企业文化和对安全的整体态度,是固件漏洞的主要贡献者——信息系统审计与控制协会(ISACA)
ISACA是全球性企业技术和网络安全协会,日前发布了一份研究报告,称大多数企业没有全面的方案处理固件安全风险。
尽管随着包括物联网(IoT)设备在内的企业硬件足迹愈加膨胀,企业越来越意识到固件安全的逐渐加码,他们却依然没有应对固件安全风险的整体方案。
ISACA的“固件安全风险和缓解、企业实践和挑战”报告,强调了对硬编码在只读存储器(ROM)中固件的强有力安全管理控制和审计实践的建立。
该研究基于对横跨北美、欧洲和亚洲的750名网络安全从业者的调查,表明缓解安全风险的基础,是企业以一种安全优先的态度来看待硬件生命周期管理,而不是将之视为纯粹的操作层面问题。
卫生保健安全公司MedSec董事兼CEO贾斯汀·伯恩说:“固件安全不再是一个理论问题。”
“证据显示,攻击者已将固件当做攻击目标。今天的很多数据泄露和漏洞发现都源于固件问题。”
尽管解决方案纷纷出台,大多数企业环境依然尚未准备好。“虽然在这个问题上‘知识就是力量’是很明显的事儿,但该研究充分表明了,企业文化和对待安全的整体态度,很明显是漏洞的主要贡献者。”
在硬件生命周期管理中安全优先的受访者,过半数(52%)的人至少报告了1起感染恶意软件的固件被引入到公司系统中的事件。17%的此类事件造成了实质性影响。
与之相对,硬件生命周期管理中忽视安全的受访者,未知恶意软件发生的概率非常高(73%)。这表明有很多漏洞仍未被检测,没被打上补丁,滋生了安全风险。
知情缺失还对信心造成了影响,71%安全优先度低的受访者,觉得自己没准备好处理网络攻击。
报告称,想要能够解决这些弱点,企业需要加强IT部门和审计人员间的合作与沟通,建立健壮的硬件生命周期管理控制。研究显示,根据审计团队的反馈部署行动,是风险缓解的关键。
补丁管理过程
调查表明,认为自家企业完全遵从固件审计的受访者,63%的人报告了补丁管理过程中更高的有效性。另一方面,不接收任何审计反馈的那些(51%),对固件完整性监视和漏洞修复,没有任何控制。
ISACA董事会主席,Intralot信息安全组长克里斯托斯·迪米特里阿迪斯称:“将固件维护视作运营职能而非安全问题,漏洞被利用的机会就会一直存在。”
是时候在我们的风险评估中强调固件安全的重要性了,基于威胁模型的控制优先也应根植进每一个企业,无论这是否涉及间谍活动、交易完整性损失或业务中断。
报告为企业提出了几条防止固件攻击的建议:
- 在尽可能的地方,找那些允许企业独立验证设备(服务器、无论、存储、IoT)完整性的厂家。
- 将设备隔离进不同信任区,让企业可以分别操作可信设备或不可信设备。
- 建立固件更新策略。
- 由于持续监视是最重要的,应获取专门用于通过网络监视设备完整性的系统和技术,利用诸如可信平台模块(TPM)之类值得信赖的技术。