固件安全:被忽视的企业安全“软肋”

  • A+
所属分类:逆向工程
本文 9480字   阅读约需 30分钟


在软件安全性逐步提升的同时,固件和硬件安全成为热点安全问题。实际上,固件近年来已成为攻击者的热门目标。  



基于固件的恶意软件很大程度上被安全团队忽略,这使服务器、存储和网络设备的固件成为企业安全的“软肋”。



固件存储有证书、密钥等敏感信息,成为攻击者的重要目标。83%的被调查企业在过去2年曾经遭遇过固件攻击。



固件通常是常规漏洞管理工具和流程的盲区。大多数漏洞扫描器关注的是软件,回避了固件漏洞和硬件配置错误扫描。



企业对固件安全重视程度必须等同于操作系统和应用安全。Gartner预测:到2022年,缺乏固件更新方案的机构,70%将会因固件漏洞遭遇数据泄露。


一、固件成热门攻击目标



2020年是具有历史挑战性的一年,在软件安全性逐步提升的同时,固件和硬件安全成为热点安全问题。实际上,固件近年来已成为攻击者的热门目标和日益具有吸引力的攻击入口。


作为一种特定软件,固件可以提供对设备硬件的低级控制,一般存储在只读存储器(ROM)、可擦可编程只读存储器(EPROM)或闪存中。


近年来,固件漏洞的数量激增。固件漏洞可以在设备内部任何组件中存在,包括UEFI或者BIOS系统、驱动器、网络适配器、内存、处理器、显卡以及很多其它的集成或外围组件。2016年之后,美国国家漏洞数据库中漏洞数量每年都创出新高。2019年,暴出的固件漏洞数量比2018年增加了43%,比2016年增长了7.5倍。


固件安全:被忽视的企业安全“软肋”


固件漏洞的激增不仅代表攻击面迅速扩大,同时表明攻击者越来越关注固件。根据微软2021年委托进行的一项调查:83%的被调查企业在过去两年曾经遭遇过固件攻击。美国国家标准技术研究院(NIST)国家漏洞数据库的数字则显示,过去4年中,针对固件的攻击增加了五倍以上。在硬件生命周期报告中,将安全作为优先事项的研究参与者,约有一半(52%)宣称,至少遭遇过一起恶意软件感染固件引入了公司系统的事件,而17%的参与者表示,该事件带来了实质影响。


通过固件攻击,攻击者可以监视用户活动、窃取数据和对计算机实现远程控制。


过去两年安全专家发现了数种固件攻击。例如RobbinHood勒索软件,利用固件获得对受害者计算机的根访问权,加密所有文件并勒索赎金。2019年5月,数个美国城市政府遭受这一勒索软件的攻击。


另一个案例是Thunderspy,这是一种利用PC硬件组件的直接内存访问(DMA)功能进行的攻击。这种攻击非常隐蔽,可在不留痕迹的情况下读取和复制计算机上的所有数据,即使硬盘驱动器被加密、计算机被锁定或进入睡眠状态,攻击也可能发生。


固件为何如此脆弱?答案很简单:它设计时从没有考虑安全问题。《连线》杂志认为,“大多数硬件制造商都不会对系统中嵌入的固件进行密码签名,也不会在设备中包括身份验证功能,以识别签名的固件。


二、被忽视的攻击面



从智能手机到服务器,几乎所有设备都包含固件。计算机包含许多固件,从USB键盘到图形和声卡,应有尽有;即使是计算机电池也包含固件。考虑到固件的广泛普遍性,人们会自然地期望固件安全问题会被置于首位考虑——但遗憾的是,这距离事实很遥远。


与频频暴出的固件漏洞、日益猛烈的固件攻击形成对比的是,固件依然是设备中容易被忽视的组件,日益增长的固件攻击似乎没有得到足够的关注。


固件安全:被忽视的企业安全“软肋”


