固件安全问题已上升到政府层面，我们该如何防范？

5G、物联网、智能家居…当下信息技术革命几大热门领域，都在显著扩大一个攻击面：固件安全。因为，几乎所有硬件设备都内置了一种确保设备正常运行的底层软件——固件。安全“下移”在过去的二十年中，随着软件安全性得到显著加固，但黑客的攻击路径却开始沿着技术堆栈“下移”，聚焦在固件入口点。固件通常不能被轻易访问或扫描，因此安全漏洞的存在时间往往比较长，也给攻击者提供了足够的时间来施展各种攻击手段。这一弱点也被美国政府注意到。

近日，美国政府发出最高级呼吁人们注意固件供应链中的主要弱点，并警告说，操作系统下方的这一层会带来毁灭性风险。美国国土安全部（DHS）和商务部领导层发布的一份新的联合草案报告称，固件为恶意攻击者颠覆现代计算的核心提供了 “一个庞大且不断扩大的攻击面”。

面对黑客的颠覆性攻击，过去十年业界通过固件安全解决方案和广泛实践提升了固件安全。但是，依然有许多人不知道当前存在哪些固件安全隐患。以下，我们列举了每个企业都应考虑解决的三个固件安全盲点，以提高整体安全性：

固件无处不在，我们每天使用的设备上几乎都运行着固件，其安全性已成为整个安全界研究人员的新焦点。由于太多设备运行着五花八门的固件，因此固件安全问题往往让人感到无处下手，不知所措。对于企业安全主管来说，第一步工作是将固件识别为组织威胁模型中的一项资产，并建立针对机密性，完整性和可用性的安全目标。

底层技术安全研究的兴起，意味着更多的漏洞被发现和修补，从而有助于产品/平台弹性的逐步提高。但由于多种原因，许多企业都不愿引入新的补丁程序，例如企业担心更新的时间或经济成本、平台阻塞甚至业务停顿的风险，固件更新过程可能很复杂且很耗时，还有很多其他顾虑都让企业推迟甚至取消更新。但是，总的来说，延迟或放弃补丁更新将会大大增加企业暴露在风险中的次数。

WannaCry事件就是一个很好的例证。尽管微软此前已发布更新来解决该漏洞，但WannaCry勒索软件仍在在2017年春季对数十万台未打补丁的计算机造成了严重破坏，影响了数百个国家的企业，并造成数十亿美元的损失。问题的根源虽不是固件漏洞，但WannaCry造成的巨大损失可以说明，不及时应用补丁程序将面临严重后果。

可以说，定期进行固件更新是企业安全人员可以采取的最简单、最有效的固件安全措施之一。

导致固件安全风险的另一个问题是平台配置错误。启动运行后，平台将通过一系列复杂步骤来正确配置计算机。这个过程，固件和硬件会进行多种交互方式，如果平台设置不正确，可能会对整体安全造成破坏。如果没有自动化的安全验证工具，大多数平台出现的配置错误都很难被发现，累积跟踪正确的平台配置就会变得很麻烦。

目前，几维安全可以提供CVE、病毒、0Day等漏洞检测，自动识别证书风险、隐私泄露、错误配置等安全隐患。几维《IoT设备安全检测系统》会定期更新最新的威胁分析，无需源代码，从最快10分钟完成检测，并生成两种可视化检测报告。《IoT设备安全检测系统》还能够自动检测正在运行的平台，在云端高效率检测，固件只需一步提交、全自动化检测，减少产品发布后的召回、修复及更新成本。尽管有市场上还有一些商业解决方案可以检查系统配置，但是采用《IoT设备安全检测系统》扫描是一种安全、快速的方法，可以确保将潜在安全问题及时解决。

在万物互联的今天，企业数字基础设施中的硬件设备和相关固件正在以惊人的速度增长，作为连接物理和虚拟世界最为关键的“固件”，正面临着前所未有的安全威胁，如果企业对此缺乏足够的重视，那么可以遇见的未来就是“安全吃掉一切”。

诚然，企业在固件安全方面需要做的事情有很多，我们需要尽快走出盲区，提升固件安全的防御优先级，定期进行固件更新，持续检测潜在的平台错误配置，并启动可用的安全功能及策略，以增强固件的机密性、完整性、可用性，最终提升企业的“安全弹性”。