嵌入式開(kāi)發(fā)：為什么固件攻擊是最大的安全威脅

計(jì)算機(jī)或嵌入式設(shè)備在一天開(kāi)始時(shí)通電，首先啟動(dòng)的是什么？設(shè)備的固件。在嵌入式開(kāi)發(fā)中，固件是嵌入式設(shè)備系統(tǒng)安全的基礎(chǔ)，從智能冰箱等常見(jiàn)家用物品到為主要基礎(chǔ)設(shè)施供電的工業(yè)控制系統(tǒng)。

 

固件對(duì)設(shè)備運(yùn)行至關(guān)重要，這意味著對(duì)固件的成功攻擊不是一般的安全威脅。當(dāng)有人入侵固件時(shí)，他們已經(jīng)獲得了沒(méi)有病毒掃描程序或操作系統(tǒng)工具可以檢測(cè)或修復(fù)損害的訪問(wèn)權(quán)。當(dāng)黑客成功攻擊固件時(shí)，他們就在整個(gè)系統(tǒng)上獲得了強(qiáng)大的立足點(diǎn)。

 

大多數(shù)用戶——無(wú)論是個(gè)人還是企業(yè)——都對(duì)威脅視而不見(jiàn)。微軟2021 年3月的安全信號(hào)報(bào)告發(fā)現(xiàn)，令人震驚的是，80%的企業(yè)在過(guò)去兩年中至少遭受過(guò)一次固件攻擊。在報(bào)告中，商業(yè)領(lǐng)袖指出，他們發(fā)現(xiàn)很難發(fā)現(xiàn)威脅，固件漏洞因缺乏意識(shí)而加劇。來(lái)自國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）的數(shù)據(jù)還顯示，過(guò)去20年來(lái)固件漏洞激增。

 

雖然對(duì)固件研究和嵌入式開(kāi)發(fā)的日益關(guān)注有助于發(fā)現(xiàn)威脅的激增，但它們不僅僅是最小的風(fēng)險(xiǎn)。這些安全威脅與眾多威脅一樣嚴(yán)重，NVD數(shù)據(jù)表明，發(fā)現(xiàn)的大多數(shù)問(wèn)題都是嚴(yán)重或高度嚴(yán)重的。

 

固件攻擊的潛在后果正如你所能想象的那樣令人不快——威脅參與者可能會(huì)等待數(shù)年，直到發(fā)動(dòng)攻擊最有意義為止；他們還可以收集信息并控制整個(gè)系統(tǒng)，使基礎(chǔ)設(shè)施無(wú)法運(yùn)行。

 

行業(yè)行為的影響

行業(yè)行為是固件攻擊增加的根源。在過(guò)去的10年里，人們一直呼吁增加系統(tǒng)和軟件的標(biāo)準(zhǔn)化，包括開(kāi)放源碼的開(kāi)發(fā)。雖然業(yè)界遵從了這一要求，但標(biāo)準(zhǔn)化程度的提高拓寬了攻擊面。

 

固件攻擊盛行的另一個(gè)重要原因是缺乏對(duì)嵌入式系統(tǒng)固件的升級(jí)。嵌入式系統(tǒng)固件的使用壽命通常要比同類產(chǎn)品長(zhǎng)得多，大約可以部署10年或更長(zhǎng)時(shí)間。由于這些系統(tǒng)已經(jīng)部署了相當(dāng)長(zhǎng)的時(shí)間，這意味著應(yīng)該更密切地監(jiān)控固件。

但通常是這樣嗎？

可惜，答案是否定的。在嵌入式開(kāi)發(fā)中，許多嵌入式系統(tǒng)在其生命周期中沒(méi)有進(jìn)行固件升級(jí)，盡管固件提供商提出了建議。為什么？一些人說(shuō)他們擔(dān)心他們的系統(tǒng)可能無(wú)法承受升級(jí)，而另一些人認(rèn)為他們無(wú)法承受可能導(dǎo)致的停機(jī)時(shí)間。

 

實(shí)際上，停機(jī)時(shí)間可以安排為與其他日常維護(hù)同時(shí)進(jìn)行，而攻擊的成本遠(yuǎn)遠(yuǎn)大于系統(tǒng)離線的幾個(gè)小時(shí)。根據(jù)IBM Security的《2022年數(shù)據(jù)泄露成本報(bào)告》，關(guān)鍵基礎(chǔ)設(shè)施攻擊的平均成本為482萬(wàn)美元。如果不實(shí)施推薦的補(bǔ)丁和系統(tǒng)升級(jí)，系統(tǒng)將面臨這些攻擊，關(guān)鍵的工業(yè)控制系統(tǒng)可能會(huì)落入錯(cuò)誤的手中。至關(guān)重要的是，系統(tǒng)集成商要注意他們的固件，在他們發(fā)現(xiàn)問(wèn)題之前，不要讓它處于無(wú)人看管的狀態(tài)，因?yàn)樵谶@一點(diǎn)上，補(bǔ)救可能為時(shí)已晚。

 

一個(gè)有用的類比是把固件想象成一個(gè)五層樓的建筑，包括地下室。除非供水、電力系統(tǒng)或暖通空調(diào)出現(xiàn)問(wèn)題，否則地下室通常無(wú)人看管。

 

系統(tǒng)也是如此。嵌入式開(kāi)發(fā)人員考慮保護(hù)他們的操作系統(tǒng)和應(yīng)用軟件，而較少關(guān)注固件，固件是系統(tǒng)的基礎(chǔ)。在系統(tǒng)無(wú)法正常啟動(dòng)或硬盤(pán)無(wú)法正常工作之前，我們很容易認(rèn)為一切正常。對(duì)固件安全性的自滿必須被視為對(duì)組織的一種威脅。

 

了解到固件攻擊正在增加，大多數(shù)公司可以采取以下措施來(lái)保護(hù)他們的系統(tǒng)：

 

1.了解固件的用途以及所用系統(tǒng)上的固件。

2.尋找提供平臺(tái)信任根的產(chǎn)品，這是計(jì)算系統(tǒng)安全操作所依賴的基礎(chǔ)。

3.確保固件已經(jīng)過(guò)驗(yàn)證。

4.了解固件損壞時(shí)保護(hù)系統(tǒng)的機(jī)制。

5.了解如何還原和恢復(fù)固件。

6.已經(jīng)加強(qiáng)了IT政策，例如定期更新固件的做法

 

行業(yè)的下一步

對(duì)企業(yè)來(lái)說(shuō)，控制其固件安全性很重要，但從政府層面更好地執(zhí)行也是提高整個(gè)供應(yīng)鏈安全性的關(guān)鍵。歐盟正在采取積極措施，制定強(qiáng)化的網(wǎng)絡(luò)安全要求法規(guī)，稱為《網(wǎng)絡(luò)彈性法案》，該法案要求在產(chǎn)品的整個(gè)生命周期內(nèi)提高安全性，并要求硬件和軟件生產(chǎn)商建立網(wǎng)絡(luò)安全框架。

 

雖然企業(yè)應(yīng)該注意到固件攻擊的增加，但對(duì)于采取合理預(yù)防措施保護(hù)其系統(tǒng)并遵循建議步驟的組織來(lái)說(shuō)，這并不是一個(gè)主要問(wèn)題。隨著歐盟采取行動(dòng)實(shí)施更好的法規(guī)，希望嵌入式開(kāi)發(fā)人員也能效仿，減少固件攻擊的數(shù)量。