固件通常是常规漏洞管理工具和流程的盲区。大多数漏洞扫描器关注的是软件,回避了固件漏洞和硬件配置错误扫描。另外,对于指定的设备,人们并不总是清楚其内部是否安装了最新固件,有漏洞的固件是否已经被正确地更新。这就给CISO们和安全团队提出了挑战,他们需要具备确认产品固件状态的能力,而不是完全靠他们提供商的漏洞更新流程。


基于固件的恶意软件很大程度上被安全团队所忽略,这使得服务器,存储和网络设备中的固件成为企业安全的“软肋”。根据微软的调查,企业对固件保护没有给予足够的投入,只有29%的安全预算被用于固件保护;21%的被调查的决策者承认,公司的固件数据未受到任何监测。


目前不要指望固件漏洞的增长速度会减弱。一方面,笔记本电脑,服务器和网络设备中组件的数量和复杂性不断增加。在英特尔披露的2020年的安全漏洞中,93个属于驱动和其他软件漏洞,66个为固件漏洞,58个为固件和软件组合漏洞。此外,从攻击者的角度来看,固件是具有异常高价值的战略目标。固件使攻击者可以轻易访问可被窃取或用于勒索的数据。此外,通过固件攻击,可以对组件或整个设备进行完全禁用。固件还为攻击者的长期攻击提供了途径。


固件安全:被忽视的企业安全“软肋”


安全公司Eclypsium认为,三大因素导致固件迅速发展成为网络安全的关键领域,其中包括:暴出的固件漏洞数量不断增加;在野攻击越来越多地针对固件漏洞;固件漏洞利用为攻击者提供了最高级别的特权和系统控制权,攻击者的动机可以包括,获得最高特权级别、绕过传统安全防护、持久攻击、隐形,以及对设备的破坏。


目前,安全团队不能完全了解作为固件嵌入的代码量以及其基础结构中包含固件的组件数量。以笔记本电脑为例,其包含的数十个组件都拥有自己的固件(通常有数百万行代码),容易受到可能影响漏洞和设计缺陷的影响。此外,硬件设计周期很长,固件更新被越来越多地用于解决硬件问题,这也引入了新的攻击媒介。


三、固件漏洞同样成“军火库”标配



固件漏洞特性使其成为近十年来国家支持的网络黑客和APT组织实施攻击的首选。针对固件层的恶意代码可以使攻击者代码首先被运行,从而实现抢占操作系统的目的。这样攻击者就可以控制boot程序,安装系统补丁,破坏安全控制,获取至高权限,从而控制整台设备。固件漏洞同时也使得攻击具备可靠的持久性。攻击者通过在固件而不是驱动内注入恶意代码,就可以保证恶意代码在系统重新镜像,甚至更换存储驱动器后仍然存在。


2020年,固件安全形势发生了重要的变化。出于经济动机的网络黑客开始借鉴APT组织的做法,针对固件开展了声势浩大的勒索软件攻击。APT和勒索软件发起者对企业VPN和网络基础设施实施大规模的攻击。像Trickbot这种流行的恶意软件集成了新的针对固件的检测能力,同时也发现了在野的新型固件植入和勒索软件攻击方式。


总体上讲,2020年的网络安全态势是过去这些年的延续和加速——固件漏洞不仅是由国家赞助的网络黑客利用的秘密工具,它也越来越多地成为许多其他网络恶意攻击者的“军火库”标配。


随着越来越多的联网设备推出,固件安全问题将成倍放大。2020年联网设备预计将达到300亿。2025年,联网的IoT设备将达到750亿个。在这样互联的世界中,固件安全问题对机构安全和个人隐私构成了危险威胁。


四、固件安全自评估



固件风险影响到企业IT行业技术栈的各个方面——包括终端笔记本、服务器和云计算基础设施、网络基础设施以及供应链技术本身。目前机构纷纷对远程办公模式提供支持,攻击者也随时准备利用远程办公用户联网所需的基础设施发起攻击。企业必须根据安全形势的最新进展,使用工具和流程及时评估和解决安全风险。


Eclypsium在其发布的《评估2021年企业固件安全风险》报告中,根据过去一年主要发展趋势,为企业领导者提供了固件安全自评估的方法。


机构的固件安全评估需要回答如下问题:

1. 漏洞管理流程和工具是否包含固件安全?

