TWI791975B - 藉由監測對基本輸入/輸出系統(bios)或統一可延伸韌體介面(uefi)屬性進行之組態改變之鏈來偵測安全威脅 - Google Patents
藉由監測對基本輸入/輸出系統(bios)或統一可延伸韌體介面(uefi)屬性進行之組態改變之鏈來偵測安全威脅 Download PDFInfo
- Publication number
- TWI791975B TWI791975B TW109112858A TW109112858A TWI791975B TW I791975 B TWI791975 B TW I791975B TW 109112858 A TW109112858 A TW 109112858A TW 109112858 A TW109112858 A TW 109112858A TW I791975 B TWI791975 B TW I791975B
- Authority
- TW
- Taiwan
- Prior art keywords
- bios
- followed
- configuration change
- uefi
- boot
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
- G06F9/441—Multiboot arrangements, i.e. selecting an operating system to be loaded
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/654—Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Abstract
描述了用於藉由監測對基本輸入/輸出系統(BIOS)或統一可延伸韌體介面(UEFI)屬性進行之組態改變之鏈來偵測IHS攻擊之系統及方法。在一些實施例中,一種IHS可包括:一處理器;及一記憶體,該記憶體耦接至該處理器,該記憶體具有儲存在其上之程式指令,該等程式指令在藉由該處理器執行後致使該IHS:監測一BIOS/UEFI組態改變鏈;將該BIOS/UEFI組態改變鏈與一攻擊指標(IoA)進行比較;及回應於該BIOS/UEFI組態改變鏈與該IoA相匹配而報告一警報。
Description
本揭露一般而言係關於資訊處置系統(IHS),且更具體而言係關於用於藉由監測對基本輸入/輸出系統(BIOS)或統一可延伸韌體介面(UEFI)屬性進行之組態改變之鏈來偵測安全威脅之系統及方法。
隨著資訊之價值及用途繼續增加,個人及企業尋求處理及儲存資訊之額外方式。一種選項為資訊處置系統(IHS)。IHS通常處理、編譯、儲存及/或傳達資訊或資料以用於商業、個人或其他目的。因為技術及資訊處置需求及組件在不同應用之間可能發生變化,所以IHS亦可關於處置什麼資訊,如何處置資訊,處理、儲存或傳達多少資訊,以及可多迅速及高效地處理、儲存或傳達資訊方面發生變化。IHS之變化允許IHS通用於或經組態以用於特定使用者或特定用途,諸如金融交易處理、飛機訂票、企業資料儲存、全球通信等。另外,IHS可包括可經組態以處理、儲存及傳達資訊之多種硬體及軟體組件,且可包括一或多個電腦系統、資料儲存系統及網路連接系統。
電腦安全(亦稱作網路安全)指保護IHS以防對硬體、軟體及/或電子資料之盜竊或損壞。在此上下文中,威脅為可利用IHS之易損性來破壞其安全性且因此引起危害之潛在危險。如今,對消費者及商業IHS之許多安全威脅需要對手在基本輸入/輸出系統(BIOS)或統一可延伸韌體介面(UEFI)層級修改IHS之組態。
描述了用於藉由監測對基本輸入/輸出系統(BIOS)或統一可延伸韌體介面(UEFI)屬性進行之組態改變之鏈來偵測安全威脅之系統及方法的實施例。在一些說明性、非限制性實施例中,一種IHS可包括:一處理器;及一記憶體,該記憶體耦接至該處理器,該記憶體具有儲存在其上之程式指令,該等程式指令在藉由該處理器執行後致使該IHS:監測一BIOS/UEFI組態改變鏈;將該BIOS/UEFI組態改變鏈與一攻擊指標(IoA)進行比較;及回應於該BIOS/UEFI組態改變鏈與該IoA相匹配而報告一警報。
為了監測該BIOS/UEFI組態改變鏈,該等程式指令在執行後可致使該IHS存取儲存了BIOS組態屬性之一非揮發性記憶體(NVM)。在一些情況下,該BIOS/UEFI組態改變鏈可至少包括具有一第一時間戳之一第一組態改變,隨後為具有一第二時間戳之一第二組態改變。
該IoA可至少包括一第三組態改變隨後為一第四組態改變,且該等程式指令在執行後可致使該IHS比較:(i)該第一組態改變與該第三組態改變,及(ii)該第二組態改變與該第四組態改變,且其中當出現以下情況時該BIOS/UEFI組態改變鏈與該IoA部分地相匹配:(i)該第一組態改變等於該第三組態改變,且(ii)該第二組態改變等於該第四組態改變。
另外地或替代地,該IoA可包括該第三組態改變與該第四組態改變之間的一時間間隔,且該等程式指令在執行後可致使該IHS:將該第二時間戳與該第一時間戳之間的一時間差與該時間間隔進行比較,且其中當該時間差等於或小於該時間間隔時,該BIOS/UEFI組態改變鏈與該IoA部分地相匹配。
在一些情況下,一BIOS/UEFI組態改變鏈可包括:對BIOS簽名之一停用,隨後為對BIOS降級之一啟用,隨後為對BIOS自動恢復之一停用,隨後為對BIOS自動恢復之一啟用,隨後為對BIOS降級之一停用,及隨後為對BIOS簽名之一啟用。另外地或替代地,該BIOS/UEFI組態改變鏈可包括:自一啟動清單中選擇一傳統啟動選項,隨後為對安全啟動之一停用,隨後為執行一傳統啟動之一嘗試。另外地或替代地,該BIOS/UEFI組態改變鏈可包括:自一啟動清單中選擇一安全數位(SD)啟動選項、一雷霆啟動選項或一通用串列匯流排(USB)啟動選項,隨後為將一啟動裝置添加至該啟動清單。另外地或替代地,該BIOS/UEFI組態改變鏈可包括:停用啟動路徑安全性,隨後為以下至少一者:停用一安全啟動,或嘗試一傳統啟動。另外地或替代地,該BIOS/UEFI組態改變鏈可包括:對一BIOS完整性檢查之停用,隨後為對BIOS降級之一啟用,隨後為一韌體更新,隨後為對BIOS自動恢復之一停用。
另外地或替代地,該BIOS/UEFI組態改變鏈可包括:繞過一可信賴平台模組(TPM)清除操作之實體存在要求,隨後為一TPM清除操作。另外地或替代地,該BIOS/UEFI組態改變鏈可包括:允許一TPM清除操作,隨後為以下至少一者:允許一本端TPM激活,或允許一遠端TPM激活操作。另外地或替代地,該BIOS/UEFI組態改變鏈可包括:啟用一自動開啟特徵、一自動開啟LAN喚醒特徵、一USB喚醒特徵或一塢喚醒特徵,隨後為以下至少一者:(i)允許一BIOS降級,隨後為一韌體更新操作,(ii)允許一遠端TPM激活操作,或(iii)允許對一內部驅動器之一遠端擦除。
另外地或替代地,該BIOS/UEFI組態改變鏈可包括:啟用一自動開啟特徵、一自動開啟LAN喚醒特徵、一USB喚醒特徵或一塢喚醒特徵,隨後為以下至少一者:(i)允許一BIOS降級,隨後為一韌體更新操作,或(ii)允許一遠端TPM激活操作。另外地或替代地,該BIOS/UEFI組態改變鏈可包括:啟用一麥克風或相機,隨後為一自動開啟麥克風或相機設定。另外地或替代地,該BIOS/UEFI組態改變鏈可包括:改變一管理員通行碼之一最小長度,隨後為對一強通行碼特徵之一停用,隨後為一管理員通行碼改變。
另外地或替代地,該BIOS/UEFI組態改變鏈可包括:一管理員通行碼改變,隨後為對一管理員設定閉鎖特徵之一啟用。另外地或替代地,該BIOS/UEFI組態改變鏈可包括:清除一入侵警告,隨後為一機箱入侵重設。
