相關標簽:
固件歷來是設備安全中最容易被忽視的方面之一,使其特別容易受到不良行為者的攻擊。在微軟2021年3月的一份報告中,接受調查的1,000家企業(yè)中有83%在過去兩年中至少經歷過一次固件攻擊。到2022年,Gartner估計,70%沒有固件升級計劃的組織將因固件漏洞而遭受破壞。而且,由美國國家標準與技術研究院(NIST)維護的國家漏洞數據庫顯示,在過去四年中,固件攻擊增加了五倍多。
固件使設備能夠執(zhí)行其預期功能并使各種硬件組件正常工作。這些組件可能包括設備內核、存儲設備性能所需的單個文件的文件系統(tǒng),以及負責初始化關鍵硬件組件和分配必要資源的引導加載程序。固件還將敏感信息(例如加密密鑰)存儲在內存中。
更新連接設備上的固件比更新臺式計算機和筆記本電腦上的軟件面臨更大的挑戰(zhàn)。連接設備包括由不同供應商制造的產品,其中許多使用供應商特定的硬件和固件。雖然固件更新可以手動完成,但這個過程既耗時又不切實際——這導致固件成為一個很大程度上不受保護的攻擊媒介。黑客利用固件滲透網絡、訪問其他系統(tǒng)、破壞數據甚至控制設備。惡意行為者可以通過將惡意軟件嵌入設備固件來繞過防病毒掃描。
設備制造商、供應商和系統(tǒng)集成商不能忽視固件安全。
最嚴格和最全面的網絡安全系統(tǒng)應該從固件概念開始,并通過開發(fā)、市場發(fā)布和進入該領域繼續(xù)。產品安全團隊和開發(fā)人員需要能夠在整個固件生命周期中檢測、修復和監(jiān)控漏洞。他們需要充分了解固件的組成,并能夠檢測構成固件的所有第三方組件和軟件中的漏洞。
一些公司使用開源軟件手動測試他們的固件實現(xiàn)來分析固件的源代碼。自動代碼掃描顯著加快了固件分析。
快速檢測漏洞應該只占公司固件安全工作的二分之一。另一半應該涉及建立快速修復漏洞的能力。減少解決網絡安全問題的總時間有助于將產品更快地推向市場。深入了解漏洞的原因和推薦的修復程序,可以更輕松地進行修復。
在實施第三方技術以支持固件安全時,公司可能希望考慮可以生成報告的軟件,這些報告涵蓋檢測到的固件漏洞的緩解或修復指南,以及對常見漏洞和暴露(CVE)的修復支持。當固件處于開發(fā)階段時,可以檢測到已知和未知的漏洞,從而加快修復速度。此外,公司應考慮支持在現(xiàn)場使用連接設備后持續(xù)進行固件安全分析和檢測的現(xiàn)場監(jiān)控功能;此類工具可幫助公司在漏洞出現(xiàn)時更好地準備固件升級和緩解計劃。
汽車、醫(yī)療保健、制造和消費行業(yè)中連接設備的制造商、供應商和系統(tǒng)集成商還應根據其設備的相關標準和法規(guī)進行固件實施分析。制造商和開發(fā)商應在固件開發(fā)過程中以及在現(xiàn)場使用時評估其合規(guī)性準備情況。
全面的固件實施分析和監(jiān)控可以幫助公司評估跨行業(yè)標準和法規(guī)的合規(guī)性準備情況,例如:
保護固件是保護連接設備的關鍵步驟。在開發(fā)階段,固件分析和漏洞檢測可以幫助連接設備的利益相關者防止攻擊、快速修復問題并加快安全性和合規(guī)性檢查以加快上市時間。
關注盛鼎電氣防爆檢測中心,了解更多資訊!
相關標簽:
