固件:一種新的攻擊載體,需要行業領導解決
責編:gltian |2019-09-24 13:26:00網絡安全制造商和解決方案供應商是時候在解決固件安全問題上發揮領導作用了。
近年來,人們對網絡安全危險的認識突飛猛進。2004 年,全球網絡安全市場總額為 35 億美元,到 2014 年,這一數字已超過 1200 億美元。然而,幾乎所有的注意力都集中在攻擊載體上,如軟件、應用程序、基礎設施和人類/社會行為。固件是一種危險的新型攻擊載體——代碼在其被創建時就已經被裝載在了設備上,而且大多數情況下代碼對終端用戶而言是隱藏的。出于這種固件方面的擔憂,引發了圍繞中國企業華為 (Huawei) 生產的設備的爭論。
固件作為一種新的攻擊載體出現,重新點燃了業界由來已久的爭論:誰來負責解決設備網絡安全問題?是設備制造商,還是購買設備的企業?“先有雞還是先有蛋” 的爭論已經阻礙網絡安全的發展太久了。如果不解決這個問題,它還可能破壞物聯網 (IoT) 的發展。物聯網預計將會帶來數十億個由固件運行的聯網設備——相機、打印機、揚聲器和家用電器。
政府對責任問題的答案越來越明確。面對日益激烈和復雜的網絡攻擊,人們一直致力于確保國防部 (DoD) 供應鏈的安全。這意味著承包商的網絡安全行為會受到更嚴格的審查。這將通過國防部聯邦采購條例補充文件,或 DFARs 實現。
DFAR 252.204-7012 涉及有關承包商必須如何保護所涵蓋的國防信息,以及他們需要如何報告網絡事件的規定。為了執行這些要求,美國國防部啟動了網絡安全成熟度模型認證 (CMMC) 計劃,該計劃將要求如果承包商想要參與到國防供應鏈中,需要在 2020 年底前獲得認證。
這些規定還反映出,政府越來越希望企業對其產品中的網絡安全漏洞負責。例如,思科 (Cisco) 最近同意支付 860 萬美元,以了結有關其違反《虛假申報法》(False Claims Act) 的訴訟。訴訟稱,思科沒有解決其出售給美國政府的視頻監控產品中存在的漏洞。該公司無視內部告密者的警告,在公開披露潛在的網絡安全漏洞之前,多年來一直在銷售該產品。
當然,這種威脅不僅限于政府網絡,還擴展到了私營企業和學術界。最近在馬里蘭州巴爾的摩舉行的一次網絡峰會上,美國聯邦調查局反情報部門前副主管 Bill Priestap 表示:
我們的對手民族國家正在通過各種手段試圖深入了解我們的公司和研究機構,今天我們必須通過更加周全的方案來保護專有信息。除此之外,這需要理解和解決供應鏈風險,包括與固件相關的風險。
業界對承擔此類網絡安全責任持反對意見一直為網絡安全工作增加了難度和額外成本。很多網絡安全產品都會涉及到多家公司的技術,使挑戰更加復雜。固件映像和庫通常以二進制文件交付,以便嵌入到軟件中,這意味著不能訪問源代碼。在企業對政府領域,需要付出額外時間去保證質量和成本,卻不能保證最終的業務。
這些觀點有一定的道理,但時代已經發生了變化,企業必須站出來,為自家產品的網絡安全承擔責任。這已經成為了做生意的籌碼。
領頭企業也可以把提高固件安全性當做是實現差異化的一種方式。已經開始出現一些擁有新技術的初創公司了。有些公司由前情報人員領導,他們簡化了固件分析過程并實現了自動化。可以提取文件系統并運行掃描來檢測后門帳戶、過期的軟件和潛在的零日漏洞。公司現在有更好的技術來檢查和驗證他們的供應商提供的組件。
現在是時候讓網絡安全制造商和解決方案供應商在解決固件安全問題上發揮領導作用了。現在有更好的工具,而政府監管也越來越強制要求企業負責。直面挑戰將增強人們對物聯網設備的信心,提高他們的盈利能力,并確保網絡安全行業整體的持續發展。