在另一說明性、非限制性實施例中,一種硬體記憶體裝置可具有儲存在其上之程式指令,該等程式指令在由一IHS之一處理器執行後致使該IHS:監測一BIOS/UEFI組態改變鏈;將該BIOS/UEFI組態改變鏈與一IoA進行比較;及回應於該BIOS/UEFI組態改變鏈與該IoA相匹配而報告一警報。
在又一說明性、非限制性實施例中,一種方法可包括:監測一BIOS/UEFI組態改變鏈;將該BIOS/UEFI組態改變鏈與一IoA進行比較;及回應於該BIOS/UEFI組態改變鏈與該IoA相匹配而報告一警報。
某些類型之安全攻擊需要對手在基本輸入/輸出系統(BIOS)或統一可延伸韌體介面(UEFI)層級修改資訊處置系統(IHS)之組態。實際上,複雜的攻擊可能需要以特定順序對兩個或更多個BIOS/UEFI屬性進行組態改變,使得單獨地偵測到任何給定BIOS/UEFI屬性改變將無法保護IHS。為了解決此等問題及其他問題,本文中描述之系統及方法提供威脅模型化視角及平台層級安全性以定義可由安全軟體用作攻擊指標(IoA)之BIOS/UEFI組態改變串或鏈。
在一些實施例中,IHS上之系統代理可經組態以監測對BIOS/UEFI組態屬性之所有改變,且將當前及歷史組態改變與預定義IoA進行比較以找到匹配。IoA可例如藉由理解高級對手、平台威脅模型及客戶安全性而事先生成。在一些狀況下,IoA可由第三方安全軟體供應商使用以包括在其自己的IoA過濾器中。
報告模組可經組態以在所偵測之BIOS/UEFI組態改變鏈與預定義IoA相匹配的情形下警示管理員、安全操作中心或IHS之使用者。可例如基於與由給定IoA指定之對應改變相匹配之組態改變的數目來量測及監測偵測可信度。在一些實施方案中,機器學習模組可用於產生新IoA及維護現有IoA。
因此,本文中描述之系統及方法可提供定義及描述BIOS/UEFI組態改變之危險組合的基於對手及威脅之方法。此等技術亦提供對作為IoA之組態改變之特定組合的描述及遞送,以及BIOS/UEFI組態之部分或全部鏈的風險及可信度評級以用於IoA偵測、報告及/或警示。
出於本揭露之目的,IHS可包括可操作以進行以下操作之任何工具或工具聚集體:計算、運算、判定、分類、處理、傳輸、接收、擷取、溯源、切換、儲存、顯示、傳達、表明、偵測、記錄、再現、處置或利用任何形式之資訊、情報或資料以用於商業、科學、控制或其他目的。例如,IHS可為個人電腦(例如,桌上型或膝上型)、平板電腦、移動裝置(例如,個人數位助理(PDA)或智慧型電話)、伺服器(例如,刀鋒伺服器或機架伺服器)、網路儲存裝置或任何其他合適的裝置,且大小、形狀、效能、功能及價格可發生變化。
IHS可包括隨機存取記憶體(RAM)、一或多個處理資源(諸如中央處理單元(CPU)或硬體或軟體控制邏輯)、唯讀記憶體(ROM)及/或其他類型之非揮發性記憶體。IHS之額外組件可包括一或多個碟片驅動器、用於與外部裝置以及各種I/O裝置(諸如鍵盤、滑鼠、觸控螢幕及/或視訊顯示器)通信之一或多個網路埠。IHS亦可包括可操作以在各種硬體組件之間傳輸通信之一或多個匯流排。
圖1示出了根據一些實施例之經組態以藉由監測對BIOS/UEFI屬性進行之組態改變之鏈來偵測安全威脅的IHS 100之組件的實例。如所示,IHS 100包括處理器101。在各種實施例中,IHS 100可為單處理器系統,或包括兩個或更多個處理器之多處理器系統。處理器101可包括能夠執行程式指令之任何處理器,諸如奔騰系列處理器,或實施多種指令集架構(ISA)中之任一者的任何通用或嵌入式處理器,該等指令集架構諸如x86 ISA或精簡指令集電腦(RISC)ISA(例如,POWERPC、ARM、SPARC、MIPS等)。
處理器101可經由北橋102晶片或積體電路(IC)存取,該北橋晶片或集體電路經由快速路徑互連(QPI)或前側匯流排提供介面。北橋102亦提供對系統記憶體103之存取,該系統記憶體可經組態以儲存可由處理器101存取之程式指令及/或資料。在各種實施例中,系統記憶體103可使用任何合適的記憶體技術實施,該等記憶體技術諸如靜態RAM(SRAM)、動態RAM(DRAM)或磁碟,或任何非揮發性/快閃類型記憶體,諸如固態硬碟(SSD)。
北橋102亦可提供對圖形處理器104之存取。在某些實施例中,圖形處理器104可為作為IHS 100之組件安裝之一或多個視訊或圖形卡的一部分。圖形處理器104可經由諸如由AGP(加速圖形埠)匯流排或PCIe(快速周邊組件互連)匯流排提供之圖形匯流排耦接至北橋102。在某些實施例中,圖形處理器104生成顯示信號且向監視器或其他顯示裝置提供該等顯示信號。
IHS 100包括平台控制器集線器(PCH)或南橋晶片集105,該PCH或南橋晶片集可包括耦接至北橋102之一或多個IC。在某些實施例中,PCH 105向處理器101提供對多種資源之存取。例如,PCH 105可耦接至網路介面106,諸如網路介面控制器(NIC)。在某些實施例中,網路介面106可經由PCIe匯流排或類似者耦接至PCH 105,且其可支援經由各種有線及/或無線網路進行之通信。使用者介面裝置107可包括鍵盤、觸控板、相機、遙控器或經組態以使人類使用者能夠與IHS 100互動之任何其他裝置。
在各種實施例中,SPI快閃109可經由SPI匯流排耦接至PCH 105。SPI快閃109可為能夠經電抹除及再程式化之非揮發性記憶體(NVM)裝置。SPI快閃109可劃分為各個分區,其中每個分區儲存用於IHS 100之不同組件的指令及/或資料。
如所示,SPI快閃109之分區可儲存BIOS/UEFI韌體指令110。在藉由處理器101執行後,BIOS/UEFI指令110提供允許IHS之OS與由IHS 100利用之某些硬體組件介接的抽象層。統一可延伸韌體介面(UEFI)經設計為BIOS之繼任者;許多現代IHS除BIOS之外或替代於BIOS利用UEFI。如本文中所使用,BIOS亦意欲涵蓋UEFI。
具體而言,在啟動IHS 100後,處理器101可利用BIOS/UEFI指令110來初始化及測試耦接至IHS 100之硬體組件且載入OS以供IHS 100使用。作為啟動程序之一部分,BIOS/UEFI指令110使得本端或遠端使用者能夠藉由修改一或多個BIOS/UEFI組態屬性之值來對一些IHS組件及程序進行組態改變。此等BIOS/UEFI組態屬性儲存在NVM中且可由IHS之OS經由合適的組態介面存取。
在各種實施例中,IHS 100可不包括所示組件中之每一者。另外地或替代地,IHS 100可包括除所示組件之外的組件(例如,額外儲存器及使用者介面裝置、超級I/O控制器、USB埠等)。例如,在一些情況下,密碼模組可實施為FPGA,或實施為耦接至PCH 105之其他硬體邏輯。密碼硬體模組之實例為可信賴平台模組或TPM。此外,表示為單獨組件之組件中的一些在一些實施方案中可與其他組件整合。在各種實施例中,由所示組件執行之操作中之全部或一部分可替代地由作為系統單晶片(SOC)或類似者整合至處理器101中之組件執行。
圖2係示出根據一些實施例之經組態以藉由監測對BIOS/UEFI屬性進行之組態改變之鏈來偵測安全威脅的BIOS/UEFI安全代理201之組件的方塊圖。在此實施方案中,堆疊200包括OS 206,一種管理IHS硬體及軟體資源且為諸如BIOS/UEFI安全代理201之應用程式提供公用服務的系統軟體。
具體而言,OS 206可排程任務以實現IHS 100之高效使用,且其亦可執行處理器時間、大量儲存、列印及其他資源之成本分配。對於諸如輸入及輸出及記憶體分配之硬體操作,OS 206充當程式與硬體組件之間的中介。OS 206之合適類型的實例包括WINDOWS、MACOS、LINUX及其他。
