trust” hay HRoT để đảm bảo rằng, firmware được tải vào các thành phần máy chủ trong quá trình khởi động được xác minh là hợp pháp trước khi kích hoạt. HRoT là thành phần đầu tiên bật nguồn khi máy chủ khởi động và nó chứa các yếu tố mật mã cần thiết để xác minh firmware của chính nó cũng như firmware của bất kỳ linh kiện nào được bật nguồn sau khi HRoT được kích hoạt. Bằng cách bổ sung thêm khả năng HRoT vào bộ điều khiển nhúng của máy chủ, doanh nghiệp có thể bảo vệ máy chủ trong toàn bộ quá trình khởi động, ngay cả trước khi hệ điều hành và phần mềm chống mã độc được tải và hoạt động.
NIST cũng khuyến khích các doanh nghiệp áp dụng các thuật toán mã hóa tiên tiến hơn. Năm 2016, NIST đã phát động một cuộc thi giữa các chuyên gia mật mã học hàng đầu để phát triển các thuật toán có thể chống lại các cuộc tấn công dựa trên điện toán lượng tử. Năm ngoái, cuộc thi đã kết thúc với việc công bố bốn thuật toán mã hóa mới mà NIST sẽ đưa vào dự án tiêu chuẩn hóa mật mã hậu lượng tử sắp tới của mình.
An ninh mạng giống như một cuộc chạy đua vũ trang giữa một bên là những người nỗ lực bảo vệ hệ thống máy tính và những người có ý định chiếm quyền các hệ thống đó (đối tượng này bao gồm cả tin tặc là tội phạm và tin tặc được nhà nước bảo trợ). Mỗi bên nỗ lực không ngừng nghỉ để ngăn cản những bước tiến của bên kia. Firmware đã trở thành chiến trường mới nhất trong cuộc đấu tranh đang diễn ra này và những doanh nghiệp bỏ qua việc đưa firmware trong hoạt động đánh giá mối đe dọa và kế hoạch bảo mật của họ trong tương lai sẽ đối mặt với nhiều nguy hiểm.