2. 是否可以检测固件威胁及固件篡改行为?

3. 对技术供应链风险是否做到可视和可控?

4. 安全运营中心和IR团队是否能解决固件威胁?

5. 是否准备好应对固件相关业务风险?


这五大问题并非固件安全话题的完整清单,但可提供固件安全自评估的方法。



1、漏洞管理流程和工具是否包含固件安全?


漏洞管理是任何安全活动最基本的工作之一。尽管对于软件和操作系统来说,漏洞扫描和程序修补工作已成为了安全标准实践,但是对于设备内部固件,企业还是缺乏有效的工具来执行同样严格的漏洞审核程序。企业对固件安全的重视程度必须等同于操作系统安全和应用安全。


2020年数起安全事件突显了固件漏洞风险的重要性和紧迫性:


  • 面向VPN和网络漏洞的APT和勒索软件攻击

2020年,最主要来自国家支持的网络黑客,以及包括Revil Sodnikibi、NetWalker、Maze等勒索软件瞄准的首要目标就是VPN漏洞。这些漏洞通常与网络设备固件直接关联,而且漏洞一旦被披露,就很快能被攻击者利用。例如,广受攻击的CVE-2019-19781漏洞影响到的是Citrix设备固件。2019年12月该漏洞刚刚被披露,2020年1月,攻击者就利用其实施网络攻击。其它受攻击的供应商还包括Cisco、Pulse Secure、F5。这些攻击正是利用了企业对雇员在家工作的支持需求不断增加,借助其理想的网络传输通道,将恶意软件传递到企业用户端。


  • 泛滥的BootHole漏洞

2020年7月披露的Boothole漏洞,影响到了大多数Windows和Linux系统,攻击者可在boot过程中实现任意代码执行攻击,即使Secure Boot已经配置的情况下也不受影响。攻击者可以在有漏洞的系统内安装超级bootkit。


  • 针对固件漏洞的Trickbot扫描

很多公司并不扫描固件漏洞,但流行的恶意软件却做了这件事。Trickbot恶意软件增加了名为“TrickBoot”的新模块,以检查固件内部是否存在众所周知的安全漏洞,这些漏洞使得攻击者可以对设备的UEFI/BIOS固件执行读、写或者删除操作。


企业需要补充针对固件漏洞的管理工具和流程。要控制风险就必须掌握包括笔记本电脑、服务器、网关等一系列设备或组件的安全情况。


安全建议

  • 将固件管理集成到现有的硬件和操作系统生存周期流程。

  • 在采集的数据中增加固件属性,并作为资产管理流程的一部分,更好地了解潜在攻击面。

  • 除了系统固件,还要掌握设备组件中的固件漏洞情况。

  • 增加针对固件的常规性自动漏洞和配置扫描,包括bootloader和dbx数据库。

  • 考虑使用能够提高固件更新流程效率的工具。

  • 将固件脆弱性度量纳入到现有的漏洞管理流程报告中。

  • 使用如Shodan、Nmap等工具对面向外部的资产进行漏洞可发现性评估,掌握敌手在初始侦查踩点阶段会掌握什么样的信息。


2、是否可以检测固件威胁及固件篡改行为?


固件漏洞威胁是攻击者能够使用的最有力的工具之一。企业必须有对应的工具和流程对这一至关重要层面进行威胁检测。


2020年著名的固件威胁包括:


  • TrickBot增加了新型固件模块“TrickBoot”

 新发现的TrickBoot模块是恶意软件发展迈出的重要的一步。TrickBot被各种各样的恶意软件包括臭名昭著的Ryuk勒索软件所广泛使用,且一直长期被黑客们积极维护。提权、网络传播、建立持久性,TrickBot的这些能力使其在勒索软件杀伤链中扮演了至关重要的角色,此次TrickBoot大大升级了这些能力,在UEFI固件内部的持久性和提权方面实现了重要的突破。