BIOS/UEFI安全代理201包括在執行後執行用於藉由監測對儲存在NVM 205(例如,SPI快閃109之分區)中之BIOS/UEFI屬性進行的組態改變之鏈來偵測安全威脅之方法的程式指令。在一些實施方案中,BIOS/UEFI安全代理201可進一步包括報告模組202及機器學習模組203。報告模組202包括在執行後向管理員或使用者發出關於所偵測之BIOS/UEFI攻擊之警報、報告及/或通知的程式指令。同時,機器學習模組203包括在執行後產生、修改及維護資料庫204(例如,在硬碟機上)中之IoA的程式指令。
資料庫204中之每個IoA可包括兩個或更多個BIOS/UEFI組態改變之序列,該兩個或更多個BIOS/UEFI組態改變若以該特定順序經偵測到則可指示威脅或攻擊。每個BIOS/UEFI組態改變可由對與BIOS/UEFI組態相關聯且儲存在NVM 205中之屬性(例如,二進位旗標、來自清單之選擇等)的修改表示。
在一些情況下,NVM 205可在BIOS/UEFI組態屬性隨時間改變時儲存它們的歷史值。在其他情況下,NVM可僅保留每個BIOS/UEFI組態屬性之當前設定值,且BIOS/UEFI安全代理201可在(例如,在啟動程序完成後經由OS 206)存取NVM 205後將彼等歷史改變之記錄保存在查找表(LUT)、資料庫或類似者中。當BIOS/UEFI安全代理201收集歷史組態改變及與彼等改變相關聯之其他參數(例如,相同啟動、時間戳等)時,BIOS/UEFI安全代理201監測由例如本端或遠端使用者進行之BIOS/UEFI組態改變之鏈。
關於與屬性改變同時收集之參數,在一些情況下,給定BIOS/UEFI組態改變可與「啟動數目」值相關聯,該值指示相對於先前的BIOS/UEFI組態改變,給定改變是否必須在IHS 100之相同的啟動循環中、在隨後的啟動循環中、在某一數目的啟動循環內抑或在某一數目的啟動循環之後進行,以便使攻擊與特定IoA相匹配。另外地或替代地,IoA可包括第一BIOS/UEFI組態改變與第二BIOS/UEFI組態改變之間的時間間隔,使得為了使攻擊與該IoA相匹配,第二改變必須在該時間間隔內或該時間間隔之後進行。與對BIOS/UEFI屬性值改變之偵測同時地,可儲存及評估與每個此改變相關聯之時間戳。
圖3係用於藉由監測對BIOS/UEFI屬性進行之組態改變之鏈來偵測安全威脅之方法300的方塊圖。在一些實施例中,方法300可由藉由處理器101執行後之BIOS/UEFI安全代理201執行。具體而言,方法300開始於區塊301。在區塊302處,方法300監測對IHS 100進行之BIOS/UEFI組態改變之鏈。
例如,如上所述,BIOS/UEFI安全代理201可經由OS 206自NVM 205擷取當前BIOS/UEFI組態屬性值。接著,BIOS/UEFI安全代理201可將當前值儲存在歷史屬性值之LUT中。LUT或資料庫中之每一項可表示隨時間過去對BIOS/UEFI組態屬性執行之改變。除了指示屬性標識及/或屬性值本身外,BIOS/UEFI組態改變鏈中之每個節點或鏈路亦可包括何時進行改變之時間戳及/或啟動數目值。
區塊303將儲存在資料庫204中之IoA與歷史BIOS/UEFI組態改變進行比較,且區塊304判定特定IoA是否具有匹配。在一些情況下,若BIOS/UEFI組態改變鏈與特定IoA之組態改變序列完全匹配,則可偵測到威脅。在其他情況下,僅可在鏈中之BIOS/UEFI組態改變之間的時間間隔及/或啟動數目亦與該特定IoA中之對應組態改變之間的時間間隔及/或啟動數目相匹配時才識別到匹配。
在其他情況下,並非依賴於完全匹配,而是區塊304可回應於組態改變鏈與整個IoA之較小部分相匹配而偵測到威脅。例如,若BIOS/UEFI組態屬性值改變鏈與IoA相匹配,但與彼等改變相關聯之時間戳在IoA中指定之時間間隔的範圍外,則區塊304可基於BIOS/UEFI組態改變鏈與多少IoA參數相匹配藉由針對不同類型之參數(例如,屬性改變、時間間隔及/或啟動數目)的可選權重來計算偵測可信度分數(例如,a %)。
仍參考區塊304,假設BIOS/UEFI組態改變鏈包括具有第一時間戳之第一組態改變,隨後為具有第二時間戳之第二組態改變。同時,IoA包括第三組態改變,隨後為第四組態改變。因此,區塊304可比較:(i)第一組態改變與第三組態改變,及(ii)第二組態改變與第四組態改變。在此情況下,當出現以下情況時,BIOS/UEFI組態改變鏈與IoA相匹配:(i)第一組態改變等於第三組態改變,且(ii)第二組態改變等於第四組態改變。
若IoA亦定義第三組態改變與第四組態改變之間的時間間隔,則區塊304可將第二時間戳與第一時間戳之間的時間差與該時間間隔進行比較,且其可在該時間差等於或小於該時間間隔時判定BIOS/UEFI組態改變鏈與IoA相匹配。替代地,區塊304可在該時間差等於或大於該時間間隔時判定BIOS/UEFI組態改變鏈與IoA相匹配。
此外,若IoA進一步定義第三組態改變與第四組態改變之間的啟動數目,則區塊304可將該等值與第一組態改變與第二組態改變之間的啟動數目進行比較,且其可在滿足(例如,等於、小於或大於)啟動數目時判定BIOS/UEFI組態改變鏈與IoA相匹配。
在區塊305處,若IoA已與BIOS/UEFI組態改變鏈完全(或大致)匹配,則方法300可致使報告模組202向系統管理員或類似者發出關於有關潛在威脅之細節的警示或報告(例如,電子郵件、文本訊息等)。例如,區塊305可報告匹配之IoA或威脅的名字及/或與近似匹配相關聯之可信度分數。在一些情況下,報告模組202可經由圖形使用者界面(GUI)提供所偵測之BIOS/UEFI組態改變鏈與所量測之IoA之間的視覺比較。對於源自遠端之威脅,亦可通知IHS使用者。此外,除了報告所偵測之威脅或IoA匹配之外,報告模組202還可經組態以向OS 206發出命令以採取選定校正動作,諸如使本端或遠端使用者登出IHS 100,關閉IHS,將較嚴格之安全或資料保護協定應用於正在進行之使用者會話等。方法300在區塊306處結束;但另外地其可連續地或週期性地(例如,在完成每個啟動程序後)重複。
圖4係根據一些實施例之作為攻擊情形400之一部分而對BIOS/UEFI屬性進行之組態改變之鏈的實例。在攻擊情形400中,攻擊者可能利用最近的BIOS中修補之易損性對BIOS執行降級攻擊。一旦已執行攻擊且造成對客戶之損害,攻擊者便還原所有改變以嘗試避免偵測。
具體而言,在區塊401處,使用者藉由將BIOS簽名之值自啟用改變為停用來停用該屬性。在區塊402處,使用者藉由將BIOS降級之值自停用改變為啟用來啟用該屬性。在區塊403處,使用者藉由將BIOS自動恢復之值自啟用改變為停用來停用該屬性。接著,在區塊404處,使用者發起BIOS降級攻擊。
在區塊405處,在完成攻擊之後,使用者藉由將BIOS自動恢復之值自停用改變為啟用來啟用該屬性。在區塊406處,使用者藉由將BIOS降級之值自啟用改變為停用來停用該屬性。最後,在區塊407處,使用者藉由將BIOS簽名之值自停用改變為啟用來啟用該屬性。
在各種實施例中,BIOS/UEFI安全代理201可捕獲攻擊情形400之事件以作為BIOS/UEFI組態改變鏈及各種相關聯之參數(例如,時間戳、事件之間的啟動數目等)。接著,BIOS/UEFI安全代理201可將BIOS/UEFI組態改變鏈與在一或多個IoA中概述之對應改變進行比較。
