Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Säkerhetsnyheter

Varför behöver du aktivera säker start på din dator just nu?

Postat avRiley Dickens 05 minuter
Varför-du-behöver-aktivera-säker-start-i-din-dator-just-nu
Innehållsförteckning

Att skydda din onlinemiljö i dagens värld har aldrig varit viktigare. COVID-19 har fått många organisationer att ompröva hur de säkrar sina nätverk och sakernas internet (IoT)-enheter inom det nätverket. För att påbörja processen med att skydda IoT-enheter och persondatorer i ditt nätverk kan du börja med säker start. Precis som kodsigneringsprocessen verifierar säker start att signaturerna och nycklarna som används av starthårdvaran och operativsystemet är giltiga och inte har manipulerats.

Vad är säker start exakt?

Säker start fungerar genom att autentisera koden och startavbildningar som används av operativsystemet autentiseras mot hårdvaran innan de tillåts starta systemet. Anledningen till att de autentiseras mot hårdvaran är att hårdvaran är förkonfigurerad för att autentisera kod med hjälp av betrodda autentiseringsuppgifter. Detta säkerställer att bilderna och koden inte har manipulerats eller ändrats av hotaktörer som försöker använda skadlig kod för att infektera ditt nätverk eller enheter i ditt nätverk. Som du kan se är det viktigt att aktivera säker start på enheter i ett nätverk, eftersom det motverkar många vanliga skadliga attacker.

När man har att göra med skadliga hotaktörer kommer många attacker med skadlig kod att ändra operativsystemets kod eller installera en ny starthanterare, så att när ett system startas om kommer deras skadliga kod att startas och spridas över hela enheten. Att aktivera säker start säkerställer att detta inte inträffar, eftersom starthanteraren inte kommer att ha en giltig nyckel och signatur som matchar hårdvaran, och därför kommer säker start att stoppa startprocessen. Om skadlig kod kommer igenom, i det fall säker start inte var aktiverad, kan en organisation drabbas av massiva konsekvenser, såsom att förlora miljontals dollar eller viktig information som de annars inte skulle vilja ha offentlig.

Hur fungerar säker start?

Processen bakom säker start är inte så komplicerad som du kanske tror. När en enhet med säker start aktiverad är påslagen är det första steget i processen att CPU:s interna startladdare verifierar startladdarens äkthet. Detta görs genom att jämföra signaturen som genereras av tillverkarens privata nyckel med den publika nyckeln som är inbäddad i enheten. När du arbetar med kodsignering och säker start, en asymmetrisk kryptering Processen används för att validera tillverkarens och programvarans äkthet.

Processen med asymmetrisk kryptering fungerar genom att först generera två matematiskt länkade nycklar, en offentlig nyckel och en privat nyckel. Den privata nyckeln hålls hemlig och är endast känd för nycklarnas skapare, och den offentliga nyckeln är känd för alla. Eftersom dessa nycklar är matematiskt länkade kan en programvara signeras med den privata nyckeln och den signaturen kan verifieras med den offentliga nyckeln. Detta identifierar att programvaran i fråga skapades av nyckelägaren och inte har manipulerats.

Skräddarsydda krypteringstjänster

Vi utvärderar, strategiserar och implementerar krypteringsstrategier och lösningar.

Läs mer

Nästa steg i den säkra startprocessen är att verifiera äktheten hos operativsystemet och alla program som startas vid start. Med samma process som i det första steget används den inbäddade publika nyckeln för att verifiera att operativsystemet och programmen är giltiga. När alla dessa olika delar av startprocessen har verifierats för äkthet kan enheten startas och köras normalt. Om operativsystemet, starthanteraren eller några program, i något steg i denna process, inte matchar den inbäddade publika nyckeln, stoppas startprocessen och åtgärder vidtas.

Vägspärrar för säker start

Eftersom Secure Boot använder en process som är mycket lik kodsignering, står de inför många av samma problem. Den mest angelägna frågan är skyddet av de asymmetriska signeringsnycklarna som används i Secure Boot-processen. Jag nämnde tidigare att en del av Secure Boot-processen är att den offentliga nyckeln för det offentliga/privata nyckelparet är inbäddad i programvaran, och vad jag menar med detta är att det finns ett certifikat som genererades genom användning av den offentliga nyckeln. Detta digitalt certifikat, ungefär som ett kodsigneringscertifikat, innehåller informationen om den publika nyckeln och signeras med den privata nyckeln, vilket möjliggör matchning av nyckelinformation mellan de publika och privata nycklarna. Att skydda dessa nycklar är det första stora problemet som många organisationer kan möta.

Om den privata nyckeln som används för att signera det digitala certifikatet komprometteras av en skadlig hotaktör, kan de sedan använda certifikatet för att skicka bootloaders eller operativsystemkod genom den säkra startprocessen, vilket gör det möjligt för dem att infektera användare med skadlig kod. Att skydda dessa nycklar korrekt kan göras med antingen hårdvaru- eller mjukvarubaserade nyckellagringsmetoder.

Programvarubaserad lagring är inte den starkaste metoden för att skydda krypteringsnycklar, eftersom nycklarna fortfarande kan tas från lagringsmetoden. Hårdvarubaserade nyckellagringsmetoder, som hårdvarusäkerhetsmoduler, skyddar nycklar med en mycket starkare metod jämfört med programvarubaserade nyckellagringsmetoder. Hårdvarusäkerhetsmoduler, eller HSM, är manipuleringssäkra och skyddade, vilket skyddar krypteringsnycklar mycket mer tillförlitligt.

Andra sätt att skydda data, utöver säker start, är att sätta upp starka krypteringspolicyer inom din organisation. Dessa policyer ger enhetlighet i hela organisationen, vilket gör det möjligt för olika team inom organisationen att följa liknande skyddsmetoder. Dessutom är implementering av intrångsskyddssystem (IPS) och intrångsdetekteringssystem (IDS), säkra din kod vid källan och använda organisationer som Encryption Consulting för att identifiera luckor i dina säkerhetssystem andra sätt att skydda data i din organisation.

Slutsats

I slutändan är det ett bra sätt att börja försvara ditt nätverk mot skadliga hotaktörer att aktivera säker start på alla enheter i din organisation. Säker start tillhandahåller en inbyggd metod för att kontrollera ditt operativsystem och din bootloader efter skadlig kod, vilket gör att du kan känna dig trygg på den enhet du använder. Andra metoder, som att konfigurera IPS och IDS eller att låta en tredje part utvärdera dina säkerhetsplaner, kan fungera hand i hand med säker start för att ge dig bästa möjliga säkerhetssystem för ditt hem- eller företagsnätverk. För att lära dig mer om hur Encryption Consulting kan hjälpa till, besök www.krypteringskonsulting.com.

Upptäck vår

Relaterade bloggar

Den slutliga nedräkningen för Windows 10:s slut på livscykel

Den slutliga nedräkningen för Windows 10:s slut på livscykel

September 16, 2025

Trådar-bara-ännu-en-social-medieplattform-eller-en-hackerdröm

Trådar, bara ytterligare en social medieplattform eller en hackers dröm? 

July 27, 2023

Förstå RaaS och förebygga ransomware-attacker

Förstå RaaS och förebygga ransomware-attacker

July 5, 2023

Utforska

Fler ämnen