Spectre i Meltdown

Wprowadzenie

• • Spectre i Meltdown są najbardziej rażące w przypadku arbitralnego wykonywania kodu innej firmy, na przykład w sytuacjach udostępniania współdzielonego (np. dostawców usług w chmurze, takich jak AWS, Microsoft Azure lub Google Cloud) lub w komputerowych systemach operacyjnych. Krótko mówiąc, te luki są wyjątkowo niebezpieczne dla firm takich jak Amazon, ponieważ zawierają kod napisany przez osoby trzecie w ramach wspólnego najmu.
  • Eagle Eye posiada całkowicie zamknięty ekosystem serwerów – nasze bridge i CMVR działają jak urządzenia i wyłącznie na zaufanym kodzie, nasze systemy chmury działają na dedykowanym sprzęcie (brak wspólnego wynajmu) i nie jesteśmy otwarci na ataki w sposób, który może być wykorzystywany przez Spectre/Meltdown.
  • Wiemy, że żaden system nie może być całkowicie bezpieczny, ale konsekwentnie i nieustannie monitorujemy społeczność bezpieczeństwa, aby zminimalizować lub zamknąć każdąw wykrytą lukę.

Pytania i Odpowiedzi

Czy Wasze systemy są podatne na Meltdown lub Spectre?

Podsumowanie: Niektóre urządzenia są teoretycznie podatne na ataki, ale nie są używane w taki sposób, aby można było wykorzystać tę lukę w zabezpieczeniach. Szczegóły są podane poniżej dla każdego z naszych komponentów.
Kamery i Switches Zarządzalne: Nie, nasze procesory nie są wrażliwe, nawet teoretycznie, na te ataki.
Bridge i CMVRs: Procesory, których używamy, są teoretycznie podatne na działanie zarówno Spectre, jak i Meltdown, ale nie są jeszcze znane żadne exploity. Zakładając, że przyszły exploit będzie istniał, platformy nie są otwarte i nie można ich wykorzystać, aby uruchomić dowolny kod wymagany do eksploatacji bez dodatkowego (w tym momencie również hipotetycznego) exploita. W skrócie: w tej chwili nie wiadomo, czy są one podatne na ataki i prawdopodobnie nigdy nie będą, ponieważ wymagałoby to połączenia Spectre/Meltdown oraz innej, jeszcze nie odkrytej luki.
Chmura: Procesory, których używamy, są teoretycznie narażone tylko na działanie Spectre. Mamy jednak zamknięty ekosystem i nie współdzielimy umowy najmu z firmami trzecimi. W rezultacie atak byłby prawie niemożliwy bez jakiegoś dodatkowego (jak dotąd hipotetycznego) exploita.

Czy posoadacie dostępną łatkę, a jeśli nie, kiedy będzie ona dostępna?

Summary: Nie ma potrzeby stosowania łatek w urządzeniach klienta; Infrastruktura chmurowy Eagle Eye będzie łatana jako środek zapobiegawczy w nadchodzących tygodniach, gdy łatka stanie się dostępna. Żadne działania użytkownika nie są wymagane.
Kamery i Switches Zarządzalne: Żadna łatka nie jest potrzebna.
Bridge i CMVR: Obecnie żadna łatka nie jest potrzebna.
Chmura: Obecnie czeka na łatkę od naszego dostawcy systemu operacyjnego jako środek zapobiegawczy, choć prawdopodobnie nie jest ona potrzebna.

Jakie wersje produktu są wspierane łatkami?

Jeśli łatka zostanie określona jako potrzebna, sprzęt klienta zostanie skorygowany jako całość, aby zaimplementować tę poprawkę w ramach normalnego procesu aktualizacji. Nie jest potrzebny żaden specjalny pozapasmowy mechanizm „poprawek”.

Czy istnieje jakiś proces otrzymywania przyszłych łatek?