在圖5至圖16所示之實施方案中,已將各種實例IoA分組成以下安全威脅類別:啟動威脅、BIOS更新威脅、TPM威脅、遠端威脅、認證威脅及日誌篡改威脅。然後,應理解,可使用其他類別,且某些IoA可跨越不同的安全威脅類別概述BIOS/UEFI組態改變。此外,可藉由以任何合適的方式聯結兩個或更多個IoA來(手動地或藉由機器學習模組203之操作)形成較長的IoA以與新的或發展中的安全威脅相匹配。
圖5至圖7係根據一些實施例之代表啟動威脅之攻擊指標(IoA)的實例。在IoA 500之區塊501處,使用者自啟動清單中選擇傳統啟動選項。在區塊502處,使用者藉由將安全啟動之值自啟用改變為停用來停用該屬性。接著,在區塊503處,使用者嘗試執行傳統啟動。關於IoA 600,在區塊601處,使用者自啟動清單中選擇安全數位(SD)啟動選項、雷霆啟動選項或通用串列匯流排(USB)啟動選項。接著,在區塊602處,使用者將啟動裝置添加至啟動清單。至於IoA 700,在區塊701處,使用者首先藉由將啟動路徑安全性之值自始終改變為從不或自啟用改變為停用來停用該屬性。接著在區塊702處,使用者藉由將UEFI安全啟動之值自啟用改變為停用來停用該屬性。否則,在區塊703處,使用者嘗試傳統啟動。
圖8為根據一些實施例之代表BIOS更新威脅之IoA的實例。在IoA 800之區塊801處,使用者藉由將BIOS完整性檢查特徵之值自啟用改變為停用來停用該屬性。在區塊802處,使用者藉由將BIOS降級之值自停用改變為啟用而允許該屬性。在區塊803處,使用者執行BIOS/UEFI韌體更新或恢復操作。接著,在區塊804處,使用者藉由將BIOS自動恢復之值自啟用改變為停用來停用該屬性。
圖9及圖10為根據一些實施例之代表TPM威脅之IoA的實例。在IoA 900之區塊901處,使用者藉由改變操縱TPM或密碼模組124所需之實體存在的值來繞過該屬性。接著,在區塊902處,使用者執行TPM清除操作。在IoA 1000之區塊1001處,使用者執行TPM清除操作。接著,在區塊1002處,使用者執行本端TPM激活。替代地,在區塊1003處,由遠端使用者(相對於IHS 100)執行遠端TPM激活操作。
圖11至圖13為根據一些實施例之代表遠端威脅之IoA的實例。在IoA 1100之區塊1101處,使用者啟用自動開啟特徵、自動開啟LAN喚醒特徵、USB喚醒特徵或塢喚醒特徵。在區塊1102處,使用者藉由將BIOS降級之值自停用改變為啟用來啟用該屬性,且在區塊1103處,使用者執行BIOS/UEFI韌體更新或恢復操作。替代地,在區塊1103處,遠端使用者執行TPM遠端激活操作。在IoA 1200之區塊1201處,使用者啟用自動開啟特徵、自動開啟LAN喚醒特徵、USB喚醒特徵或塢喚醒特徵。接著,在區塊1202處,使用者啟用IHS內部驅動器之遠端擦除。在IoA 1300之區塊1301處,使用者啟用麥克風或相機。接著在1302處,使用者啟用自動開啟麥克風或相機設定。
圖14及圖15為根據一些實施例之代表認證威脅之IoA的實例。在IoA 1400之區塊1401處,使用者改變管理員之通行碼的最小長度。在區塊1402處,使用者停用強通行碼特徵。接著,在區塊1403處,使用者改變管理員之通行碼。在IoA 1500之區塊1501處,使用者改變管理員之通行碼。接著,在區塊1502處,使用者啟用管理員設定閉鎖特徵。
圖16為根據一些實施例之代表日誌篡改威脅之IoA的實例。在IoA 1600之區塊1601處,使用者清除入侵警告或旗標(例如,BIOS日誌、電源日誌、熱日誌或RAM錯誤日誌)。接著,在區塊1602處,使用者重設機箱入侵旗標。
應強調,IoA 500至1600為非限制性實例,且可採用許多其他的IoA。在一些情況下,BIOS/UEFI安全模組201之機器學習模組203將合適的機器學習演算法應用於IoA資料以判定組態改變實際上在欄位中如何發生(例如,以發現改變之間的相關時間間隔或啟動數目)。另外地或替代地,機器學習模組203可將合適的機器學習演算法應用於威脅資料以基於所觀察之威脅及攻擊之集合來自動發現及創建新IoA。另外地或替代地,機器學習模組203可將合適的機器學習演算法應用於與多個IHS之群集相關的IoA或威脅資料以設計與整個企業或企業集合相關之IoA。
應理解,本文中描述之各種操作可在由邏輯或處理電路執行之軟體、硬體或其組合中實施。執行給定方法之每個操作的順序可改變,且各種操作可經添加、重新排序、組合、省略、修改等。本文中描述之本發明意欲涵蓋所有此等修改及改變且因此以上描述應以說明性意義而非限制性意義看待。
儘管本文中參考特定實施例描述了本發明,但在不脫離如以下申請專利範圍中闡述之本發明之範疇的情況下可進行各種修改及改變。因此,說明書及附圖應以說明性意義而非限制性意義看待,且所有此等修改意欲包括在本發明之範疇內。本文中關於特定實施例描述之任何益處、優點或問題之解決方案不意欲解釋為任何或所有請求項之關鍵、必須或基本特徵或元件。
除非另外陳述,否則諸如「第一」及「第二」之術語用以任意地在此等術語描述之元件之間進行區分。因此,此等術語不一定意欲指示此等元件之時間或其他優先順序。術語「耦接的」或「可操作地耦接的」定義為連接的,但不一定為直接連接的,且不一定為機械連接的。除非另外陳述,否則術語「一個」及「一種」定義為一或多個。術語「包括(comprise)」(及包括之任何形式諸如「comprises」及「comprising」)、「具有(have)」(及具有之任何形式諸如「has」及「having」)、「包含(include)」(及包含之任何形式諸如「includes」及「including」)及「含有(contain)」(及含有之任何形式諸如「contains」及「containing」)為開放型聯繫動詞。因此,「包括」、「具有」、「包含」或「含有」一或多個元件之系統、裝置或設備擁有彼等一或多個元件,但不限於僅擁有彼等一或多個元件。類似地,「包括」、「具有」、「包含」或「含有」一或多個操作之方法或程序擁有彼等一或多個操作,但不限於僅擁有彼等一或多個操作。
100:資訊處置系統
101:處理器
102:北橋
103:系統記憶體
104:圖形處理器
105:平台控制器集線器或南橋晶片集
106:網路介面
107:使用者介面裝置
109:SPI快閃
110:BIOS/UEFI韌體指令
200:堆疊
201:BIOS/UEFI安全代理
202:報告模組
203:機器學習模組
204:資料庫
205:非揮發性記憶體
206:操作系統
300:方法
301-306,401-407,501-503,601-602,701-703,801-804,901-902,1001-1003,1101-1104,1201-1202,1301-1302,1401-1403,1501-1502,1601-1602:區塊
400:攻擊情形
500,600,700,800,900,1000,1100,1200,1300,1400,1500,1600:攻擊指標
本發明藉由實例示出且不受附圖限制。附圖中之元件係為了簡單及清楚起見而示出,且不一定按比例繪製。
圖1係示出根據一些實施例之經組態以用於藉由監測對基本輸入/輸出系統(BIOS)或統一可延伸韌體介面(UEFI)屬性進行之組態改變之鏈來偵測安全威脅的資訊處置系統(IHS)之某些組件的方塊圖。
圖2係示出根據一些實施例之經組態以藉由監測對BIOS/UEFI屬性進行之組態改變之鏈來偵測安全威脅的BIOS/UEFI安全代理之組件的方塊圖。
圖3係根據一些實施例之用於藉由監測對BIOS/UEFI屬性進行之組態改變之鏈來偵測安全威脅之方法的方塊圖。
圖4係根據一些實施例之作為攻擊之一部分而對BIOS/UEFI屬性進行的組態改變之鏈的實例。
圖5至圖7係根據一些實施例之與啟動威脅相關之攻擊指標(IoA)的實例。
圖8為根據一些實施例之與BIOS更新威脅相關之IoA的實例。
