消息

硬體攻擊通常不會成為新聞熱點，但它們卻能吸引眼球。取得硬體的實體存取權雖然困難，但並非不可能。畢竟，這可能是進行商業間諜活動、敲詐勒索或竊取重要文件的一種手段。如果您有閱讀過我們之前的部落格文章，您就會明白我的意思。 為什麼保護硬體很重要您可能有興趣了解常見的硬體威脅以及如何避免這些威脅。

子系統漏洞

您可能已經採取了所有必要的措施，對資料中心和伺服器進行實體隔離。幾乎沒有人能在沒有憑證和權限的情況下存取您的伺服器。此外，您也採取了必要的預防措施來保護您的軟體和網路。這意味著您的主要係統都受到了保護。

然而，犯罪者可能會選擇利用受保護系統之外的子系統發動側通道攻擊。例如，大多數普通硬碟都可以被拆卸並插入另一台計算機，從而獲得對所有檔案的存取權限。

以下策略將有助於提高子系統的安全性。

加密加速

加密加速器是一種週邊設備，它在硬體層面而非軟體層面執行加密功能。因此，加密在硬體層面進行，從而消除了可能被利用的軟體漏洞。事實上，AES 軟體可能被注入惡意程式碼，從而方便駭客解碼。相比之下，AES 硬體則不會受到影響。

真隨機數產生器

您是否曾經使用「隨機代碼產生器」作為身份驗證設備來連接 Wi-Fi 網路？這些隨機代碼產生器往往遵循某種易於預測或猜測的模式，這往往超出您的預期。大多數生成器以時間為基準產生程式碼，如果您能夠得知產品的生產日期或首次開機時間，您或許就能推斷出程式碼。時間並非真正的隨機因素。如果您真的想全方位保護公司安全，就必須確保您的隨機程式碼產生器真正隨機。為此，您必須確保它們並非基於非隨機因素。

記憶體加密

記憶體和資訊加密技術在人類歷史上由來已久。不同文化在不同時期都曾發明並利用加密設備來保守秘密：密碼就是其中一個例子。隨著最新技術的進步，ROM 和 RAM 可以加密，從而防止未經授權的使用者在沒有相應硬體的情況下存取資料。許多微控制器也配備了讀取保護位，可以防止韌體被克隆。此外，市面上也有現成的加密隨身碟和外接硬碟可供選擇。請記住，保護子系統和側頻道與保護主系統和伺服器同樣重要。

安全啟動

如果你真的想從根本上保護你的系統，你必須從處理器著手。處理器既可以運行合法的程式碼，也可以運行惡意程式碼。因此，你必須確保你的處理器只運行合法且無惡意的程式碼。任何系統的核心啟動程式碼都無法驗證其真實性，但後續的啟動階段是可以驗證的。而這正是犯罪者試圖注入惡意程式碼的地方。

保護啟動安全的一種方法是執行一段不可更改且能抵禦程式碼注入攻擊的程式碼。這段程式碼會檢查待載入的應用程序，以確認程式碼的完整性。如果注入了惡意程式碼，系統將以受限狀態運作或向作業系統發出警告；從而保護啟動程序。

信任區

這種策略與安全啟動有關，因為該技術也旨在幫助驗證處理器運行的程式碼是否真實。大多數 CPU 指令都是良性的，但有些指令可能很危險，能夠提供對硬體、堆疊指標或關鍵系統的存取權。如今，許多 SoC 和微控制器在其程式碼中利用信任區，賦予作業系統對所有指令的最高存取權限，而進程的執行權限較低，且無法存取敏感指令。因此，即使注入了惡意程式碼，也不太可能對處理器上的關鍵系統造成損害或攻擊。

防拆銷

常見的硬體攻擊包括物理移除部件以獲取 I/O 接口，例如調試端口或內存通道。如何避免這些攻擊？您可以部署防篡改引腳。這些引腳可以檢測外部機械事件，例如外殼打開。一旦偵測到此類事件，防篡改引腳會指示處理器執行特定程式（例如重新啟動），以防止敏感資料被讀取或徹底清除記憶體。防篡改引腳可以偽裝成看似沒有特定功能的普通引腳，從而避免被攻擊者發現。

總線監視器

這是硬體保護領域最新的技術進步：總線監視器。這些匯流排通常整合在微控制器的系統單晶片 (SoC) 中，並獨立於系統運作。此外，匯流排監視器與多個元件和匯流排互連：I/O 引腳、暫存器、內部資料匯流排和程式連接埠。在正常運作期間，匯流排利用晶片的內部連接來監控並學習穩態。如果攻擊者註入惡意程式碼或穩態受到干擾，總線監視器將採取措施應對異常情況。有時，這會引發作業系統異常或導致系統重新啟動。最先進的匯流排監視器可以將潛在的惡意請求從處理器中轉移出去，並在記錄攻擊嘗試的同時傳回空值。

我們希望這七種提升硬體防護的策略或技巧能夠對您的營運有所幫助。請記住，在分散式基礎架構、物聯網應用和邊緣運算設備中，保護子系統和側頻道尤其重要，因為您可能已將設備安裝在限制區域之外。因此，機場、醫院、自動化工廠或倉庫、銀行或零售商店等場所更容易遭受硬體攻擊。

想了解更多？請閱讀我們的部落格文章。 5 個關於如何對設施進行硬體加固的技巧 或了解 硬體OEM廠商如何從硬體層面幫助您保護您的業務。 你可以 閱讀更多關於我們網路安全部落格系列的內容。