Full-stack, meerlaagse veiligheidsfuncties voor een veranderende wereld

Full-stack, meerlaagse veiligheidsfuncties voor een veranderende wereld

14-12-2020

Full-stack, meerlaagse veiligheidsfuncties voor een veranderende wereld

Op afstand werken is de nieuwe norm. De trend naar werken op afstand stijgt al geruime tijd gestaag, en de recente gebeurtenissen versnellen dat tempo. Volgens het Gallup-onderzoek van 2012 werkte 39% van de Amerikaanse beroepsbevolking ten minste een deel van de tijd niet op locatie. In 2016 was dat aantal gestegen tot 43%[1]. Het ligt voor de hand dat als de vraag in 2020 gesteld zou zijn, dat aantal nog veel hoger zou liggen.

Hoewel het onmogelijk is om precies te voorspellen wat zal gebeuren, is het duidelijk dat werken op afstand in veel organisaties nu een meer permanente plek zal krijgen. Of het nu gaat om medewerkers die thuis werken, studenten die afstandsonderwijs volgen of familie en vrienden die contact houden met behulp van web- en videoconferencing, er ontstaat een nieuw normaal: connectiviteit en samenwerking op afstand.

Nieuwe situatie, nieuwe problemen: De moderne werkplek beveiligen

Door deze culturele en organisatorische verschuivingen zijn vertrouwelijke persoonlijke en zakelijke gegevens een aantrekkelijker doelwit geworden voor cybercriminelen. Aangezien traditionele thuisnetwerken als minder veilig worden beschouwd dan bedrijfsnetwerken, worden computersystemen van externe gebruikers mogelijk gezien als een zwakke schakel in de beveiliging en dus vatbaarder voor cyberaanvallen. Volgens een studie denkt 86% van de bedrijfsleiders dat beveiligingslekken zich vaker zullen voordoen wanneer werknemers buiten het kantoor werken[1].

Deze overstap naar meer werken op afstand vindt plaats op een moment dat cyberaanvallen steeds geavanceerder worden, waarbij bedreigingen die gericht zijn op low-level firmware steeds prominenter aanwezig zijn. Om drukke kwaadwillenden en voortdurend evoluerende bedreigingen een stap voor te blijven, moeten IT-teams geïntegreerde hard- en softwareoplossingen bieden aan eindklanten die uitgebreide beveiligingsfuncties voor het hele systeem bieden.

Het voordeel van AMD 'Zen': Geavanceerde hardware-matige beveiliging

Hoewel de beveiliging van software belangrijk is, kan deze gemakkelijk worden omzeild door misbruik te maken van bekende kwetsbaarheden van het platform. Dit is een van de redenen waarom hardware-matige beveiliging (HBS) steeds belangrijker wordt. Het werkt als aanvulling op de softwarebeveiliging en biedt een sterkere basis voor het hele platform, door mechanismen te bieden om kritieke gegevens en werklasten te isoleren.

Als leverancier van het nieuwste op het gebied van hardware voor pc-, server- en console-ecosystemen speelt AMD een essentiële rol bij het verbeteren van de gegevensbeveiliging en -bescherming door een architectuur te bieden die is ontworpen met het oog op veiligheid. Door de combinatie van hardware-matige beveiligingsfuncties en bijbehorende softwarebeschermingen helpt AMD gebruikers beter te beschermen tegen tal van cyberaanvallen, waaronder geavanceerde low-level firmware-aanvallen.

De AMD 'Zen'-architectuur is ontworpen met het oog op beveiligingsfuncties, met speciale aandacht voor oplossingen om gebruikersgegevens te beschermen en uitstekende verwerkingskracht en prestaties te leveren. De 'Zen'-architectuur vormt de basis voor de AMD Ryzen™ en AMD EPYC™ processors die de laatste tijd zoveel aan momentum hebben gewonnen in pc's/workstations/servers. Daarnaast vormt deze de basis voor een aantal van de grootste next-gen consoles.

Een gelaagde, full-stack, ‘defense-in-depth’ benadering van de beveiliging

AMD is van mening dat de beste moderne beveiligingsoplossingen alleen kunnen worden bereikt door gelaagde verdediging. Daarom werkt AMD nauw samen met fabrikanten van besturingssystemen en pc's om architectuur- en hardware-matige beveiligingsfuncties te bieden die hun eigen beveiligingsfunctionaliteit versterken. Door deze bescherming op verschillende niveaus aan te vullen, helpt AMD om een sterke beveiliging te bieden tegen uiteenlopende en dynamische aanvallen.

Architectuur ontworpen op basis van beveiliging

AMD 'Zen' en 'Zen 2'-gebaseerde kernarchitecturen bieden een sterke beveiligingsbasis. De AMD-beveiligingsarchitectuur helpt de blootstelling aan aanvallen te verminderen, helpt de uitvaltijd en het aantal patches te verminderen en kan de totale gebruikskosten verbeteren.

Geïntegreerde hardware root of trust

AMD blijft zijn siliciumarchitectuur met elke generatie verbeteren, zodat de architectuur effectief blijft tegen toekomstige cyberaanvallen. Naast een sterke architectuur wordt elke AMD-siliciumarchitectuur geleverd met een speciale hardware-beveiligingsprocessor, de 'AMD Secure Processor (ASP)', die fungeert als de hardware root of trust. ASP verzorgt de integriteit van het platform door het authentiseren van de initiële firmware die op het platform is geladen.

Omdat de firmware van elk nieuw systeem geverifieerd wordt, is er een sterkere bescherming tegen malafide of kwaadaardige firmware. Als er fouten of wijzigingen worden gedetecteerd, wordt de toegang automatisch geweigerd. Dit draagt bij aan een veilige opstartcyclus en beschermde werking.

Naadloze beveiligingsfuncties, van firmware tot OS

Zodra de initiële firmware en OEM BIOS zijn geauthentiseerd, wordt de controle doorgegeven aan OEM BIOS, dat later de controle doorgeeft aan het OS. Op deze manier wordt een vertrouwensketen in het hele platform in stand gehouden, waardoor kwaadaardige firmware gemakkelijk kan worden gedetecteerd en aangepakt. Elk stuk fysieke beveiligingsinfrastructuur vult de volgende laag aan en zorgt voor een betere verdediging.

Een essentieel unicum op de markt: AMD Memory Guard

AMD Ryzen™ PRO-processors zijn de eerste commerciële processors op de markt die een technologie aanbieden die de gebruikersgegevens helpt beschermen door de inhoud van het volledige systeemgeheugen te versleutelen als standaardfunctie. AMD Memory Guard biedt een sterke bescherming tegen ‘cold boot’-aanvallen, DRAM-interface snooping en andere soortgelijke achterpoorten die worden gebruikt om gebruikersgegevens te verkrijgen. Het is ook onafhankelijk van het besturingssysteem en transparant voor softwaretoepassingen, waardoor de veiligheid van de gegevens vanaf de basis wordt verbeterd.

Hoe het samenkomt: drukke gebruikers beschermen in een zeer mobiele wereld

Nu zoveel mensen op afstand werken, vanuit hotelkamers, luchthavens of koffiebars, is de bescherming van gegevens van cruciaal belang. Zelfs normale handelingen kunnen risico's met zich meebrengen als gebruikers onbewust gecompromitteerde hardware of firmware in hun apparaat introduceren. Daarom is een geïntegreerde vertrouwensketen rond de AMD Secure Processor zo belangrijk. Wanneer het wordt gebruikt als basis voor toegangsbeveiliging en bescherming van gebruikersidentiteit door het besturingssysteem of de fabrikant, beschermt de volledige, gelaagde aanpak de computer onzichtbaar vanaf het opstarten tot het afsluiten, en dat alles met uitstekende prestaties van de pc.

Afbeelding1.png

Maar wat gebeurt er als het misgaat? Onderzoek toont aan dat elke 53 seconden een laptop verloren of gestolen wordt, waardoor vertrouwelijke gebruikersgegevens in gevaar komen en de traditionele beveiligingsaanpak ontoereikend is[1].

Waarom? Wanneer iemand een laptop kwijtraakt, is softwarematige volledige schijfversleuteling (FDE) typisch de eerste verdedigingslinie bij de bescherming van gebruikersgegevens. Maar deze optie heeft zo zijn beperkingen. Binnenin de computer zijn alle gegevens in het systeemgeheugen in leesbare tekst beschikbaar, waaronder ook de cryptografische sleutels die worden gebruikt voor versleuteling/ontsleuteling van schijven. Dit betekent dat een cybercrimineel met toegang tot de computer deze sleutels gemakkelijk kan ontcijferen.

AMD Memory Guard helpt dit te voorkomen door de systeeminformatie te versleutelen. Dit betekent dat wanneer een laptop in de verkeerde handen komt, de versleuteling van een volledige schijf niet zomaar omzeild kan worden door toegang te krijgen tot sleutels die in het geheugen zijn opgeslagen. Het is een laag van encryptiebescherming die beschikbaar is met AMD Memory Guard4. En omdat het transparant is voor zowel het OS als de applicatie, kan het gemakkelijk worden ingeschakeld op elk systeem.

Versterking van OS-beveiliging

Deze meerlagige, hardware-matige beveiliging biedt ook aanzienlijke voordelen voor het OS door de onderliggende functies van de architectuur. De beveiligingsfuncties van Windows® 10 maken gebruik van deze architectuur om klanten een volledig beschermde computerervaring te bieden, ongeacht waar ze werken.

Windows® 10 Virtualization Based Technology (VBS) gebruikt AMD-V met GMET om een veilig geheugengebied te isoleren van het normale besturingssysteem en voorkomt dat kwaadaardige toepassingen en stuurprogramma's worden uitgevoerd of toegang krijgen tot het systeemgeheugen. Op dezelfde manier biedt de Memory Access Protection-functie van Microsoft beveiliging tegen DMA-aanvallen, en wordt deze mogelijk gemaakt door AMD-Vi met DMA-remappingtechnologie.

Als belangrijke leverancier van processors aan de pc-markt, AMD’s innovatie maakt Microsoft Secured-Core PC mogelijk,waardoor uw computer beschermd wordt tegen firmware-kwetsbaarheden, het besturingssysteem tegen aanvallen beschermd wordt, en onbevoegde toegang tot apparaten en gegevens kan voorkomen worden door middel van geavanceerde toegangscontroles en authenticatiesystemen. Secured-Core PC is geactiveerd op AMD-platforms via verschillende technologieën zoals AMD Dynamic Root of Trust Measurement (DRTM) en AMD SMM Supervisor.

"Microsoft en AMD zijn een samenwerkingsverband aangegaan om een nieuwe klasse van bedrijfsapparaten te creëren, genaamd Secured-Core PC's op basis van het AMD Ryzen PRO-platform. Samen ontwikkelen we producten die zijn ontworpen om commerciële systemen te beschermen tegen geavanceerde firmware-aanvallen en eenvoudige en veilige pc-ervaringen te bieden aan zakelijke klanten," zei David Weston, director of enterprise and OS security, Microsoft

Bedreigingen ontwikkelen zich, maar de beveiligingsfuncties van AMD doen dat ook

AMD benadert beveiliging met een relationele mindset. Door een sterke, hardware-matige beveiligingsarchitectuur te bieden, stelt AMD pc- en OS-fabrikanten in staat om deze functies te benutten bij het bouwen van hun eigen functies. Het eindresultaat daarvan zijn functies die gegevens beveiligen, ongeacht waar de gebruiker werkt.

Deze naadloze aanpak van de beveiliging is belangrijker dan ooit. Organisaties worden geconfronteerd met verschillende bedreigingen die voortdurend in ontwikkeling zijn, zowel in omvang als in complexiteit, terwijl gebruikers vragen om nieuwe manieren van verbinden en samenwerken. Om ze veilig te houden, is een enkel niveau of een enkele laag van bescherming niet voldoende. De strategie van AMD met gelaagde beveiligingsfuncties, alsook de moderne kernarchitecturen van AMD en AMD Memory Guard bieden beveiligingsfuncties aan eindklanten en helpen hun gegevens te beschermen.

[1] https://www.gallup.com/workplace/283985/working-remotely-effective-gallup-research-says-yes.aspx
[2] https://www.shredit.com/en-us/resource-center/original-research/security-tracker-2018
[3] https://www.channelpronetwork.com/article/mobile-device-security-startling-statistics-data-loss-and-data-breaches
[4] Volledige versleuteling van systeemgeheugen met AMD Memory Guard wordt standaard meegeleverd met AMD Ryzen PRO, AMD Ryzen Threadripper PRO en AMD Athlon PRO processors. PP-3.

Door: Akash Malhotra, Director Security Product Management, AMD

 

Terug naar nieuws overzicht
Digital Workplace