圖9及圖10為根據一些實施例之與信賴平台模組(TPM)威脅相關之IoA的實例。
圖11至圖13為根據一些實施例之與遠端威脅相關之IoA的實例。
圖14及圖15為根據一些實施例之與認證威脅相關之IoA的實例。
圖16為根據一些實施例之與日誌篡改威脅相關之IoA的實例。
300:方法
301-306:區塊
Claims (19)
- 一種資訊處置系統(IHS),該資訊處置系統包括:一處理器;及一記憶體,該記憶體耦接至該處理器,該記憶體具有儲存在其上之程式指令,該等程式指令在藉由該處理器執行後致使該IHS:監測一基本輸入/輸出系統(BIOS)/統一可延伸韌體介面(UEFI)組態改變鏈,該BIOS/UEFI組態改變鏈至少包含具有一第一時間戳之一第一組態改變隨後為具有一第二時間戳之一第二組態改變之一指示;針對至少包含一第三組態改變隨後在一時間間隔之後為一第四組態改變之一指示之一攻擊指標(IoA),進行:(i)該第一組態改變對該第三組態改變之比較,及(ii)該第二組態改變對該第四組態改變之比較;及回應於下列之一判定而報告一警報:(i)該第一組態改變係等於該第三組態改變,(ii)該第二組態改變係等於該第四組態改變,且(iii)該第二時間戳與該第一時間戳之間的一差值係等於或小於該時間間隔。
- 如請求項1之IHS,其中為了監測該BIOS/UEFI組態改變鏈,該等程式指令在執行後進一步致使該IHS存取儲存了BIOS組態屬性之一非揮發性記憶體(NVM)。
- 如請求項1之IHS,其中該BIOS/UEFI組態改變鏈包括下列之一指示:對BIOS簽名之一停用,隨後為對BIOS降級之一啟用,隨後為對BIOS自動恢復之一停用,隨後為對BIOS自動恢復之一啟用,隨後為對BIOS降級之一停用,及隨後為對BIOS簽名之一啟用。
- 如請求項1之IHS,其中該BIOS/UEFI組態改變鏈包括下列之一指示:自一啟動清單中的一傳統啟動選項之一選擇,隨後為對安全啟動之一停用,隨後為執行一傳統啟動之一嘗試。
- 如請求項1之IHS,其中該BIOS/UEFI組態改變鏈包括下列之一指示:自一啟動清單中的一安全數位(SD)啟動選項、一雷霆(Thunderbolt)啟動選項或一通用串列匯流排(USB)啟動選項之一選擇,隨後為對該啟動清單的一啟動裝置之一添加。
- 如請求項1之IHS,其中該BIOS/UEFI組態改變鏈包括下列之一指示:啟動路徑安全性之一停用,隨後為以下中之至少一者:一安全啟動之一停用,或用以進行一傳統啟動之一嘗試。
- 如請求項1之IHS,其中該BIOS/UEFI組態改變鏈包括下列之一指示:對一BIOS完整性檢查之停用,隨後為對BIOS降級之一啟用,隨後為一韌體更新,隨後為對BIOS自動恢復之一停用。
- 如請求項1之IHS,其中該BIOS/UEFI組態改變鏈包括下列之一指示:對於一可信賴平台模組(TPM)之一實體存在要求之一略過,隨後為一TPM操作。
- 如請求項1之IHS,其中該BIOS/UEFI組態改變鏈包括下列之一指示:一可信賴平台模組(TPM)清除操作之一允許,隨後為以下中之至少一者:一本端TPM激活之一允許,或一遠端TPM激活操作之一允許。
- 如請求項1之IHS,其中該BIOS/UEFI組態改變鏈包括下列之一指示:一自動開啟特徵、一自動開啟區域網路(LAN)喚醒特徵、一通用串列匯流排(USB)喚醒特徵或一塢喚醒特徵之一啟用,隨後為以下中之至少一者:(i)一BIOS降級之一允許,隨後為一韌體更新操作,(ii)一遠端可信賴平台模組(TPM)激活操作之一允許,或(iii)對一內部驅動器之一遠端擦除之一允許。
- 如請求項1之IHS,其中該BIOS/UEFI組態改變鏈包括下列之一指示:一自動開啟特徵、一自動開啟區域網路(LAN)喚醒特徵、一通用串列匯流排(USB)喚醒特徵或一塢喚醒特徵之一啟用,隨後為以下中之至少一者:(i)一 BIOS降級之一允許,隨後為一韌體更新操作,或(ii)一遠端可信賴平台模組(TPM)激活操作之一允許。
- 如請求項1之IHS,其中該BIOS/UEFI組態改變鏈包括下列之一指示:一麥克風或相機之一啟用,隨後為一自動開啟麥克風或相機設定之一啟用。
- 如請求項1之IHS,其中該BIOS/UEFI組態改變鏈包括下列之一指示:一管理員通行碼之一最小長度的一改變,隨後為對一強通行碼特徵之一停用,隨後為一管理員通行碼改變。
- 如請求項1之IHS,其中該BIOS/UEFI組態改變鏈包括下列之一指示:一管理員通行碼改變,隨後為對一管理員設定閉鎖特徵之一啟用。
- 如請求項1之IHS,其中該BIOS/UEFI組態改變鏈包括下列之一指示:一入侵警告之一移除,隨後為一機箱入侵重設。
- 一種具有儲存在其上之程式指令之硬體記憶體裝置,該等程式指令在由一資訊處置系統(IHS)之一處理器執行後致使該IHS:監測一基本輸入/輸出系統(BIOS)/統一可延伸韌體介面(UEFI)組態改變鏈,該BIOS/UEFI組態改變鏈至少包含具有一第一時間戳之一第一組態改變隨後為具有一第二時間戳之一第二組態改變之一指示;針對至少包含一第三組態改變隨後在一時間間隔之後為一第四組態改變之一指示之一攻擊指標(IoA),進行:(i)該第一組態改變對該第三組態改變之比較,及(ii)該第二組態改變對該第四組態改變之比較;及回應於下列之一判定而報告一警報:(i)該第一組態改變係等於該第三組態改變,(ii)該第二組態改變係等於該第四組態改變,且(iii)該第二時間戳與該第一時間戳之間的一差值係等於或小於該時間間隔。
- 如請求項16之硬體記憶體裝置,其中該BIOS/UEFI組態改變鏈 包括下列中之至少一指示:(a)對BIOS簽名之一停用,隨後為對BIOS降級之一啟用,隨後為對BIOS自動恢復之一停用,隨後為對BIOS自動恢復之一啟用,隨後為對BIOS降級之一停用,及隨後為對BIOS簽名之一啟用;(b)自一啟動清單中的一傳統啟動選項之一選擇,隨後為對安全啟動之一停用,隨後為執行一傳統啟動之一嘗試;(c)自一啟動清單中的一安全數位(SD)啟動選項、一雷霆(Thunderbolt)啟動選項或一通用串列匯流排(USB)啟動選項之一選擇,隨後為對該啟動清單的一啟動裝置之一添加;(d)啟動路徑安全性之一停用,隨後為以下中之至少一者:一安全啟動之一停用,或用以進行一傳統啟動之一嘗試;(e)對一BIOS完整性檢查之停用,隨後為對BIOS降級之一啟用,隨後為一韌體更新,隨後為對BIOS自動恢復之一停用;(f)對於一可信賴平台模組(TPM)之一實體存在要求之一略過,隨後為一TPM操作;(g)一可信賴平台模組(TPM)清除操作之一允許,隨後為以下中之至少一者:一本端TPM激活之一允許,或一遠端TPM激活操作之一允許;(h)一自動開啟特徵、一自動開啟區域網路(LAN)喚醒特徵、一USB喚醒特徵或一塢喚醒特徵之一啟用,隨後為以下中之至少一者:(i)一BIOS降級之一允許,隨後為一韌體更新操作,(ii)一遠端TPM激活操作之一允許,或(iii)對一內部驅動器之一遠端擦除之一允許;(i)一自動開啟特徵、一自動開啟LAN喚醒特徵、一USB喚醒特徵或一塢喚醒特徵之一啟用,隨後為以下中之至少一者:(i)一BIOS降級之一允許,隨後為一韌體更新操作,或(ii)一遠端TPM激活操作之一允許; (j)一麥克風或相機之一啟用,隨後為一自動開啟麥克風或相機設定之一啟用;(k)一管理員通行碼之一最小長度的一改變,隨後為對一強通行碼特徵之一停用,隨後為一管理員通行碼改變;(l)一管理員通行碼改變,隨後為對一管理員設定閉鎖特徵之一啟用;(m)一入侵警告之一移除,隨後為一機箱入侵重設。
