[调查]83%的公司两年内曾遭固件攻击
微软委托编写的一份新报告发现,只有不到30%的企业将安全预算用于防止固件攻击。
过去两年来,针对企业的固件攻击事件时有发生。然而,大多数受害者过于关注补丁和升级,导致投入固件攻击防御的资源寥寥无几。
近期,受微软委托,Hypothesis Group调查访问了1000名参与企业安全与威胁防护的决策者,发布了新一期微软《安全信号》报告。受访企业中,83%在过去两年里曾遭遇过固件攻击。
近年来,随着软件安全性的提高,固件已成为网络犯罪的热门目标。TrickBot恶意软件去年添加了一个检查设备固件漏洞的模块,意图利用这些漏洞读取、编写或擦除UEFI/BIOS固件。去年十月,一个罕见的固件rootkit曝光,针对的是外交人员和非政府组织。2018年9月,俄罗斯高级持续性威胁组织Sednit部署的首个固件级rootkit现身。
微软企业与操作系统安全合伙人主管David Weston表示,这种趋势还在上升。“我们看到这种趋势呈线性增长。每年都能在固件中发现越来越多的CVE。仅过去18个月以来,微软就观测到至少三个民族国家的黑客利用固件漏洞。”
Weston称:“相比之前的18个月,这称得上是巨大的上升了,毕竟上一个18月周期中我们最多看到了一个。”
固件攻击对网络罪犯颇具吸引力存在几个原因。首先,这是敏感数据(包括凭证和加密密钥)存储在内存中的地方。由于很多检测产品和常规日志看不到固件,入侵者也就有了驻留更长时间的机会。攻击者还能获得被清理后还能留在机器上的好处。
Weston解释道:“大多数情况下,利用固件漏洞可以在被完全清除后重新拿回机器。即使格式化机器,代码只要注入了固件,就能挺过多次清除,所以更难将入侵者‘请’出去。”
权限是另一个因素,因为攻击者能利用固件攻击长驱直入,直捣机器上需要最敏感的权限才能访问的部分。攻击者相当于隐身直击防御核心。
防御此类攻击颇为棘手。固件难以更新:企业通常不得不访问多家不同制造商的网站,下载更新包,然后找个办法推上去。PC领域还好,企业在更新手段上已经取得了一些进展,但推广到联网产品领域就很有挑战性了。
Weston解释称:“说到物联网和嵌入式设备,固件看起来就更难更新了,因为根本没有标准的更新机制。而且,你得对付多个不同硬件和软件生态系统。所以,问题就很复杂。”
去年,微软与英特尔、高通和AMD合作,推出一系列“安全核心”Windows 10 PC,帮助企业更好地防御试图干扰启动过程的攻击。去年6月,Microsoft Defender Advanced Threat Protection中加入了UEFI扫描器,用于评估固件文件系统内的安全状态。
然而,即使微软努力暴露固件可见性,Weston表示:“我不认为我们已经掌控全局了,想要观察到在操作系统层面下发生的攻击是很难的。”而且,不是所有企业都能在短期内切换到新的硬件,很多安全团队还在头疼许多其他问题,暂时无法将固件提上日程表前列。
微软安全团队在博客文章中评论道:“研究显示,当前投资流向安全更新、漏洞扫描和高级威胁防护解决方案。”
尽管83%的受访者经历过固件级攻击,其中73%甚至承认攻击具有破坏性,但仅29%的受访者分配了安全预算来抵御此类攻击。
绝大多数受访者(82%)称,由于花费太多时间在软件修复、硬件升级和缓解内部及外部漏洞等手动任务上,已经没有资源分配给影响重大的安全工作了。多数受访者(62%)想花更多时间在安全策略和为高级威胁做好准备上。
Weston称:“他们花费了大量时间修复非常低级的安全问题,比如广告软件、密钥生成器,或者基础勒索软件,这些工作做多了就没有能力再战略性封堵常见攻击途径了。”而由于安全团队一直困于无法堵住攻击途径,这些低级问题就会持续成为阻碍。受访者报告称,安全团队仅有39%的时间花在预防性措施上。
