Während sich Unternehmen weiterhin mit der Verwaltung einer hybriden Belegschaft auseinandersetzen, spielt die Sicherheit außerhalb der Unternehmens-Firewall weiterhin eine sehr wichtige Rolle im täglichen IT-Betrieb.
Nach der Veröffentlichung von Windows 11 im Oktober, das Funktionen bot, die hybrides Arbeiten ermöglichen sollten, kündigte Microsoft letzte Woche die ersten PCs mit seiner Chip-to-Cloud-Sicherheitstechnologie Pluto an. Die Technologie soll die Computer von Telearbeitern und anderen sichern.
Auf der CES gab Microsoft bekannt, dass Lenovo und der Chiphersteller AMD die ersten Laptops auf den Markt gebracht haben, das ThinkPad Z13 und das ThankPad Z16, die nativ mit Pluto-Sicherheitschips ausgestattet sind. Der Preis für das ThinkPad Z13 beginnt bei 1,549 €, der Preis für das ThinkPad Z16 beginnt bei 2,099 €. Beide Laptops werden im Mai erhältlich sein, und Lenovo gab an, dass für den darin enthaltenen Pluto-Chip keine zusätzlichen Kosten anfallen.
Pluto ist auf Lenovo ThinkPad 2022-Plattformen (insbesondere Z13, Z16, T14, T16, T14s, P16s und X13 mit Prozessoren der AMD 6000-Serie) standardmäßig deaktiviert. Kunden hätten die Möglichkeit, Pluto selbst zu aktivieren, sagte ein Lenovo-Sprecher.
Auf die Frage, warum der Chip zunächst deaktiviert sei, sagte der Sprecher, dass Unternehmenskunden „uns mitgeteilt haben, dass sie jede neue sicherheitsrelevante Software oder Funktionalität, die in ihr Netzwerk eingeführt wird, gründlich testen und bewerten. Und sie könnten sich dafür entscheiden, Pluto zu aktivieren.“ Geräte, wenn sie es sehen. Wenn Pluto auf den Markt kommt und wir Zeit haben, die Kundennachfrage nach werkseitiger Aktivierung zu beurteilen, werden wir die Aktivierung überprüfen.“
Der Pluto-Prozessor soll einen besseren Schutz bieten als das bestehende Trusted Platform Module (TPM), da es sich um einen dedizierten Sicherheitschip handelt, der Sicherheitsfunktionen wie BitLocker, Windows Hello und System Guard verwaltet.
Windows 11 wurde mit einer Vielzahl von Sicherheitsupdates geliefert, darunter die Unmöglichkeit, bestehende Funktionen wie UEFI, Secure Ledger und kryptografisches TPM zu deaktivieren. Windows 11 ist ein Zero Trust-fähiges Betriebssystem, das vom Chip bis zur Cloud sicher ist und über überprüfbare Sicherheitsprüfungen verfügt, die standardmäßig integriert und aktiviert sind.
TPM 2.0 wird zum Generieren und Schützen von Verschlüsselungsschlüsseln, Benutzeranmeldeinformationen und anderen sensiblen Daten verwendet, sodass Malware und Angreifer nicht auf Daten zugreifen oder diese manipulieren können.
Der Pluto-Chip ist ein speziell entwickelter Sicherheitsprozessor, der in einer gemeinsamen Anstrengung von Microsoft und führenden Siliziumherstellern, darunter AMD und Qualcomm, entwickelt wurde. Ziel ist es, PCs vor einigen der ausgefeiltesten Malware-Angriffe zu schützen, indem Benutzeranmeldeinformationen (einschließlich Fingerabdruckinformationen), Identitäten, persönliche Daten und Passwörter sicherer gespeichert werden. Der eingebettete Sicherheitsprozessor kombiniert TPM 2.0-Funktionalität mit der Möglichkeit, über Windows Update, den Dienst von Microsoft, der die neueste Software/Firmware auf einem Computer installiert, dynamisch zu aktualisieren und neue Sicherheitsfunktionen nahtlos hinzuzufügen.
Laut Microsoft trägt „eng integrierte Hardware und Software“ durch zusätzliche Sichtbarkeit und Kontrolle zum Schutz vor Sicherheitslücken bei und lässt sich besser an Änderungen in der Bedrohungslandschaft anpassen.
Der Pluto-Chip ist in den Prozessorchip eines Geräts eingebettet und daher für Angreifer schwieriger zugänglich. Darauf gespeicherte sensible Informationen können nicht gelöscht werden, selbst wenn ein Angreifer Schadsoftware installiert hat oder sich physisch im Besitz des PCs befindet, da der Chip vom Rest des Systems isoliert ist. Der diskrete Chip trägt auch dazu bei, neue Angriffstechniken zu verhindern, wie z. B. spekulative Ausführung (ein Seitenkanalangriff), der das Verhalten und die Funktionalität des Prozessors ausnutzt.
Laut Matt Wo, einem Sprecher für Cybersicherheit von Microsoft, kann Pluto als TPM fungieren oder neben einem unauffälligen TPM eines Drittanbieters zusätzliche Sicherheit für ein Gerät bieten.
