Osigurana jezgra računala su klasa računala dizajniranih da spriječe trajne napade zlonamjernog softvera, posebno oni koji ciljaju ranjivosti izvan zaštite Ring 0 kontroliraju privilegije kao što je firmware zlonamjerni softver. Privilegije su veće od onih koje bi obični korisnik mogao pristupiti.
Microsoft je sankcionirao ovu kategoriju računala sigurnosnim tehnologijama razvijenim u suradnji s glavnim proizvođačima računala i dobavljačima silicijskih čipova. Pa što su točno računala sa zaštićenom jezgrom? I zašto bi ga velike tvrtke mogle koristiti?
Zašto su računala sa zaštićenom jezgrom tako sigurna?
Komponente na osobnim računalima s osiguranom jezgrom rade u holističkoj objedinjenoj strukturi kako bi osigurale integritet firmvera, hardvera i softvera. Strojevi su posebno važni za organizacije poput poduzeća, banaka, bolnica i državnih institucija koje redovito rade s osjetljivim podacima.
Značajno je da se isporučuju s omogućenom zaštitom koju mogu isključiti samo ovlašteni stručnjaci od odgovarajućih proizvođača čipova.
Microsoft je surađivao s proizvođačima čipova kao što su Intel, AMD i Qualcomm na razvoju CPU čipova posvećenih radu provjere integriteta za osigurana jezgra računala. Jednom ugrađeni u matičnu ploču, čipovi obrađuju sigurnosne protokole na koje se obično oslanjaju firmware.
Postupak provjere uključuje autentifikaciju kriptografskih hashova radi održavanja integriteta koda.
Kako računala sa zaštićenom jezgrom određuju zlonamjerni softver firmvera
Osigurana jezgra računala dizajnirana su za provjeru autentičnosti svih operacija uključenih tijekom i nakon postupka pokretanja. Budući da su njihove vjerodajnice sustava izolirane i zaključane kako bi osigurale kriptografske hashove, zlonamjerni softver koji pokušava preuzeti ključne sistemske protokole nije u mogućnosti dohvatiti tokene provjere autentičnosti.
Ova razina sigurnosti omogućena je putem Windows HyperVisor Code Integrity (HVCI) i sigurnosti zasnovane na virtualizaciji (VBS). HVCI djeluje pod VBS-om i radi na poboljšanju integriteta koda tako da se samo provjereni procesi izvršavaju putem memorije jezgre.
VBS koristi virtualizaciju zasnovanu na hardveru kako bi izolirao sigurne memorijske sektore od operativnog sustava. Putem VBS-a moguće je izolirati vitalne sigurnosne procese kako bi se spriječilo njihovo ugrožavanje. To je važno kada pokušavate ograničiti štetu, posebno kada se radi o zlonamjernom softveru koji cilja visoko privilegirane komponente sustava.
Osim toga, računala sa zaštićenom jezgrom koriste Microsoftov virtualni sigurni način (VSM). Ovo radi na zaštiti ključnih podataka poput korisničkih vjerodajnica unutar sustava Windows. To znači da je u rijetkim slučajevima kada zlonamjerni softver kompromitira jezgru sustava šteta ograničena.
VSM tijekom takvih slučajeva može stvoriti nove sigurnosne zone unutar operativnog sustava i održavati izolaciju putem virtualnih razina pouzdanosti (VTL), koje rade na razini svake particije.
Na PC-ima sa zaštićenom jezgrom, VSM je domaćin rješenjima sigurnosnog odvraćanja kao što su Credential Guard, Device Guard i virtualni Trusted Platform Module (TPM).
Pristup ovim visoko utvrđenim VSM sektorima daje isključivo upravitelj sustava, koji također kontrolira memoriju Procesor Upravljačke jedinice (MMU), kao i jedinica za upravljanje ulazno-izlaznom memorijom (IOMMU), koja je uključena u dizanje.
Međutim, Microsoft već ima značajno iskustvo u stvaranju sigurnosnih rješenja temeljenih na hardveru; o tome svjedoči Xbox bedem.
Povezano: Kako rekonfigurirati Windows Defender kako biste bolje osigurali svoje računalo
Trenutni Microsoftovi partneri s osiguranom jezgrom uključuju Dell, Dynabook, Lenovo, HP, Getac, Fujitsu, Acer, Asus, Panasonic i vlastiti Microsoftov Surface segment tvrtke koji se bavi osobno računala.
Dodatne zaštitne mjere za zaštićene jezgre računala
Iako računala sa zaštićenom jezgrom imaju opsežna sigurnosna pojačanja temeljena na hardveru, oni također trebaju raznovrsne sigurnosne pomoćne programe koji se temelje na softveru. Djeluju kao prva linija obrane tijekom napada zlonamjernog softvera.
Jedno od glavnih softverskih smetnji je Windows Defender koji implementira System Guard Secure Launch. Prvi put dostupan u sustavu Windows 10, koristi protokol Dynamic Root of Trust of Measurement (DRTM) za pokretanje procesa pokretanja u neprovjereni kôd prilikom pokretanja.
