固件歷來是設(shè)備安全中最容易被忽視的方面之一，使其特別容易受到不良行為者的攻擊。在微軟2021年3月的一份報(bào)告中，接受調(diào)查的1,000家企業(yè)中有83%在過去兩年中至少經(jīng)歷過一次固件攻擊。到2022年，Gartner估計(jì)，70%沒有固件升級(jí)計(jì)劃的組織將因固件漏洞而遭受破壞。而且，由美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)維護(hù)的國家漏洞數(shù)據(jù)庫顯示，在過去四年中，固件攻擊增加了五倍多。

固件使設(shè)備能夠執(zhí)行其預(yù)期功能并使各種硬件組件正常工作。這些組件可能包括設(shè)備內(nèi)核、存儲(chǔ)設(shè)備性能所需的單個(gè)文件的文件系統(tǒng)，以及負(fù)責(zé)初始化關(guān)鍵硬件組件和分配必要資源的引導(dǎo)加載程序。固件還將敏感信息(例如加密密鑰)存儲(chǔ)在內(nèi)存中。

更新連接設(shè)備上的固件比更新臺(tái)式計(jì)算機(jī)和筆記本電腦上的軟件面臨更大的挑戰(zhàn)。連接設(shè)備包括由不同供應(yīng)商制造的產(chǎn)品，其中許多使用供應(yīng)商特定的硬件和固件。雖然固件更新可以手動(dòng)完成，但這個(gè)過程既耗時(shí)又不切實(shí)際——這導(dǎo)致固件成為一個(gè)很大程度上不受保護(hù)的攻擊媒介。黑客利用固件滲透網(wǎng)絡(luò)、訪問其他系統(tǒng)、破壞數(shù)據(jù)甚至控制設(shè)備。惡意行為者可以通過將惡意軟件嵌入設(shè)備固件來繞過防病毒掃描。

設(shè)備制造商、供應(yīng)商和系統(tǒng)集成商不能忽視固件安全。

自動(dòng)固件檢查和現(xiàn)場(chǎng)監(jiān)控

最嚴(yán)格和最全面的網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該從固件概念開始，并通過開發(fā)、市場(chǎng)發(fā)布和進(jìn)入該領(lǐng)域繼續(xù)。產(chǎn)品安全團(tuán)隊(duì)和開發(fā)人員需要能夠在整個(gè)固件生命周期中檢測(cè)、修復(fù)和監(jiān)控漏洞。他們需要充分了解固件的組成，并能夠檢測(cè)構(gòu)成固件的所有第三方組件和軟件中的漏洞。

一些公司使用開源軟件手動(dòng)測(cè)試他們的固件實(shí)現(xiàn)來分析固件的源代碼。自動(dòng)代碼掃描顯著加快了固件分析。

快速檢測(cè)漏洞應(yīng)該只占公司固件安全工作的二分之一。另一半應(yīng)該涉及建立快速修復(fù)漏洞的能力。減少解決網(wǎng)絡(luò)安全問題的總時(shí)間有助于將產(chǎn)品更快地推向市場(chǎng)。深入了解漏洞的原因和推薦的修復(fù)程序，可以更輕松地進(jìn)行修復(fù)。

在實(shí)施第三方技術(shù)以支持固件安全時(shí)，公司可能希望考慮可以生成報(bào)告的軟件，這些報(bào)告涵蓋檢測(cè)到的固件漏洞的緩解或修復(fù)指南，以及對(duì)常見漏洞和暴露(CVE)的修復(fù)支持。當(dāng)固件處于開發(fā)階段時(shí)，可以檢測(cè)到已知和未知的漏洞，從而加快修復(fù)速度。此外，公司應(yīng)考慮支持在現(xiàn)場(chǎng)使用連接設(shè)備后持續(xù)進(jìn)行固件安全分析和檢測(cè)的現(xiàn)場(chǎng)監(jiān)控功能;此類工具可幫助公司在漏洞出現(xiàn)時(shí)更好地準(zhǔn)備固件升級(jí)和緩解計(jì)劃。

標(biāo)準(zhǔn)和法規(guī)的作用

汽車、醫(yī)療保健、制造和消費(fèi)行業(yè)中連接設(shè)備的制造商、供應(yīng)商和系統(tǒng)集成商還應(yīng)根據(jù)其設(shè)備的相關(guān)標(biāo)準(zhǔn)和法規(guī)進(jìn)行固件實(shí)施分析。制造商和開發(fā)商應(yīng)在固件開發(fā)過程中以及在現(xiàn)場(chǎng)使用時(shí)評(píng)估其合規(guī)性準(zhǔn)備情況。

全面的固件實(shí)施分析和監(jiān)控可以幫助公司評(píng)估跨行業(yè)標(biāo)準(zhǔn)和法規(guī)的合規(guī)性準(zhǔn)備情況，例如：

• ISO21434道路車輛網(wǎng)絡(luò)安全工程
• IEC62443-4-1和62443-2-4用于工業(yè)自動(dòng)化和控制系統(tǒng)安全
• 物聯(lián)網(wǎng)消費(fèi)產(chǎn)品的ETSI303645和UL物聯(lián)網(wǎng)安全評(píng)級(jí)

保護(hù)固件是保護(hù)連接設(shè)備的關(guān)鍵步驟。在開發(fā)階段，固件分析和漏洞檢測(cè)可以幫助連接設(shè)備的利益相關(guān)者防止攻擊、快速修復(fù)問題并加快安全性和合規(guī)性檢查以加快上市時(shí)間。

關(guān)注盛鼎電氣防爆檢測(cè)中心，了解更多資訊！