嵌入式開發(fā)：為什么固件攻擊是最大的安全威脅

計算機(jī)或嵌入式設(shè)備在一天開始時通電，首先啟動的是什么？設(shè)備的固件。在嵌入式開發(fā)中，固件是嵌入式設(shè)備系統(tǒng)安全的基礎(chǔ)，從智能冰箱等常見家用物品到為主要基礎(chǔ)設(shè)施供電的工業(yè)控制系統(tǒng)。

 

固件對設(shè)備運(yùn)行至關(guān)重要，這意味著對固件的成功攻擊不是一般的安全威脅。當(dāng)有人入侵固件時，他們已經(jīng)獲得了沒有病毒掃描程序或操作系統(tǒng)工具可以檢測或修復(fù)損害的訪問權(quán)。當(dāng)黑客成功攻擊固件時，他們就在整個系統(tǒng)上獲得了強(qiáng)大的立足點(diǎn)。

 

大多數(shù)用戶——無論是個人還是企業(yè)——都對威脅視而不見。微軟2021 年3月的安全信號報告發(fā)現(xiàn)，令人震驚的是，80%的企業(yè)在過去兩年中至少遭受過一次固件攻擊。在報告中，商業(yè)領(lǐng)袖指出，他們發(fā)現(xiàn)很難發(fā)現(xiàn)威脅，固件漏洞因缺乏意識而加劇。來自國家漏洞數(shù)據(jù)庫（NVD）的數(shù)據(jù)還顯示，過去20年來固件漏洞激增。

 

雖然對固件研究和嵌入式開發(fā)的日益關(guān)注有助于發(fā)現(xiàn)威脅的激增，但它們不僅僅是最小的風(fēng)險。這些安全威脅與眾多威脅一樣嚴(yán)重，NVD數(shù)據(jù)表明，發(fā)現(xiàn)的大多數(shù)問題都是嚴(yán)重或高度嚴(yán)重的。

 

固件攻擊的潛在后果正如你所能想象的那樣令人不快——威脅參與者可能會等待數(shù)年，直到發(fā)動攻擊最有意義為止；他們還可以收集信息并控制整個系統(tǒng)，使基礎(chǔ)設(shè)施無法運(yùn)行。

 

行業(yè)行為的影響

行業(yè)行為是固件攻擊增加的根源。在過去的10年里，人們一直呼吁增加系統(tǒng)和軟件的標(biāo)準(zhǔn)化，包括開放源碼的開發(fā)。雖然業(yè)界遵從了這一要求，但標(biāo)準(zhǔn)化程度的提高拓寬了攻擊面。

 

固件攻擊盛行的另一個重要原因是缺乏對嵌入式系統(tǒng)固件的升級。嵌入式系統(tǒng)固件的使用壽命通常要比同類產(chǎn)品長得多，大約可以部署10年或更長時間。由于這些系統(tǒng)已經(jīng)部署了相當(dāng)長的時間，這意味著應(yīng)該更密切地監(jiān)控固件。

但通常是這樣嗎？

可惜，答案是否定的。在嵌入式開發(fā)中，許多嵌入式系統(tǒng)在其生命周期中沒有進(jìn)行固件升級，盡管固件提供商提出了建議。為什么？一些人說他們擔(dān)心他們的系統(tǒng)可能無法承受升級，而另一些人認(rèn)為他們無法承受可能導(dǎo)致的停機(jī)時間。

 

實際上，停機(jī)時間可以安排為與其他日常維護(hù)同時進(jìn)行，而攻擊的成本遠(yuǎn)遠(yuǎn)大于系統(tǒng)離線的幾個小時。根據(jù)IBM Security的《2022年數(shù)據(jù)泄露成本報告》，關(guān)鍵基礎(chǔ)設(shè)施攻擊的平均成本為482萬美元。如果不實施推薦的補(bǔ)丁和系統(tǒng)升級，系統(tǒng)將面臨這些攻擊，關(guān)鍵的工業(yè)控制系統(tǒng)可能會落入錯誤的手中。至關(guān)重要的是，系統(tǒng)集成商要注意他們的固件，在他們發(fā)現(xiàn)問題之前，不要讓它處于無人看管的狀態(tài)，因為在這一點(diǎn)上，補(bǔ)救可能為時已晚。

 

一個有用的類比是把固件想象成一個五層樓的建筑，包括地下室。除非供水、電力系統(tǒng)或暖通空調(diào)出現(xiàn)問題，否則地下室通常無人看管。

 

系統(tǒng)也是如此。嵌入式開發(fā)人員考慮保護(hù)他們的操作系統(tǒng)和應(yīng)用軟件，而較少關(guān)注固件，固件是系統(tǒng)的基礎(chǔ)。在系統(tǒng)無法正常啟動或硬盤無法正常工作之前，我們很容易認(rèn)為一切正常。對固件安全性的自滿必須被視為對組織的一種威脅。

 

了解到固件攻擊正在增加，大多數(shù)公司可以采取以下措施來保護(hù)他們的系統(tǒng)：

 

1.了解固件的用途以及所用系統(tǒng)上的固件。

2.尋找提供平臺信任根的產(chǎn)品，這是計算系統(tǒng)安全操作所依賴的基礎(chǔ)。

3.確保固件已經(jīng)過驗證。

4.了解固件損壞時保護(hù)系統(tǒng)的機(jī)制。

5.了解如何還原和恢復(fù)固件。

6.已經(jīng)加強(qiáng)了IT政策，例如定期更新固件的做法

 

行業(yè)的下一步

對企業(yè)來說，控制其固件安全性很重要，但從政府層面更好地執(zhí)行也是提高整個供應(yīng)鏈安全性的關(guān)鍵。歐盟正在采取積極措施，制定強(qiáng)化的網(wǎng)絡(luò)安全要求法規(guī)，稱為《網(wǎng)絡(luò)彈性法案》，該法案要求在產(chǎn)品的整個生命周期內(nèi)提高安全性，并要求硬件和軟件生產(chǎn)商建立網(wǎng)絡(luò)安全框架。

 

雖然企業(yè)應(yīng)該注意到固件攻擊的增加，但對于采取合理預(yù)防措施保護(hù)其系統(tǒng)并遵循建議步驟的組織來說，這并不是一個主要問題。隨著歐盟采取行動實施更好的法規(guī)，希望嵌入式開發(fā)人員也能效仿，減少固件攻擊的數(shù)量。