调查 | 大多数企业漏洞根植在固件中

安全
ISACA是全球性企业技术和网络安全协会,日前发布了一份研究报告,称大多数企业没有全面的方案处理固件安全风险。

企业文化和对安全的整体态度,是固件漏洞的主要贡献者——信息系统审计与控制协会(ISACA)

 

ISACA是全球性企业技术和网络安全协会,日前发布了一份研究报告,称大多数企业没有全面的方案处理固件安全风险。

尽管随着包括物联网(IoT)设备在内的企业硬件足迹愈加膨胀,企业越来越意识到固件安全的逐渐加码,他们却依然没有应对固件安全风险的整体方案。

ISACA的“固件安全风险和缓解、企业实践和挑战”报告,强调了对硬编码在只读存储器(ROM)中固件的强有力安全管理控制和审计实践的建立。

该研究基于对横跨北美、欧洲和亚洲的750名网络安全从业者的调查,表明缓解安全风险的基础,是企业以一种安全优先的态度来看待硬件生命周期管理,而不是将之视为纯粹的操作层面问题。

卫生保健安全公司MedSec董事兼CEO贾斯汀·伯恩说:“固件安全不再是一个理论问题。”

“证据显示,攻击者已将固件当做攻击目标。今天的很多数据泄露和漏洞发现都源于固件问题。”

尽管解决方案纷纷出台,大多数企业环境依然尚未准备好。“虽然在这个问题上‘知识就是力量’是很明显的事儿,但该研究充分表明了,企业文化和对待安全的整体态度,很明显是漏洞的主要贡献者。”

在硬件生命周期管理中安全优先的受访者,过半数(52%)的人至少报告了1起感染恶意软件的固件被引入到公司系统中的事件。17%的此类事件造成了实质性影响。

与之相对,硬件生命周期管理中忽视安全的受访者,未知恶意软件发生的概率非常高(73%)。这表明有很多漏洞仍未被检测,没被打上补丁,滋生了安全风险。

知情缺失还对信心造成了影响,71%安全优先度低的受访者,觉得自己没准备好处理网络攻击。

报告称,想要能够解决这些弱点,企业需要加强IT部门和审计人员间的合作与沟通,建立健壮的硬件生命周期管理控制。研究显示,根据审计团队的反馈部署行动,是风险缓解的关键。

补丁管理过程

调查表明,认为自家企业完全遵从固件审计的受访者,63%的人报告了补丁管理过程中更高的有效性。另一方面,不接收任何审计反馈的那些(51%),对固件完整性监视和漏洞修复,没有任何控制。

ISACA董事会主席,Intralot信息安全组长克里斯托斯·迪米特里阿迪斯称:“将固件维护视作运营职能而非安全问题,漏洞被利用的机会就会一直存在。”

是时候在我们的风险评估中强调固件安全的重要性了,基于威胁模型的控制优先也应根植进每一个企业,无论这是否涉及间谍活动、交易完整性损失或业务中断。

报告为企业提出了几条防止固件攻击的建议:

在尽可能的地方,找那些允许企业独立验证设备(服务器、无论、存储、IoT)完整性的厂家。

将设备隔离进不同信任区,让企业可以分别操作可信设备或不可信设备。

建立固件更新策略。

由于持续监视是最重要的,应获取专门用于通过网络监视设备完整性的系统和技术,利用诸如可信平台模块(TPM)之类值得信赖的技术。

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2016-10-26 09:42:13

2011-05-26 10:50:31

2009-07-14 15:39:34

Swing大多数控件

2019-10-09 10:06:22

网络大数据物联网

2015-06-05 10:13:09

2021-09-22 14:12:10

加密货币比特币数据

2022-06-10 10:19:15

路由器漏洞

2019-12-02 18:45:38

JavaScript开发数组

2018-11-02 08:44:17

2021-09-28 16:31:14

加密货币比特币货币

2014-01-02 10:34:54

设计设计师

2015-08-07 14:39:23

2022-07-27 18:56:29

物联网5G

2010-08-03 09:19:50

云计算调查

2014-08-15 14:07:07

2016-11-03 19:14:32

Windows微软

2015-08-27 09:43:00

开发者移动应用

2014-12-18 10:57:27

数据安全敏感数据数据保护

2022-03-31 14:28:43

数据安全企业数据保护

2020-11-20 10:27:55

云计算云迁移IT
点赞
收藏

51CTO技术栈公众号