固件:一种新的攻击载体,需要行业领导解决
星期一, 九月 23, 2019
网络安全制造商和解决方案供应商是时候在解决固件安全问题上发挥领导作用了。
近年来,人们对网络安全危险的认识突飞猛进。2004 年,全球网络安全市场总额为 35 亿美元,到 2014 年,这一数字已超过 1200 亿美元。然而,几乎所有的注意力都集中在攻击载体上,如软件、应用程序、基础设施和人类/社会行为。固件是一种危险的新型攻击载体——代码在其被创建时就已经被装载在了设备上,而且大多数情况下代码对终端用户而言是隐藏的。出于这种固件方面的担忧,引发了围绕中国企业华为 (Huawei) 生产的设备的争论。
固件作为一种新的攻击载体出现,重新点燃了业界由来已久的争论:谁来负责解决设备网络安全问题?是设备制造商,还是购买设备的企业?“先有鸡还是先有蛋” 的争论已经阻碍网络安全的发展太久了。如果不解决这个问题,它还可能破坏物联网 (IoT) 的发展。物联网预计将会带来数十亿个由固件运行的联网设备——相机、打印机、扬声器和家用电器。
政府对责任问题的答案越来越明确。面对日益激烈和复杂的网络攻击,人们一直致力于确保国防部 (DoD) 供应链的安全。这意味着承包商的网络安全行为会受到更严格的审查。这将通过国防部联邦采购条例补充文件,或 DFARs 实现。
DFAR 252.204-7012 涉及有关承包商必须如何保护所涵盖的国防信息,以及他们需要如何报告网络事件的规定。为了执行这些要求,美国国防部启动了网络安全成熟度模型认证 (CMMC) 计划,该计划将要求如果承包商想要参与到国防供应链中,需要在 2020 年底前获得认证。
这些规定还反映出,政府越来越希望企业对其产品中的网络安全漏洞负责。例如,思科 (Cisco) 最近同意支付 860 万美元,以了结有关其违反《虚假申报法》(False Claims Act) 的诉讼。诉讼称,思科没有解决其出售给美国政府的视频监控产品中存在的漏洞。该公司无视内部告密者的警告,在公开披露潜在的网络安全漏洞之前,多年来一直在销售该产品。
当然,这种威胁不仅限于政府网络,还扩展到了私营企业和学术界。最近在马里兰州巴尔的摩举行的一次网络峰会上,美国联邦调查局反情报部门前副主管 Bill Priestap 表示:
我们的对手民族国家正在通过各种手段试图深入了解我们的公司和研究机构,今天我们必须通过更加周全的方案来保护专有信息。除此之外,这需要理解和解决供应链风险,包括与固件相关的风险。
业界对承担此类网络安全责任持反对意见一直为网络安全工作增加了难度和额外成本。很多网络安全产品都会涉及到多家公司的技术,使挑战更加复杂。固件映像和库通常以二进制文件交付,以便嵌入到软件中,这意味着不能访问源代码。在企业对政府领域,需要付出额外时间去保证质量和成本,却不能保证最终的业务。
这些观点有一定的道理,但时代已经发生了变化,企业必须站出来,为自家产品的网络安全承担责任。这已经成为了做生意的筹码。
领头企业也可以把提高固件安全性当做是实现差异化的一种方式。已经开始出现一些拥有新技术的初创公司了。有些公司由前情报人员领导,他们简化了固件分析过程并实现了自动化。可以提取文件系统并运行扫描来检测后门帐户、过期的软件和潜在的零日漏洞。公司现在有更好的技术来检查和验证他们的供应商提供的组件。
现在是时候让网络安全制造商和解决方案供应商在解决固件安全问题上发挥领导作用了。现在有更好的工具,而政府监管也越来越强制要求企业负责。直面挑战将增强人们对物联网设备的信心,提高他们的盈利能力,并确保网络安全行业整体的持续发展。
相关阅读