Hoe veilige processors helpen vertrouwelijke gegevens te beschermen
Advertorial verbindt organisaties met de lezers van en doet een beroep op de specialisten van Roularta Brand Studio voor tekst en illustraties. De inhoud wordt eventueel aangebracht door de partner en valt buiten de verantwoordelijkheid van de redactie.
Bedrijven hebben software en besturingssystemen nodig die veilig zijn voor aanvallers. Maar dat alleen is niet genoeg, want softwarematige bescherming kan worden omzeild. Een extra hardwarematige beveiligingslaag biedt completere bescherming voor het hele systeem. AMD integreert zulke technologie in zijn PRO-processors en creëert daarmee een meerlaagse beveiligingsoplossing.
Bedrijven liggen constant onder vuur van online aanvallers. Volgens eco, een samenwerkingsverband van de internetindustrie, had een vijfde van de Duitse bedrijven vorig jaar te kampen met minstens één groot veiligheidsincident. Het Duitse Federaal Kantoor voor Internetveiligheid (BSI) noemt de IT-veiligheidssituatie “gespannen”.
En dat is geen wonder. Cybercriminelen gebruiken altijd nieuwe, complexe en geavanceerde aanvalspatronen in combinatie met malware om IT-infrastructuren aan te vallen en gevoelige bedrijfsgegevens te stelen. Maar het gaat niet alleen om software en besturingssystemen. Hackers hebben het steeds vaker ook op hardware en firmware voorzien. Ze buiten kwetsbaarheden uit om firmware te manipuleren en gegevens te bemachtigen die de computer in zijn systeemgeheugen verwerkt. Dit omvat wachtwoorden, tekenvolgordes die gebruikt worden voor encryptie en andere toegangscodes. Hackers kunnen die vervolgens gebruiken om eenvoudig in te loggen op het systeem en de opgeslagen gegevens te bemachtigen, waarbij ze dus elke vorm van harddiskversleuteling of andere softwarematige beveiligingsmechanismes omzeilen.
Verbeterde beveiliging door hard- en softwarematige veiligheidsmaatregelen
Daarom vormen hardwarematige beveiligingsfuncties steeds vaker een aanvulling op bestaande softwarematige bescherming. De ideale combinatie is er een waarbij beide beveiligingsniveaus worden ingezet om elkaar aan te vullen en het systeem te beschermen tegen complexe en dynamische aanvallen. Het doel hiervan is om de gegevens op de computers van bedrijven en gebruikers te beschermen.
AMD heeft zijn Zen-architectuur ontwikkeld voor speciale beveiligingsfuncties, met als doel om gegevens van gebruikers te beschermen en tegelijkertijd voor goede prestaties te zorgen. De architectuur vormt de basis van de Ryzen™- en EPYC™-processors van de fabrikant, die onder meer te vinden zijn in pc’s, workstations en servers.
Elke AMD-processor beschikt over geïntegreerde beveiligingstechnologie: behalve de architectuur zelf is er ook een speciale hardwarematige beveiligingschip die zijn steentje bijdraagt. Deze AMD Secure Processor (ASP) biedt een aantal voordelen:
· Hardwarematige beveiliging kan kritieke processen en gegevens isoleren om het hele platform beter te beschermen, zelfs tegen aanvallen die gericht zijn op de firmware.
· Een processor die is uitgerust met beveiligingsfuncties kan de firmware authenticeren die bij het opstarten wordt ingeladen. Zo wordt voorkomen dat er aangepaste of vervalste firmware wordt uitgevoerd, of wordt de toegang geblokkeerd.
· Pas na authenticatie van de firmware en het BIOS geeft de processor de controle over het besturingssysteem door aan het BIOS. Elke laag van de beveiligingsinfrastructuur vormt zo dus een aanvulling op de volgende laag en dat zorgt voor een betere bescherming.
AMD ontwikkelt zijn functies op chip- en firmwareniveau in samenwerking met fabrikanten van hardware en besturingssystemen. De verschillende beveiligingsmaatregelen op diverse niveaus kunnen daarbij met elkaar worden geïntegreerd. Dit maakt beveiligingsfuncties van bedrijfsniveau of “Secured-core” pc’s mogelijk, met andere woorden, een Windows 10-apparaat met het hoogste niveau van hardware-, software- en identiteitsbescherming.
Bovendien is AMD Shadow Stack geïntegreerd in de architectuur van hoogwaardige Ryzen 5000 Series PRO-processors. Dit is hardware-ondersteunde beveiliging tegen controlestroomaanvallen, d.w.z. malwareaanvallen die direct op de CPU zijn gericht.
Het gevaar van cold boot-aanvallen voor systeemgegevens
Maar de bedreigingen voor opgeslagen gegevens komen niet alleen van het internet. Alleen al in de VS wordt er elke 53 seconden een laptop gestolen. Werknemers kunnen ook apparaten kwijtraken en indringers kunnen inbreken in bedrijfspanden. Het probleem: computers zijn vaak niet volledig uitgeschakeld, maar worden in de stand-bystand gezet. Zo zijn ze binnen enkele seconden weer klaar voor gebruik, samen met alle eerder geopende programma’s en documenten.
Dit is misschien handig en gebruiksvriendelijk, maar het vormt ook een beveiligingsrisico. Als een gebruiker inlogt, wordt er allerlei belangrijke systeeminformatie onversleuteld in het DRAM opgeslagen. Een fysieke aanvaller kan dit geheugen bevriezen, het systeem resetten, de wisfuncties omzeilen en vervolgens de inhoud van het DRAM uitlezen.
Dit soort cold boot-aanvallen zijn niet te voorkomen door veiligheidsmaatregelen zoals harddiskencryptie. Eén manier om je gegevens te beschermen, is door de computer volledig uit te schakelen. Maar dit is vervelend voor werknemers en hindert de productiviteit, want opstarten kost tijd. Maar er is nog een manier om deze aanvallen te voorkomen en gegevens te beschermen.
Het versleutelde systeemgeheugen houdt indringers buiten
Alle AMD Ryzen PRO-processors voorzien de computer van een extra beschermingslaag. De geïntegreerde ASP-beveiligingsprocessor vormt de basis van AMD Memory Guard. Dit is een extra encryptielaag die het systeemgeheugen versleutelt. Dit gebeurt direct in de geheugencontrollers op de chip en met behulp van een willekeurige sleutel. Dit voorkomt aanvallen die mogelijk zijn door het uitlezen van het systeemgeheugen en het bemachtigen van wachtwoorden en andere toegangsgegevens.
AMD Memory Guard biedt bescherming tegen fysieke cold boot-aanvallen, DRAM-interface snooping en andere soortgelijke aanvallen. Tegelijkertijd zorgt het voor gebruiksgemak, omdat men de computer niet hoeft af te sluiten. AMD Memory Guard is transparant voor het besturingssysteem en applicaties, en kan dus op elk systeem worden geïnstalleerd en gebruikt.
Samenvattend: met hun meerlaagse benadering van beveiliging beschermen AMD PRO-processors de gevoelige gegevens op bedrijfscomputers tegen online en on-site aanvallers. Dit beperkt ook downtime en zorgt uiteindelijk voor lagere bedrijfskosten.