固件安全问题已上升到政府层面,我们该如何防范?
共 1844字,需浏览 4分钟
·
2022-03-16 22:38
5G、物联网、智能家居…当下信息技术革命几大热门领域,都在显著扩大一个攻击面:固件安全。因为,几乎所有硬件设备都内置了一种确保设备正常运行的底层软件——固件。安全“下移”在过去的二十年中,随着软件安全性得到显著加固,但黑客的攻击路径却开始沿着技术堆栈“下移”,聚焦在固件入口点。固件通常不能被轻易访问或扫描,因此安全漏洞的存在时间往往比较长,也给攻击者提供了足够的时间来施展各种攻击手段。这一弱点也被美国政府注意到。
近日,美国政府发出最高级呼吁人们注意固件供应链中的主要弱点,并警告说,操作系统下方的这一层会带来毁灭性风险。美国国土安全部(DHS)和商务部领导层发布的一份新的联合草案报告称,固件为恶意攻击者颠覆现代计算的核心提供了 “一个庞大且不断扩大的攻击面”。
面对黑客的颠覆性攻击,过去十年业界通过固件安全解决方案和广泛实践提升了固件安全。但是,依然有许多人不知道当前存在哪些固件安全隐患。以下,我们列举了每个企业都应考虑解决的三个固件安全盲点,以提高整体安全性:
固件安全意识
固件无处不在,我们每天使用的设备上几乎都运行着固件,其安全性已成为整个安全界研究人员的新焦点。由于太多设备运行着五花八门的固件,因此固件安全问题往往让人感到无处下手,不知所措。对于企业安全主管来说,第一步工作是将固件识别为组织威胁模型中的一项资产,并建立针对机密性,完整性和可用性的安全目标。
固件更新
底层技术安全研究的兴起,意味着更多的漏洞被发现和修补,从而有助于产品/平台弹性的逐步提高。但由于多种原因,许多企业都不愿引入新的补丁程序,例如企业担心更新的时间或经济成本、平台阻塞甚至业务停顿的风险,固件更新过程可能很复杂且很耗时,还有很多其他顾虑都让企业推迟甚至取消更新。但是,总的来说,延迟或放弃补丁更新将会大大增加企业暴露在风险中的次数。
WannaCry事件就是一个很好的例证。尽管微软此前已发布更新来解决该漏洞,但WannaCry勒索软件仍在在2017年春季对数十万台未打补丁的计算机造成了严重破坏,影响了数百个国家的企业,并造成数十亿美元的损失。问题的根源虽不是固件漏洞,但WannaCry造成的巨大损失可以说明,不及时应用补丁程序将面临严重后果。
可以说,定期进行固件更新是企业安全人员可以采取的最简单、最有效的固件安全措施之一。
平台配置错误
导致固件安全风险的另一个问题是平台配置错误。启动运行后,平台将通过一系列复杂步骤来正确配置计算机。这个过程,固件和硬件会进行多种交互方式,如果平台设置不正确,可能会对整体安全造成破坏。如果没有自动化的安全验证工具,大多数平台出现的配置错误都很难被发现,累积跟踪正确的平台配置就会变得很麻烦。
解决方案
目前,几维安全可以提供CVE、病毒、0Day等漏洞检测,自动识别证书风险、隐私泄露、错误配置等安全隐患。几维《IoT设备安全检测系统》会定期更新最新的威胁分析,无需源代码,从最快10分钟完成检测,并生成两种可视化检测报告。《IoT设备安全检测系统》还能够自动检测正在运行的平台,在云端高效率检测,固件只需一步提交、全自动化检测,减少产品发布后的召回、修复及更新成本。尽管有市场上还有一些商业解决方案可以检查系统配置,但是采用《IoT设备安全检测系统》扫描是一种安全、快速的方法,可以确保将潜在安全问题及时解决。
结语
在万物互联的今天,企业数字基础设施中的硬件设备和相关固件正在以惊人的速度增长,作为连接物理和虚拟世界最为关键的“固件”,正面临着前所未有的安全威胁,如果企业对此缺乏足够的重视,那么可以遇见的未来就是“安全吃掉一切”。
诚然,企业在固件安全方面需要做的事情有很多,我们需要尽快走出盲区,提升固件安全的防御优先级,定期进行固件更新,持续检测潜在的平台错误配置,并启动可用的安全功能及策略,以增强固件的机密性、完整性、可用性,最终提升企业的“安全弹性”。
# 更多方案欢迎咨询
北京-路经理:13811806686
成都-刘经理:13408687728
杭州-赵经理:13185089779
广州-荣经理:16601044405
# 点击官网了解更多
https://www.kiwisec.com/