  • 新发现的在野UEFI植入攻击

研究人员发现, 植入在UEFI中的MosaicRegressor恶意软件可以用于执行针对性攻击,它能够长期潜伏在目标组织内部、逃避网络安全控制、发送恶意负载。该恶意软件始终在野活动,且在今后两年乃至更长时间内都无法被杀毒产品检测到。值得注意的是,MosaicRegressor很大程度上依赖于Hacking Team的公开组件Vector-EDK UEFI rootkit,这表明攻击者可以轻易地重新打包和使用已有的恶意软件植入工具来发动新的攻击。


  • 越来越多针对固件的勒索软件

TrickBoot不是唯一的针对固件和设备底层的勒索软件。新发现的EFILock使用了恶意的bootloader来破坏boot过程,从而控制肉鸡的权限。EFILock最初是针对没有使用Secure Boot的机器。然而,BootHole漏洞却可以让类似EFILock的攻击软件去攻击一台哪怕已经配置了SecureBoot的设备。2020年其它针对固件的勒索软件也依然继续活跃,例如针对MBR的Thanos以及QSnatch,这些软件通过操控QNAP NAS设备的固件导致数据备份功能失效,阻止固件程序更新程序运行。


  • 针对远程工作者和SOHO基础设施的攻击

2020年对于远程工作者来说,VPN不是唯一需要担心的方面。企业向远程工作模式的转移不断增加了远程连接对BYOD(Bring Your Own Device)和SOHO网络设备的依赖程度。针对这些设备固件的攻击成为了网络攻击的重要方面。复活的Mirai botnet利用了F5 BIG-IP控制器漏洞来感染loT和其他Linux设备。攻击者针对远程办公员工所依赖的家庭办公网络设备发动了攻击,例如,针对SOHO Cisco routers的在野攻击以及之前俄罗斯黑客发动的针对企业和SOHO网络设备的大型网络攻击等都是这种攻击类型。


以上攻击事件突出了攻击者攻击固件层可以有多种途径。然而,不管攻击者使用的是恶意软件、远程网络连接还是物理抵近,主要的攻击策略还是一致的:攻击者利用存在安全漏洞的固件,控制整个设备,并且在保持攻击长期持续存在的同时几乎不被传统的安全软件察觉。


为了应对以上安全风险,企业必须能够验证所有固件的完整性,检测固件内部已知或未知的安全漏洞,包括持续监控检测固件篡改行为,以及发现可疑行为时的检查。不幸的是,固件和硬件安全问题对企业来说通常是个挑战。传统的安全控制常局限于操作系统和软件层,企业对底层安全威胁缺乏一定的认知。


安全建议

  • 检查现有的针对固件攻击和资产篡改行为的检测能力,包括检测固件篡改行为的技术控制手段、篡改事件发生时的告警机制、将告警信息集成到企业的SIEM以及其它告警响应工具和流程。

  • 检查控制权丢失事件(控制权丢失或被盗后又重新恢复)或者有通往高风险环境的数据流发生时,对设备信任关系的相关检测技术和流程,评估设备遭受攻击的可能性以及未检测到类似攻击时对设备的影响。

  • 将固件攻击纳入2021年的红紫队安全活动计划。

  • 增加自动监控固件组件完整性的安全工具,对任何破坏性行为给予告警。

  • 综合使用白名单、威胁特征库、行为分析等安全机制来对已知和未知的固件植入行为进行检测。


3、对技术供应链风险是否能做到可视和可控制?


大多数组织惯常去处理来自外部的威胁,比如恶意软件。其实技术供应链风险本身也在迅速成为重要的风险源头。早在设备被传递或箱装到最终用户手中之前,供应链方面漏洞或破坏就已经可以影响设备安全。这给设备安全提出了特有的挑战,因为它改变了设备初始的预设信任状态。即使在设备部署之后,攻击者仍可以利用企业和供应商之间的信任关系,对供应商的升级程序进行破坏活动。


另外,许多厂商组件包含了大量第三方上游供应商代码,这些代码也可能会带有安全漏洞,存在安全风险。组织很容易从厂家继承这些安全风险,或者从可信的合作方继承固件相关的安全问题,给设备运营带来潜在的严重后果。