- 一種用於偵測安全威脅之方法,該方法包括:監測一基本輸入/輸出系統(BIOS)/統一可延伸韌體介面(UEFI)組態改變鏈,該BIOS/UEFI組態改變鏈至少包含具有一第一時間戳之一第一組態改變隨後為具有一第二時間戳之一第二組態改變之一指示;針對至少包含一第三組態改變隨後在一時間間隔之後為一第四組態改變之一指示之一攻擊指標(IoA),進行:(i)該第一組態改變對該第三組態改變之比較,及(ii)該第二組態改變對該第四組態改變之比較;及回應於下列之一判定而報告一警報:(i)該第一組態改變係等於該第三組態改變,(ii)該第二組態改變係等於該第四組態改變,且(iii)該第二時間戳與該第一時間戳之間的一差值係等於或小於該時間間隔。
- 如請求項18之方法,其中該BIOS/UEFI組態改變鏈包括下列中之至少一指示:(a)對BIOS簽名之一停用,隨後為對BIOS降級之一啟用,隨後為對BIOS自動恢復之一停用,隨後為對BIOS自動恢復之一啟用,隨後為對BIOS降級之一停用,及隨後為對BIOS簽名之一啟用;(b)自一啟動清單中的一傳統啟動選項之一選擇,隨後為對安全啟動之一停用,隨後為執行一傳統啟動之一嘗試;(c)自一啟動清單中的一安全數位(SD)啟動選項、一雷霆(Thunderbolt)啟動選 項或一通用串列匯流排(USB)啟動選項之一選擇,隨後為對該啟動清單的一啟動裝置之一添加;(d)啟動路徑安全性之一停用,隨後為以下中之至少一者:一安全啟動之一停用,或用以進行一傳統啟動之一嘗試;(e)對一BIOS完整性檢查之停用,隨後為對BIOS降級之一啟用,隨後為一韌體更新,隨後為對BIOS自動恢復之一停用;(f)對於一可信賴平台模組(TPM)之一實體存在要求之一略過,隨後為一TPM操作;(g)一可信賴平台模組(TPM)清除操作之一允許,隨後為以下中之至少一者:一本端TPM激活之一允許,或一遠端TPM激活操作之一允許;(h)一自動開啟特徵、一自動開啟LAN喚醒特徵、一USB喚醒特徵或一塢喚醒特徵之一啟用,隨後為以下中之至少一者:(i)一BIOS降級之一允許,隨後為一韌體更新操作,(ii)一遠端TPM激活操作之一允許,或(iii)對一內部驅動器之一遠端擦除之一允許;(i)一自動開啟特徵、一自動開啟LAN喚醒特徵、一USB喚醒特徵或一塢喚醒特徵之一啟用,隨後為以下中之至少一者:(i)一BIOS降級之一允許,隨後為一韌體更新操作,或(ii)一遠端TPM激活操作之一允許;(j)一麥克風或相機之一啟用,隨後為一自動開啟麥克風或相機設定之一啟用;(k)一管理員通行碼之一最小長度的一改變,隨後為對一強通行碼特徵之一停用,隨後為一管理員通行碼改變;(l)一管理員通行碼改變,隨後為對一管理員設定閉鎖特徵之一啟用;(m)一入侵警告之一移除,隨後為一機箱入侵重設。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/410,807 | 2019-05-13 | ||
| US16/410,807 US11151256B2 (en) | 2019-05-13 | 2019-05-13 | Detecting security threats by monitoring chains of configuration changes made to basic input/output system (BIOS) or unified extensible firmware interface (UEFI) attributes |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202046099A TW202046099A (zh) | 2020-12-16 |
| TWI791975B true TWI791975B (zh) | 2023-02-11 |
Family
ID=73231517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109112858A TWI791975B (zh) | 2019-05-13 | 2020-04-16 | 藉由監測對基本輸入/輸出系統(bios)或統一可延伸韌體介面(uefi)屬性進行之組態改變之鏈來偵測安全威脅 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11151256B2 (zh) |
| EP (1) | EP3970037B1 (zh) |
| CN (1) | CN113811853B (zh) |
| TW (1) | TWI791975B (zh) |
| WO (1) | WO2020231744A1 (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11231448B2 (en) | 2017-07-20 | 2022-01-25 | Targus International Llc | Systems, methods and devices for remote power management and discovery |
| CN114270812A (zh) | 2019-08-22 | 2022-04-01 | 泰格斯国际有限责任公司 | 用于参与者控制的视频会议的系统和方法 |
| KR20210043237A (ko) * | 2019-10-11 | 2021-04-21 | 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. | 유니크한 초기 비밀번호를 제공 |
| US11907372B2 (en) * | 2020-07-13 | 2024-02-20 | Dell Products L.P. | Systems and methods for modifying system pre-boot interface configuration based on usage characteristics of an individual information handling system |
| JP7625391B2 (ja) * | 2020-10-16 | 2025-02-03 | キヤノン株式会社 | 情報処理装置 |
| US11522708B2 (en) | 2020-12-18 | 2022-12-06 | Dell Products, L.P. | Trusted local orchestration of workspaces |
| US11507661B2 (en) * | 2021-03-05 | 2022-11-22 | Dell Products L.P. | Detection of indicators of attack |
| US11803454B2 (en) * | 2021-04-30 | 2023-10-31 | Dell Products L.P. | Chained loading with static and dynamic root of trust measurements |
| US12073205B2 (en) | 2021-09-14 | 2024-08-27 | Targus International Llc | Independently upgradeable docking stations |
| TWI789142B (zh) * | 2021-12-03 | 2023-01-01 | 新唐科技股份有限公司 | 控制器、計算機裝置、bios復原備份方法 |