Ubrzo nakon toga zahvata sve procese i vraća ih u pouzdano stanje. To pomaže u sprječavanju problema s dizanjem ako je UEFI kôd neovlašten i ako podržava integritet koda.
Za apsolutno sigurno pokretanje, Windows 10 dolazi sa S načinom rada koji je dizajniran da poboljša sigurnost i performanse CPU-a. Dok je u ovom načinu rada, Windows može učitati samo potpisane aplikacije iz Microsoftove trgovine. Pregledavanje dok je u ovom stanju ograničeno je na korištenje Microsoft Edgea.
Povezano: Kako koristiti dječji način rada u programu Microsoft Edge za zaštitu djece
Korisnici osobnih računala s osiguranom jezgrom također mogu poboljšati sigurnost računala korištenjem Windows Defender Application Control (WDAC) kako bi ograničili upravljačke programe kojima je dopušteno pokretanje u sustavu Windows 10. Značajka implementira pravila o upravljačkim programima i softveru omogućavajući rad samo pouzdanim aplikacijama.
Windows Hello je još jedna značajka potrebna za poboljšanje sigurnosti računala sa zaštićenom jezgrom. Koristi mogućnosti prepoznavanja lica, PIN-a i otključavanja otiskom prsta kako bi ojačao sigurnost prijave.
Windows Hello oslanja se na specijalizirani biometrijski hardver koji uključuje čitač otiska prsta i infracrvene senzore. Hardver koristi tehnologiju Trusted Platform Module (TPM) za zaštitu vjerodajnica.
Zašto je Microsoft odlučio razviti osobna računala s osiguranom jezgrom
Microsoft je uložio značajnu količinu novca u istraživanje i razvoj osobnih računala s osiguranom jezgrom. Slijede neki od razloga zašto je tvrtka dala prioritet sigurnosnom projektu.
Potreba za zaštitom poduzeća od zlonamjernog softvera firmvera
Prijetnje kibernetskom sigurnošću razvijaju se, a prema a Microsoftovo izvješće, napadi postaju sve sofisticiraniji. Ističu nalazi studije provedene 2021. godine i otkrivaju da je preko 80 posto tvrtki u razvijenom svijetu doživjelo napad firmvera tijekom prethodne dvije godine.
To znači da su mnoge tvrtke širom svijeta ranjive na eksploatacijske sheme koje koriste malware firmware-a.
Eksploatacije firmvera vrlo je teško otkriti i ukloniti nakon što se dočepaju sustava. Štoviše, većina računala dijeli isti BIOS kod, pa se rupe u firmware-u koje su otkrile hakerske skupine mogu iskoristiti protiv milijuna računala širom svijeta, bez obzira na njihovu marku ili dobavljača, pa otuda i potreba za računalima sa zaštićenom jezgrom.
Osigurana jezgra računala rješavaju probleme s perifernim firmverom
Uređaji s nepotpisanim firmwareom predstavljaju glavna sigurnosna pitanja na standardnim računalima. Periferne jedinice poput web-kamera zloglasne su po pokretanju anomalnog firmvera koji se može koristiti za špijuniranje korisnika. Njihovi upravljački programi također se mogu ažurirati bez pristanka klijenta, čime se povećavaju rizici da se to dogodi.
Nedostatak usklađenih industrijskih sigurnosnih standarda jedan je od glavnih razloga zašto ih hakeri ciljaju tijekom napada na provale. Trenutno ranjivi uređaji uključuju dodirne podloge, Wi-Fi adaptere, web kamere i USB čvorišta. Većini njih nedostaje kriptografsko raspršivanje i provjera firmvera, koji se koriste na osobnim računalima.
Poteškoće u usklađivanju njihove sigurnosne infrastrukture znače da će rupa vjerojatno ostati otvorena dugi niz godina. Trenutno su računala sa zaštićenom jezgrom najbolja opcija za organizacije koje žele izbjeći takve sigurnosne praznine.
Microsoft radi na više sigurnosnih rješenja za firmver
Iako je Microsoft stvorio računala sa zaštićenom jezgrom kako bi spriječio zlonamjerni softver firmvera, također radi na alatima koji pomažu u sužavanju napada na standardnim računalima. Njegova nedavna akvizicija ReFirm Labs, programera skenera integriteta integriranog softvera Binwalk, korak je u ovom smjeru.
Očekuje se da će tehnološki div u bliskoj budućnosti razviti više srodnih rješenja.
Microsoft Defender sposoban je antivirus. No, je li to najbolji izbor za vaše računalo 2021. godine?
Pročitajte Dalje
- Windows
- Objašnjena tehnologija
- Sigurnost
- Računalna sigurnost
- Zlonamjerni softver
Samuel Gush je pisac tehnologije u MakeUseOf-u. Za bilo kakva pitanja možete ga kontaktirati e-poštom na [email protected].
Pretplatite se na naše obavijesti
Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!
Još jedan korak…!
Potvrdite svoju e-adresu u e-pošti koju smo vam upravo poslali.