美国智库大西洋理事会(Atlantic Council)的《打破信任:不安全软件供应链中的危机阴影》报告,重点强调了这方面的安全问题。报告基于过去10年(2010-2020年)公开报道的115个软件供应链攻击和泄露事件,其中包括针对联想设备、微软内核、loT设备以及外部组件的供应链攻击事件。


供应链安全方面的挑战包括:


  • 技术供应链漏洞的复用

披露的一系列事件凸显了在常用的软件、软件库以及组件方面存在的严重威胁。Ripple20和Amnesia:33漏洞实际代表了TCP/IP库中的几十个漏洞,影响了全球大量的供应商。在供应链中使用含有漏洞的代码意味着将会影响许多设备,从笔记本电脑、服务器到打印机、医疗设备以及重要的基础设施。同样,Urgent/11漏洞也影响了工业界大多数流行的实时操作系统(RTOS),在漏洞披露后的一年内,仍有97%的设备未及时打上安全补丁。


  • 对升级基础设施的破坏

安全威胁也可以借助升级程序渗透到供应链。在披露的SUNBURST恶意软件攻击中,攻击者通过破坏SolarWinds的升级基础设施,对超过18000个SolarWinds用户植入恶意后门。该攻击事件与之前的ShadowHammer攻击原理类似。ShadowHammer攻击也是通过破坏ASUS升级服务器向成千上万的用户推送恶意软件。在这两起攻击事件中,升级程序都含有正确的签名,看上去都是有效的。虽然SUNBURST攻击与固件攻击没有直接关联,但是执行该攻击的可疑攻击者之前曾经发动过针对固件的持久性攻击。此外,鉴于完全正确的系统也有遭受破坏的可能性,对固件开展异常行为的监控则显得尤其重要。


  • 供应链复杂性导致的升级缓慢

供应链问题即使被发现之后也不是很容易解决。因为技术供应链本身依赖很多因素。软件升级只需从单一供应商下载升级程序即可,固件升级却需要一群供应商的合作才能完成,每个供应商只负责完成自己部分的测试。BootHole漏洞就是明证。该漏洞影响了几乎所有的Linux版本,需要每个版本都发布新的bootloader垫片。这个问题还延伸至任何使用具有Microsoft Third Party UEFI Certificate Authority 标准的Windows 设备。OEM厂商和操作系统供应商在执行升级操作前会非常谨慎,因为更新程序有可能带来严重的稳定性问题。从一个供应链问题被披露到企业用户真正安装上补丁,可能会耗费大概一年乃至更长的时间。这种不确定性促使组织有必要能够独立掌握他们设备漏洞的情况。


解决供应链风险需要工业界以及个体企业的共同努力。美国国家标准与技术研究(NIST)和国家网络安全卓越中心(NCCoE)已经把供应链风险管理(SCRM)置为最高优先级。NCCoE宣布的供应链保障计划,在《供应链安全保障验证计算设备完整性》的报告中发布了更多的细节。该计划对现代技术供应链相关的风险给出了定义,旨在为组织提供能够使用的安全解决方案,帮助他们验证设备的完整性,确保组件在生产或发布过程中没有被篡改。


不像有些其它与供应商有关的风险,供应链风险管理不能完全传送到供应商。SUNBURST事件已经表明,在SCRM范畴内,组织必须保留部分对企业产品安全的掌控权,以便从内部直接解决由于供应链完整性问题的安全风险。随着像SUNBURST这样的软件在进一步对组织造成破坏,“信任:但要核查”的理念将会持续深入。组织需要有验证设备固件完整性的工具,确保新购的设备是正确的,其未在供应链中被恶意篡改。同样的,公司必须能力检测设备固件潜在的弱点或漏洞。


