Intel® SGX: De los datos cifrados a la computación confidencial

Ver el vídeo

Preguntas para profesionales informáticos a considerar a medida que aparecen nuevas vulnerabilidades

  • ¿Cuán grave es la vulnerabilidad? Más información sobre resultados de CVSS.

  • ¿Hay algún parche disponible del proveedor y aplicado en mi red?

  • ¿Cuáles son los vectores de ataque necesarios para ejecutar? ¿Tengo vulnerabilidades para ellos?

  • ¿Aprovecha el código de mi aplicación la base de datos de BKM para aumentar la resistencia a los ataques?

  • ¿Está disponible el código del ataque? ¿Ha sido observado en Internet?

Lea el artículo: Ingeniería Intel SGX para plataformas multipaquete
BUILT IN - ARTICLE INTRO SECOND COMPONENT

Entendiendo Intel® Software Guard Extensions (Intel® SGX)

Hoy en día, las soluciones de seguridad proporcionan un cifrado cuando los datos están en almacenamiento y cuando se envían a través de la red, pero los datos aún pueden ser vulnerables al estar siendo activamente procesados en la memoria. La base de datos de vulnerabilidades y exposiciones comunes (CVE)1, por ejemplo, contiene actualmente más de 11.000 vulnerabilidades potencialmente explotables, un 34 por ciento aún sin mitigar. Intel SGX, al evitar las capas de software del sistema operativo (SO) y de la máquina virtual (VM), ofrece una protección adicional significativa frente a muchos de estos tipos de ataque, añade seguridad a los datos y aborda la necesidad de una computación más confidencial. Proporciona una solución de seguridad basada en el hardware que utiliza el cifrado para cambiar cómo se accede a la memoria, proporcionando enclaves de memoria protegida para ejecutar sus aplicaciones y datos. Intel SGX también le permite verificar las aplicaciones y el hardware que esté ejecutando.

¿Qué es un ataque de canal lateral, y debería preocuparme?

Los ataques de canal lateral se basan en el uso de información como estados energéticos, emisiones, y tiempos de espera directamente del procesador para inferir indirectamente patrones de uso de datos. Estos ataques son muy complejos y difíciles de ejecutar, lo que implica potencialmente violaciones del centro de datos de una empresa a múltiples niveles: físicos, de red, y del sistema.

Los hackers suelen seguir el camino de menor resistencia. Hoy en día, eso suele significar ataques al software. Aunque Intel SGX no está diseñado específicamente para proteger contra ataques de canal lateral, proporciona una forma de aislamiento para el código y los datos que pone las cosas más difíciles a los atacantes. Intel sigue trabajando con nuestros clientes y con la comunidad de investigación para identificar posibles riesgos de canal lateral y mitigarlos. Pese a la existencia de vulnerabilidades de canal lateral, Intel SGX sigue siendo una herramienta valiosa porque ofrece una potente capa adicional de protección.

¿Por qué debería confiar en Intel SGX?

Intel SGX es el entorno de ejecución de centro de datos de confianza (TEE) basado en hardware más probado, investigado e implementado, con la superficie de ataque más pequeña disponible. Si está sujeto a requisitos de privacidad y seguridad estrictos, Intel SGX le ofrece una evidente ventaja estratégica.

Y las buenas noticias para los clientes protegidos por Intel SGX son que, además de ayudar a defenderse de la miríada de ataques basados en software más comunes, los mecanismos de certificación de Intel SGX también le permiten solicitar una verificación de que su aplicación no se ha visto comprometida y que el procesador sobre el que se ejecuta dispone de las actualizaciones de seguridad más recientes.

Intel SGX le protege contra miles2 de amenazas conocidas y desconocidas, muchas de las cuales aún no cuenta con medidas de prevención. Su código y sus datos están mucho más protegidos con Intel SGX que sin él.

De los datos cifrados a la computación confidencial

Descubra cómo Intel SGX agrega una capa defensiva más al reducir su superficie de ataque.

FAQ

Preguntas más frecuentes

Intel SGX añade otra capa de defensas al contribuir a reducir su superficie de ataque. Intel SGX ayuda a proteger el código y los datos contra ataques por software malicioso y escaladas de privilegios mientras los datos son procesados. Los desarrolladores pueden crear entornos de ejecución fiables (TEE) directamente en el dominio del procesador/memoria.

Los ataques de canal lateral están diseñados para recopilar información externa del procesador como los estados de energía, emisiones y tiempos de espera, en un intento de inferir la actividad y los valores de los datos.3

Los hackers suelen seguir el camino de menor resistencia. Hoy en día, eso suele significar ataques al software. Aunque Intel SGX no está diseñado específicamente para proteger contra ataques de canal lateral, proporciona una forma de aislamiento para el código y los datos que pone las cosas más difíciles a los atacantes.

Cómo hace Intel® SGX para abordar las vulnerabilidades en seguridad:

  • Colaboración: la colaboración continua con investigadores y socios, incluyendo nuestro papel fundador en el Consorcio de computación confidencial, nos ayuda a identificar y mitigar rápidamente las vulnerabilidades.
  • Seguridad reforzada: Intel SGX está diseñado para actualizarse con regularidad y así seguir continuamente reforzado frente a ataques.
  • Verificación: Intel SGX permite a las aplicaciones solicitar una verificación de que están siendo ejecutadas en sistemas parcheados y seguros.

Avisos y descargo de responsabilidad4

Información sobre productos y rendimiento

1https://cve.mitre.org/.
2Intel SGX no es vulnerable a la mayoría de las amenazas de capa del SO, y hoy por hoy hay más de 140.000 amenazas en la base de datos. https://cve.mitre.org.
3Cientos de investigaciones han mencionado Intel SGX hasta agosto de 2020.
4https://www.csoonline.com/article/3153707/top-cybersecurity-facts-figures-and-statistics.html.