| US12406064B2 (en) | 2022-05-18 | 2025-09-02 | Dell Products L.P. | Pre-boot context-based security mitigation |
| US12386974B2 (en) * | 2022-08-19 | 2025-08-12 | Oracle International Corporation | Threat change analysis system |
| TWI814641B (zh) * | 2022-11-16 | 2023-09-01 | 碩壹資訊股份有限公司 | 能在離線狀態下防止系統時間被篡改之資料處理系統 |
| US12393741B2 (en) * | 2023-02-14 | 2025-08-19 | Dell Products L.P. | Bios-based device protection using detection and mitigation of modifications to a protected storage region |
| US12518019B2 (en) * | 2023-08-02 | 2026-01-06 | Dell Products L.P. | Security context aware telemetry |
| JP7649362B1 (ja) * | 2023-11-14 | 2025-03-19 | レノボ・シンガポール・プライベート・リミテッド | 情報処理装置、制御方法、及びプログラム |
| US12531849B2 (en) * | 2024-04-25 | 2026-01-20 | Dell Products L.P. | Dynamic authentication for local accounts based on security information and event management systems |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110099627A1 (en) * | 2009-10-27 | 2011-04-28 | Graeme John Proudler | Computing platform |
| US20120017073A1 (en) * | 2009-12-09 | 2012-01-19 | Kurt Gillespie | Configuration of a basic input/output system (bios) of a computing device |
| TW201224918A (en) * | 2010-07-22 | 2012-06-16 | Intel Corp | Providing platform independent memory logic |
| US20140304520A1 (en) * | 2013-04-08 | 2014-10-09 | Insyde Software Corp. | Detection of secure variable alteration in a computing device equipped with unified extensible firmware interface (uefi)-compliant firmware |
| TW201701178A (zh) * | 2009-12-16 | 2017-01-01 | 英特爾股份有限公司 | 用於在隱藏式執行環境中提供完整性驗證與認證之技術的裝置、方法及系統 |
| US20190012465A1 (en) * | 2017-07-05 | 2019-01-10 | Electronics And Telecommunications Research Institute | Apparatus and method for collecting audit trail in virtual machine boot process |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101281570B (zh) * | 2008-05-28 | 2010-07-28 | 北京工业大学 | 一种可信计算系统 |
| US9015455B2 (en) | 2011-07-07 | 2015-04-21 | Intel Corporation | Processsor integral technologies for BIOS flash attack protection and notification |
| US9262637B2 (en) * | 2012-03-29 | 2016-02-16 | Cisco Technology, Inc. | System and method for verifying integrity of platform object using locally stored measurement |
| US9858421B2 (en) * | 2014-07-02 | 2018-01-02 | Dell Products L.P. | Systems and methods for detecting hardware tampering of information handling system hardware |
| WO2016048288A1 (en) * | 2014-09-23 | 2016-03-31 | Hewlett-Packard Development Company, L.P. | Detecting a change to system management mode bios code |
| US9563439B2 (en) | 2015-04-27 | 2017-02-07 | Dell Products, L.P. | Caching unified extensible firmware interface (UEFI) and/or other firmware instructions in a non-volatile memory of an information handling system (IHS) |
| US10019577B2 (en) * | 2016-04-14 | 2018-07-10 | Dell Products, L.P. | Hardware hardened advanced threat protection |
| CN109711161B (zh) * | 2018-12-03 | 2022-04-22 | 联想(北京)有限公司 | 一种监控方法及电子设备 |
-
2019
- 2019-05-13 US US16/410,807 patent/US11151256B2/en active Active
-
2020
- 2020-04-16 TW TW109112858A patent/TWI791975B/zh active
- 2020-05-07 WO PCT/US2020/031901 patent/WO2020231744A1/en not_active Ceased
- 2020-05-07 EP EP20805116.9A patent/EP3970037B1/en active Active
