固件:一種新的攻擊載體,需要行業(yè)領(lǐng)導(dǎo)解決
責(zé)編:gltian |2019-09-24 13:26:00網(wǎng)絡(luò)安全制造商和解決方案供應(yīng)商是時候在解決固件安全問題上發(fā)揮領(lǐng)導(dǎo)作用了。
近年來,人們對網(wǎng)絡(luò)安全危險的認識突飛猛進。2004 年,全球網(wǎng)絡(luò)安全市場總額為 35 億美元,到 2014 年,這一數(shù)字已超過 1200 億美元。然而,幾乎所有的注意力都集中在攻擊載體上,如軟件、應(yīng)用程序、基礎(chǔ)設(shè)施和人類/社會行為。固件是一種危險的新型攻擊載體——代碼在其被創(chuàng)建時就已經(jīng)被裝載在了設(shè)備上,而且大多數(shù)情況下代碼對終端用戶而言是隱藏的。出于這種固件方面的擔(dān)憂,引發(fā)了圍繞中國企業(yè)華為 (Huawei) 生產(chǎn)的設(shè)備的爭論。
固件作為一種新的攻擊載體出現(xiàn),重新點燃了業(yè)界由來已久的爭論:誰來負責(zé)解決設(shè)備網(wǎng)絡(luò)安全問題?是設(shè)備制造商,還是購買設(shè)備的企業(yè)?“先有雞還是先有蛋” 的爭論已經(jīng)阻礙網(wǎng)絡(luò)安全的發(fā)展太久了。如果不解決這個問題,它還可能破壞物聯(lián)網(wǎng) (IoT) 的發(fā)展。物聯(lián)網(wǎng)預(yù)計將會帶來數(shù)十億個由固件運行的聯(lián)網(wǎng)設(shè)備——相機、打印機、揚聲器和家用電器。
政府對責(zé)任問題的答案越來越明確。面對日益激烈和復(fù)雜的網(wǎng)絡(luò)攻擊,人們一直致力于確保國防部 (DoD) 供應(yīng)鏈的安全。這意味著承包商的網(wǎng)絡(luò)安全行為會受到更嚴(yán)格的審查。這將通過國防部聯(lián)邦采購條例補充文件,或 DFARs 實現(xiàn)。
DFAR 252.204-7012 涉及有關(guān)承包商必須如何保護所涵蓋的國防信息,以及他們需要如何報告網(wǎng)絡(luò)事件的規(guī)定。為了執(zhí)行這些要求,美國國防部啟動了網(wǎng)絡(luò)安全成熟度模型認證 (CMMC) 計劃,該計劃將要求如果承包商想要參與到國防供應(yīng)鏈中,需要在 2020 年底前獲得認證。
這些規(guī)定還反映出,政府越來越希望企業(yè)對其產(chǎn)品中的網(wǎng)絡(luò)安全漏洞負責(zé)。例如,思科 (Cisco) 最近同意支付 860 萬美元,以了結(jié)有關(guān)其違反《虛假申報法》(False Claims Act) 的訴訟。訴訟稱,思科沒有解決其出售給美國政府的視頻監(jiān)控產(chǎn)品中存在的漏洞。該公司無視內(nèi)部告密者的警告,在公開披露潛在的網(wǎng)絡(luò)安全漏洞之前,多年來一直在銷售該產(chǎn)品。
當(dāng)然,這種威脅不僅限于政府網(wǎng)絡(luò),還擴展到了私營企業(yè)和學(xué)術(shù)界。最近在馬里蘭州巴爾的摩舉行的一次網(wǎng)絡(luò)峰會上,美國聯(lián)邦調(diào)查局反情報部門前副主管 Bill Priestap 表示:
我們的對手民族國家正在通過各種手段試圖深入了解我們的公司和研究機構(gòu),今天我們必須通過更加周全的方案來保護專有信息。除此之外,這需要理解和解決供應(yīng)鏈風(fēng)險,包括與固件相關(guān)的風(fēng)險。
業(yè)界對承擔(dān)此類網(wǎng)絡(luò)安全責(zé)任持反對意見一直為網(wǎng)絡(luò)安全工作增加了難度和額外成本。很多網(wǎng)絡(luò)安全產(chǎn)品都會涉及到多家公司的技術(shù),使挑戰(zhàn)更加復(fù)雜。固件映像和庫通常以二進制文件交付,以便嵌入到軟件中,這意味著不能訪問源代碼。在企業(yè)對政府領(lǐng)域,需要付出額外時間去保證質(zhì)量和成本,卻不能保證最終的業(yè)務(wù)。
這些觀點有一定的道理,但時代已經(jīng)發(fā)生了變化,企業(yè)必須站出來,為自家產(chǎn)品的網(wǎng)絡(luò)安全承擔(dān)責(zé)任。這已經(jīng)成為了做生意的籌碼。
領(lǐng)頭企業(yè)也可以把提高固件安全性當(dāng)做是實現(xiàn)差異化的一種方式。已經(jīng)開始出現(xiàn)一些擁有新技術(shù)的初創(chuàng)公司了。有些公司由前情報人員領(lǐng)導(dǎo),他們簡化了固件分析過程并實現(xiàn)了自動化。可以提取文件系統(tǒng)并運行掃描來檢測后門帳戶、過期的軟件和潛在的零日漏洞。公司現(xiàn)在有更好的技術(shù)來檢查和驗證他們的供應(yīng)商提供的組件。
現(xiàn)在是時候讓網(wǎng)絡(luò)安全制造商和解決方案供應(yīng)商在解決固件安全問題上發(fā)揮領(lǐng)導(dǎo)作用了。現(xiàn)在有更好的工具,而政府監(jiān)管也越來越強制要求企業(yè)負責(zé)。直面挑戰(zhàn)將增強人們對物聯(lián)網(wǎng)設(shè)備的信心,提高他們的盈利能力,并確保網(wǎng)絡(luò)安全行業(yè)整體的持續(xù)發(fā)展。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