„Unsere Partner haben die Wahl und Flexibilität, Pluto mit oder ohne TPM eines Drittanbieters anzubieten“, sagte Wo in einer E-Mail-Antwort an Computerworld. „Wenn Pluto als TPM konfiguriert ist, schützt es die BitLocker-Schlüssel, die zur Verschlüsselung und zum Schutz der im System gespeicherten Kundendaten verwendet werden.“
Patrick Hevesi, Vice President Analyst bei Gartner, sagte, der größte Vorteil des Pluto-Chips sei die potenzielle Eliminierung physischer Seitenkanalangriffe auf autonome TPM-CPU-Kommunikationskanäle.
Seitenkanalangriffe zielen nicht auf Schwachstellen in den kryptografischen Systemen selbst ab; Stattdessen sucht die Malware nach Informationslecks, die möglicherweise Hinweise auf den Betrieb des kryptografischen Systems geben. Akustische Angriffe können beispielsweise den Ton der Tastenanschläge eines Benutzers aufzeichnen, um dessen Passphrase zu stehlen, oder elektromagnetische Feldstrahlung (EMF), die von einem Computerbildschirm ausgeht, kann verwendet werden, um Informationen anzuzeigen, bevor sie gesendet werden. verschlüsseln.
„Da Plutos Sicherheitsprozess direkt in SoC-Chips (System on a Chip) eingebettet wird, sollte es keine Möglichkeit geben, auf den Kanal zuzugreifen, ohne den Chip zu zerstören“, sagte Hevesi per E-Mail. „Darüber hinaus werden Schlüssel gemäß den Spezifikationen von Microsoft niemals die Grenzen von Pluto Security verlassen, was dazu beitragen wird, Angriffe wie spekulative Ausführung und andere Arten von Schlüssel-Hardware-Angriffen zu verhindern.“
Ein weiterer Vorteil der Pluto-Architektur besteht darin, dass Microsoft Firmware-Updates für Sicherheitschips kontrolliert und direkte Updates von Windows Update ermöglicht; Laut Hevesi kann das Unternehmen den Firmware-Code kontrollieren und sichern und weiterhin neue Sicherheitsfunktionen hinzufügen, wenn neue Windows-Versionen eingeführt werden.
Microsoft wird außerdem in der Lage sein, Hardware- und Software-Sicherheitsfunktionen wie Secure Boot, Measured Boot und virtualisierungsbasierte Sicherheit direkt auf einem Einzelprozessor-SoC voranzutreiben.
„Dies wird dazu beitragen, sogar Remote-Angriffe zu verhindern, die versuchen, den Kernel- oder Betriebssystem-Boot-Prozess zu ändern. Der Pluto-Chip wird dazu beitragen, Remote-Geräte durch die physische Schicht und die Integration von Software-Sicherheitsfunktionen zu schützen“, sagte Hevesi. „Diese Technologie kann auch auf lokale Geräte angewendet werden, um potenziell physische Insider-Angriffe zu verhindern, und sie haben diese Technologie auch zu Azure Sphere in der Cloud hinzugefügt.“
Nicht jeder glaubt, dass der neue Pluto-Chip die ultimative Sicherheit bietet.
Michael Suby, Vizepräsident für Forschung beim Trust and Security Research Service von IDC, sagte, die SoC-Plattform sei ein nützlicher Fortschritt, der Geschäftsentscheidungen in absehbarer Zeit nicht drastisch verändern werde.
„Eine potenzielle Exploit-Sequenz eines böswilligen Akteurs könnte den Laptop der Führungskraft schmuggeln, das Gerät öffnen und auf Hardwareebene infizieren und das Gerät dann scheinbar unbeschädigt der Führungskraft und auch potenziellen Sicherheitsteams der IT überlassen“, sagt Suby.
Die neuen Laptops von Lenovo werden von Prozessoren der AMD Ryzen 6000-Serie angetrieben, die in den neuen Windows 11-PCs über den Pluto Security-Chip verfügen. Der Pluto-Chip basiert auf einer Technologie, die seit Jahren in Microsoft Xbox und Microsoft Azure Sphere verwendet wird.
„Da wir in diese neue Ära des hybriden Arbeitens eintreten, benötigen Sie moderne Sicherheitslösungen, die überall einen umfassenden Schutz bieten“, sagte Wo. „Windows 11 wurde entwickelt, um die Messlatte für Sicherheit sofort höher zu legen und Schutzfunktionen wie Windows Hello, Geräteverschlüsselung, virtualisierungsbasierte Sicherheit (VBS), hypervisorgeschützte Codeintegrität (HVCI) und sicheren Start, eine Kombination, zu ermöglichen.“ was nachweislich Malware um 60 % reduziert.“
Microsoft sagte, dass viele Windows 11-Updates und kollaborative Chipdesigns von hybriden Arbeitsthemen inspiriert seien.
„Es ist klar, dass in den letzten Jahren viele Erkenntnisse gewonnen wurden, die unsere Partner in die Entwicklung dieser Geräte integriert haben. „Diese Erkenntnisse und neuen Arbeitsweisen haben auch viele Designinnovationen in Windows 11 beeinflusst“, sagte Nicole Dezen, Vizepräsidentin für Gerätepartnervertrieb bei Microsoft, in einem Blogbeitrag.
Copyright © 2022 IDG Communications, Inc.