安全建议

  • 增加扫描程序,对新购硬件的固件完整性或固件漏洞进行评估,尤其是对组织中具有重要功能或地位的资产进行评估。

  • 在任何的收购流程中增加对硬件基础设施的扫描。

  • 就固件安全对潜在的技术或服务供应商进行评估,并将该工作作为整个供应商评估内容的一部分,纳入尽职调研内容。

  • 对供应商固件升级程序和基础设施进行弱点评估,例如固件升级程序不带签名或者升级时不加任何其它检查措施。

  • 经常检查供应商的更新程序,验证其是有效来源并且无安全漏洞。

  • 常态化监控固件行为,识别出恶意或不正常的固件行为。

  • 为保证产品和服务的发布过程中第三方组件的安全性,明确采购和供应商程序中包含了相关各方的安全责任划分。当把责任委派到了组织之外的其他团队,询问清楚其管理安全风险的具体细节。

  • 阐明企业会如何处理那些通过供应网络链一直延伸到供应商或合作方的固件问题。


4、安全运营中心(SOC)和IR团队是否有能力解决固件威胁?


攻击者使用固件漏洞是因为固件级植入具备持久性,能逃避操作系统级的安全防护。因此,组织在威胁捕获、事件响应、故障恢复过程时,必须将固件威胁纳入分析范围。如果没有能力验证固件完整性,移除固件植入,组织会陷入不断被重复感染的境地。


组织应该在大量事件响应活动中考虑固件安全,包括


  • 告警

组织需要理解现有的告警基础设施将如何应用于固件安全告警。SIEM有无处理固件告警?安全措施有无根据固件完整性和行为、设备增加的恶意代码、BMC连接等异常给予告警?


  • 狩猎和取证

取证流程是否延伸到固件分析?威胁狩猎工具能否查找环境中不寻常的固件行为?狩猎人员有无工具手段对可疑固件进行分析?


  • IR工作手册和知识库

关于何时将固件问题纳入诊断和响应流程内,IR团队有无进行过相关培训?IR知识库中有无覆盖固件这一可能的初始感染载体?在移动装置被重新连接到网络前,团队是否已经建立相关手册说明?


2020年的攻击事件突出表明将固件纳入标准IR工作内容的重要性。


  • MosaicRegressor

2020年披露的MosaicRegressor是在野发现的最隐蔽的UEFI rootkit。MosaicRegressor让攻击者可在目标组织持久存在,即使系统被重新镜像或完全更换了硬盘驱动器也无济于事。该植入方法复用了很容易获得的 Hacking Team的Vector-EDK UEFI rootkit组件,这表明类似的攻击威胁今后将很容易发展壮大。MosaicRegressor同前几年使用的LoJax恶意软件UEFI rootkit类似,都是通过固件攻击来保持持久的侵入性以发动更大规模的攻击。


  • QSnatch勒索软件

2020年QSnatch勒索软件仍然继续构成安全威胁,攻击者利用该软件能够攻击所有的QNAP NAS设备,他们不仅针对固件发起攻击,而且增加了一定的措施确保固件永远无法更新。

  • Citrix和VPN攻击

在本报告中,针对网络基础设施的攻击是一直贯穿始终的话题,也将应用在威胁狩猎和事件响应活动中。安全团队不仅需要考虑网络设备本身固件的安全还要考虑他们提供服务的设备固件的安全,自然需要对网络设备完整性进行验证,确保没有被破坏。一旦发现可疑攻击,安全团队需要对终端用户和内部设备进行完整性检查,确保设备固件没有被经由VPN传播的恶意软件所攻击。


  • SUNBURST

威胁狩猎需要考虑SUNBURST攻击所带来的安全启示。SUNBURST攻击者优先考虑了攻击的隐蔽性,执行该攻击的可疑攻击者之前曾经发动过针对固件的持久性攻击。因此,被SUNBURST影响的组织必须对设备固件层进行主动监控,对被SUNBURST攻击过的设备进行固件级取证。


