企业文化和对安全的整体态度，是固件漏洞的主要贡献者——信息系统审计与控制协会(ISACA)

56015014

ISACA是全球性企业技术和网络安全协会，日前发布了一份研究报告，称大多数企业没有全面的方案处理固件安全风险。

尽管随着包括物联网(IoT)设备在内的企业硬件足迹愈加膨胀，企业越来越意识到固件安全的逐渐加码，他们却依然没有应对固件安全风险的整体方案。

ISACA的“固件安全风险和缓解、企业实践和挑战”报告，强调了对硬编码在只读存储器(ROM)中固件的强有力安全管理控制和审计实践的建立。

该研究基于对横跨北美、欧洲和亚洲的750名网络安全从业者的调查，表明缓解安全风险的基础，是企业以一种安全优先的态度来看待硬件生命周期管理，而不是将之视为纯粹的操作层面问题。

卫生保健安全公司MedSec董事兼CEO贾斯汀·伯恩说：“固件安全不再是一个理论问题。”

“证据显示，攻击者已将固件当做攻击目标。今天的很多数据泄露和漏洞发现都源于固件问题。”

尽管解决方案纷纷出台，大多数企业环境依然尚未准备好。“虽然在这个问题上‘知识就是力量’是很明显的事儿，但该研究充分表明了，企业文化和对待安全的整体态度，很明显是漏洞的主要贡献者。”

在硬件生命周期管理中安全优先的受访者，过半数(52%)的人至少报告了1起感染恶意软件的固件被引入到公司系统中的事件。17%的此类事件造成了实质性影响。

与之相对，硬件生命周期管理中忽视安全的受访者，未知恶意软件发生的概率非常高(73%)。这表明有很多漏洞仍未被检测，没被打上补丁，滋生了安全风险。

知情缺失还对信心造成了影响，71%安全优先度低的受访者，觉得自己没准备好处理网络攻击。

报告称，想要能够解决这些弱点，企业需要加强IT部门和审计人员间的合作与沟通，建立健壮的硬件生命周期管理控制。研究显示，根据审计团队的反馈部署行动，是风险缓解的关键。

补丁管理过程

调查表明，认为自家企业完全遵从固件审计的受访者，63%的人报告了补丁管理过程中更高的有效性。另一方面，不接收任何审计反馈的那些(51%)，对固件完整性监视和漏洞修复，没有任何控制。

ISACA董事会主席，Intralot信息安全组长克里斯托斯·迪米特里阿迪斯称：“将固件维护视作运营职能而非安全问题，漏洞被利用的机会就会一直存在。”

是时候在我们的风险评估中强调固件安全的重要性了，基于威胁模型的控制优先也应根植进每一个企业，无论这是否涉及间谍活动、交易完整性损失或业务中断。

报告为企业提出了几条防止固件攻击的建议：

• 在尽可能的地方，找那些允许企业独立验证设备(服务器、无论、存储、IoT)完整性的厂家。
• 将设备隔离进不同信任区，让企业可以分别操作可信设备或不可信设备。
• 建立固件更新策略。
• 由于持续监视是最重要的，应获取专门用于通过网络监视设备完整性的系统和技术，利用诸如可信平台模块(TPM)之类值得信赖的技术。