Wszelkie przyszłe wersje produktu, które zawierają tę (lub jakąkolwiek inną poprawkę zabezpieczeń), zostaną uaktualnione normalnie w ramach naszego istniejącego procesu ciągłego dostarczania. Klienci nie muszą nic robić, aby otrzymywać aktualizacje zabezpieczeń.

Czy to wasza ostateczna łatka?

Jak wyżej, ustaliliśmy, że w tym momencie nie jest wymagana łatka dla sprzętu klienta. Oczekujemy, że łatka zapobiegawcza dla systemów chmur Eagle Eye będzie ostateczna po wdrożeniu w nadchodzących tygodniach.

Czy dostępna jest usługa subskrypcji umożliwiająca otrzymywanie aktualizacji lub czy posiadacie dostęp do aktualnych dokumentów dostępnych w witrynie w celu dostarczenia aktualizacji?

Aktualizacje są częścią subskrypcji Eagle Eye; nie jest wymagane oddzielne działanie, subskrypcja ani płatność.

Czy są jakieś wymagania wstępne i wymogi, aby działanie poprawek było prawidłowe? Czy są jakieś zależności systemu operacyjnego od łatki?

W przypadku urządzeń klienta, system operacyjny i oprogramowanie funkcjonalne są aktualizowane automatycznie. Przyszłe poprawki, w razie potrzeby, automatycznie uaktualnią system operacyjny w ramach procesu.

Czy poprawki są nadal wymagane, jeśli zainstalowane są łatki dostawców sprzętu (aktualizacja systemu BIOS)?

Ponieważ natura obecnej luki w zabezpieczeniach lub potencjalne ograniczenie poziomu BIOSu nie są obecnie znane, nie możemy odpowiedzieć na to pytanie. BIOS nie jest jednak dostępny dla użytkowników w bridge’ach Eagle Eye i CMVR, a wszelkie aktualizacje pochodzą z naszego zwykłego procesu aktualizacji bez konieczności działania użytkownika.

Czy wasza łatka chroni warstwę aplikacji znajdującą się na sprzęcie?

Ponownie, każda ewentualna wymagana łatka w przyszłości obejmowałaby zarówno system operacyjny, jak i warstwy aplikacji. Ponieważ na naszym sprzęcie nie ma kodu innej firmy, warstwy te są zasadniczo nie do odróżnienia od punktu widzenia klienta.

Czy wdrożenie łatki ma jakikolwiek wpływ na wydajność?

W przypadku usług chmurowych Eagle Eye oczekujemy minimalnego wpływu nadchodzącej łatki zapobiegawczej. W przypadku urządzeń klienta, jeśli łatka jest potrzebna, oczekujemy minimalnego wpływu na ogromną większość użytkowników przy typowym obciążeniu bridge/CMVR.

Czy wymagane jest ponowne uruchomienie systemu podczas wdrażania poprawki?

Jeśli łatka jest potrzebna do instalacji w lokalu klienta, ponowne uruchomienie zostanie zaplanowane automatycznie w ramach procesu aktualizacji i będzie wymagane (całkowity czas przestoju wynoszący około minuty na większości urządzeń w lokalu klienta).

Czy są jakieś potencjalne konflikty pomiędzy waszą łatką i innymi wymaganymi łatkami?

Konflikty tego rodzaju nie są możliwe, ponieważ Eagle Eye kontroluje cały zaangażowany kod.

Jak otrzymamy wsparcie, jeśli łatka nie zostanie pomyślnie wdrożona?

W ramach normalnego procesu aktualizacji pomoc techniczna Eagle Eye monitoruje wszystkie aktualizacje do urządzeń znajdujących się w siedzibie klienta i jest w stanie monitorować i proaktywnie rozwiązywać problemy w miarę ich pojawiania się. Jeśli wymagane jest dodatkowe wsparcie, jest ono do Twojej dyspozycji w przypadku wszelkich subskrybowanych urządzeń klienckich.

Przeczytaj Więcej Blogów Cyberbezpieczeństwa