- 2020-05-07 CN CN202080032177.3A patent/CN113811853B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110099627A1 (en) * | 2009-10-27 | 2011-04-28 | Graeme John Proudler | Computing platform |
| US20120017073A1 (en) * | 2009-12-09 | 2012-01-19 | Kurt Gillespie | Configuration of a basic input/output system (bios) of a computing device |
| TW201701178A (zh) * | 2009-12-16 | 2017-01-01 | 英特爾股份有限公司 | 用於在隱藏式執行環境中提供完整性驗證與認證之技術的裝置、方法及系統 |
| TW201224918A (en) * | 2010-07-22 | 2012-06-16 | Intel Corp | Providing platform independent memory logic |
| US20140304520A1 (en) * | 2013-04-08 | 2014-10-09 | Insyde Software Corp. | Detection of secure variable alteration in a computing device equipped with unified extensible firmware interface (uefi)-compliant firmware |
| US20190012465A1 (en) * | 2017-07-05 | 2019-01-10 | Electronics And Telecommunications Research Institute | Apparatus and method for collecting audit trail in virtual machine boot process |
Also Published As
| Publication number | Publication date |
|---|---|
| US11151256B2 (en) | 2021-10-19 |
| CN113811853A (zh) | 2021-12-17 |
| EP3970037A4 (en) | 2023-01-18 |
| US20200364342A1 (en) | 2020-11-19 |
| WO2020231744A1 (en) | 2020-11-19 |
| EP3970037B1 (en) | 2025-02-19 |
| CN113811853B (zh) | 2024-06-14 |
| TW202046099A (zh) | 2020-12-16 |
| EP3970037A1 (en) | 2022-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI791975B (zh) | 藉由監測對基本輸入/輸出系統(bios)或統一可延伸韌體介面(uefi)屬性進行之組態改變之鏈來偵測安全威脅 | |
| US11520894B2 (en) | Verifying controller code | |
| CN109815698B (zh) | 用于执行安全动作的方法和非暂时性机器可读存储介质 | |
| US10719604B2 (en) | Baseboard management controller to perform security action based on digital signature comparison in response to trigger | |
| CN111737081B (zh) | 云服务器监控方法、装置、设备及存储介质 | |
| JP2019516160A (ja) | セキュリティ脅威を検出するためのシステム及び方法 | |
| US9245122B1 (en) | Anti-malware support for firmware | |
| EP3646223A1 (en) | Remote attestation for multi-core processor | |
| US11755404B2 (en) | Custom baseboard management controller (BMC) firmware stack monitoring system and method | |
| US9928367B2 (en) | Runtime verification | |
| EP2989547A1 (en) | Repairing compromised system data in a non-volatile memory | |
| US11669336B2 (en) | Out-of-band custom baseboard management controller (BMC) firmware stack monitoring system and method | |
| US10146952B2 (en) | Systems and methods for dynamic root of trust measurement in management controller domain | |
| US11797679B2 (en) | Trust verification system and method for a baseboard management controller (BMC) | |
| US11714696B2 (en) | Custom baseboard management controller (BMC) firmware stack watchdog system and method | |
| US20250307435A1 (en) | Detecting unexpected changes to managed nodes based on remotely-generated verification values derived from node-provided integrity measurements | |
| US12353557B2 (en) | Generating alerts for unexpected kernel modules | |
| US11593490B2 (en) | System and method for maintaining trusted execution in an untrusted computing environment using a secure communication channel | |
| US12380216B2 (en) | Securely closing system vulnerability window after extended down time | |
| US20250356018A1 (en) | Inter-mutual validation by root of trusts | |
| HK40031378A (zh) | 云服务器监控方法、装置、设备及存储介质 | |
| HK40031378B (zh) | 云服务器监控方法、装置、设备及存储介质 |