其它形态的恶意软件也在不断采取固件层攻击策略,对于IR团队和威胁狩猎团队来说,对设备固件进行安全分析的工作显得更加重要。


安全建议

  • 作为事件响应活动的标配,对有可能被破坏的设备执行固件漏洞扫描。

  • 将设备重新投入使用前,对设备内部所有固件执行固件扫描确认固件完整性。

  • 为威胁狩猎团队配备能够对异常固件行为进行监控的工具,对可疑设备进行进一步分析。

  • 确认现有的安全工具以及SIEM在固件告警方面存在的不足。

  • 在标准的IR收集和响应手册中增加固件安全检查内容。

  • 确保团队有合适的工具和服务能对固件执行取证分析,从而收集针对固件的攻击证据。

  • 评估和更新IR知识库,增加固件安全信息。



5、是否准备好应对固件相关业务风险


固件安全风险的上升不仅仅关系到企业安全团队。行业分析师、监管机构甚至普通大众都在共同关注,组织必须准备好迎接随之而来的新安全治理和潜在业务风险。


Gartner和Forrester相关报告中,对固件安全状态以及未及时解决固件漏洞的企业给出了严重警告。这是一个强烈的信号,表明固件安全威胁的影响力已经不再停留于国家级网络攻击,或是黑客大会的热门话题。机构要准备好回答来自管理方、合作方以及用户提出的关于固件安全保障的相关问题。


基于固件技术的勒索软件攻击事件突出表明了在组织整个运营过程中固件安全的重要性。攻击者利用固件不仅可以控制设备实施勒索,同时也可以导致设备完全失效。固件影响不仅限于恶意攻击。关键设备中如存在未更新的固件则会导致稳定性问题,从而影响整个组织的运营能力。安全和IT领导者需要了解他们所有关键设备的固件情况,保护组织免受意外的攻击和破坏。


法规监管是固件安全引起关注的另一项内容。多个NIST文件,包括《网络安全框架》以及新出版的SP 800-53 R5,都很大程度上关注固件的管理风险以及安全控制落实情况。应行业要求,PCI安全标准委员会出版了PCI DSS v.3.2.1与NIST的《网络安全框架》v.1.1之间的内容映射关系。FISMA control也反复明确地强调对安全固件的需求。所有这些表明各种组织在越来越多地寻找标准化手段确保技术栈各层的安全性。


随着人们对固件和硬件安全问题的重视程度不断增加,焦点落在企业的固件安全上面就不足为奇了。尽管机构对这些安全要求的具体落实情况会有所区别,但是很重要的一点是,机构必须明确认识到,对于自身以及其他第三方供应商,固件和硬件安全要严格遵从相关标准法规。


安全建议

  • 在企业的安全策略、安全实践以及安全流程中,对固件的作用和安全性给出定义,并形成文档。

  • 审核硬件和固件相关的法规要求,深入理解组织需要承担的义务。

  • 面向企业固件层落实风险管理和安全控制。

  • 在客户和合作方的第三方供应商合同中增加适当的语言。



五、总结



固件安全迅速成为现代企业安全实践的重要部分。来自行业分析师的建议、业界规范发生的变化、网络安全形势的不断发展都在表明,固件安全的重要性在不断增加。


大多数固件攻击利用代码的错误,防止固件攻击的最佳方法是确保开发过程中遵循安全准则。因此,固件安全性主要由硬件制造商所掌控。但企业安全管理人员需要知道,固件受到攻击的风险确实存在,固件必须像其他任何软件一样进行更新。


NIST在其相关文件中也建议,固件更新应被视为网络安全基础准则的必要和重要组成部分。


在《如何减轻数据中心、公共云和私有云中的固件安全风险》报告中,Gartner也强调了固件更新的重要性,并为基础设施和运营(I&O)负责人提供了固件更新的指南。


基础设施的I&O领导者应:

  • 与首席信息安全官合作,投资新兴固件威胁检测和扫描工具,与行业协会和专家合作,培养团队技能,以了解固件和硬件威胁。

  • 将固件升级策略集成到标准流程中,定期进行更新并制定应急计划。

  • 部署网络隔离和用户访问控制,日志记录以及使用供应商的安全固件功能,确保安全实现固件更新。

  • 通过与供应商管理团队合作,确保云和本地供应商都具有安全的固件更新程序。




文章来源:虎符智库



点击下方卡片关注我们,
带你一起读懂网络安全 ↓

本文始发于微信公众号(互联网安全内参):固件安全:被忽视的企业安全“软肋”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: