Intel® SGX: oltre i dati crittografati, verso il confidential computing

Guardate il video

Domande per i professionisti IT da considerare quando vengono segnalate nuove vulnerabilità

  • Qual è la gravità della vulnerabilità? Scoprite il punteggio CVSS.

  • Il fornitore ha reso disponibile e applicato alla mia rete una patch?

  • Quali sono i vettori di attacco necessari per l'esecuzione? Sono vulnerabile?

  • Il codice della mia applicazione sfrutta i BKM per resistere agli attacchi?

  • Il codice di attacco è disponibile? È stato reso pubblico?

Leggi il paper: progettazione di Intel® SGX per le piattaforme multi-pacchetto
BUILT IN - ARTICLE INTRO SECOND COMPONENT

Comprendere Intel® Software Guard Extensions (Intel® SGX)

Oggi le soluzioni di sicurezza provvedono alla crittografia quando i dati sono nello storage e quando vengono trasmessi in rete, ma i dati rimangono vulnerabili mentre sono attivamente elaborati nella memoria. Il database Common Vulnerabilities and Exposures (CVE)1, ad esempio, contiene oltre 11.000 vulnerabilità potenzialmente sfruttabili, il 34% delle quali ancora senza soluzioni. Intel® SGX, bypassando i livelli software del sistema operativo (OS) e della macchina virtuale (VM), offre una significativa protezione contro molti di questi tipi di attacchi, protegge meglio i dati e risponde alla necessità di un computing più riservato. Fornisce una soluzione di sicurezza basata su hardware che sfrutta la crittografia per modificare l'accesso alla memoria, creando aree protette di memoria per l'esecuzione dell'applicazione e dei suoi dati. Intel® SGX consente inoltre di verificare l'applicazione e l'hardware che la esegue.

Che cos'è un attacco al canale laterale? È preoccupante?

Gli attacchi ai canali laterali si basano sull'uso di informazioni quali gli stati di alimentazione, le emissioni e i tempi di attesa, ricavati direttamente dal processore, per dedurre indirettamente schemi di utilizzo dei dati. Questi attacchi sono molto complessi e difficili da eseguire e richiedono la violazione dei data center di un'azienda a più livelli: fisico, di rete e di sistema.

Gli hacker seguono tipicamente il percorso di minore resistenza. Oggigiorno, questo significa tipicamente attaccare il software. Sebbene Intel® SGX non sia appositamente progettato per proteggere dagli attacchi ai canali laterali, offre una forma di isolamento per il codice e i dati che alza significativamente l'asticella per gli aggressori. Intel continua a lavorare con i suoi clienti e la comunità di ricerca in modo da identificare potenziali rischi associati ai canali laterali e mitigarli. Nonostante l'esistenza di vulnerabilità del canale laterale, Intel® SGX rimane uno strumento prezioso, perché offre un potente livello di protezione supplementare.

Ci si può fidare di Intel® SGX?

Intel® SGX è l'ambiente di esecuzione attendibile (TEE) basato su hardware più testato, studiato e implementato nei data center, forte della minore esposizione possibile agli attacchi. In caso di rigorose esigenze di privacy e sicurezza, Intel® SGX offre un vantaggio strategico chiarissimo.

Le buone notizie per i clienti protetti da Intel® SGX sono che, oltre a contribuire alla difesa dalla miriade di attacchi più comuni basati su software, i meccanismi di attestazione di Intel® SGX permettono anche di verificare che l'applicazione non sia stata compromessa e che il processore su cui viene eseguita abbia implementato gli ultimi aggiornamenti di sicurezza.

Intel® SGX protegge da migliaia2 di minacce note e sconosciute, molte delle quali non hanno ancora trovato soluzioni alternative. Il codice e i dati rimangono significativamente più protetti con Intel® SGX.

Andare oltre i dati crittografati verso il confidential computing

Scopri in che modo Intel® SGX aggiunge un ulteriore strato di difesa riducendo la superficie di attacco.

FAQ

Domande ricorrenti

Intel® SGX aggiunge un ulteriore livello di difesa contribuendo a ridurre l'esposizione agli attacchi. Intel® SGX contribuisce a proteggere codice e dati dagli attacchi di software dannosi e dalle privilege escalation durante l'elaborazione di tali dati. Gli sviluppatori sono in grado di creare ambienti di esecuzione attendibili (TEE) direttamente all'interno del dominio del processore/memoria.

Gli attacchi ai canali laterali sono pensati per raccogliere informazioni esterne dal processore, come gli stati di alimentazione, le emissioni e i tempi di attesa, nel tentativo di dedurre l'attività dei dati e i valori.3

Gli hacker seguono tipicamente il percorso di minore resistenza. Oggigiorno, questo significa tipicamente attaccare il software. Sebbene Intel® SGX non sia appositamente progettato per proteggere dagli attacchi ai canali laterali, offre una forma di isolamento per il codice e i dati che alza l'asticella per gli aggressori.

In che modo Intel® SGX affronta le vulnerabilità di sicurezza:

  • Collaborazione: la collaborazione continua con ricercatori e partner, incluso il nostro ruolo di fondatori nel Confidential Computing Consortium, ci permette di identificare e mitigare le vulnerabilità più rapidamente.
  • Sicurezza rafforzata: Intel® SGX è progettato per essere regolarmente aggiornato e costantemente rafforzato contro gli attacchi.
  • Verifica: Intel® SGX consente alle applicazioni di verificare che siano in esecuzione su sistemi aggiornati e non compromessi.

Avvisi ed esclusioni di responsabilità4

Informazioni su prodotti e prestazioni

1https://cve.mitre.org/.
2Intel® SGX non è vulnerabile alla maggior parte delle minacce a livello di sistema operativo e include attualmente nel database oltre 140.000 minacce. https://cve.mitre.org.
3Ad agosto 2020, sono centinaia i documenti di ricerca che hanno fatto riferimento a Intel® SGX.
4https://www.csoonline.com/article/3153707/top-cybersecurity-facts-figures-and-statistics.html.