在軟件安全性逐步提升的同時,,固件和硬件安全成為熱點安全問題。實際上,,固件近年來已成為攻擊者的熱門目標,。
基于固件的惡意軟件很大程度上被安全團隊忽略,這使服務器,、存儲和網絡設備的固件成為企業(yè)安全的“軟肋”。
固件存儲有證書、密鑰等敏感信息,,成為攻擊者的重要目標。83%的被調查企業(yè)在過去2年曾經遭遇過固件攻擊,。
固件通常是常規(guī)漏洞管理工具和流程的盲區(qū),。大多數漏洞掃描器關注的是軟件,回避了固件漏洞和硬件配置錯誤掃描,。
企業(yè)對固件安全重視程度必須等同于操作系統(tǒng)和應用安全,。Gartner預測:到2022年,缺乏固件更新方案的機構,,70%將會因固件漏洞遭遇數據泄露,。
一,、固件成熱門攻擊目標
2020年是具有歷史挑戰(zhàn)性的一年,在軟件安全性逐步提升的同時,,固件和硬件安全成為熱點安全問題,。實際上,固件近年來已成為攻擊者的熱門目標和日益具有吸引力的攻擊入口,。
作為一種特定軟件,,固件可以提供對設備硬件的低級控制,一般存儲在只讀存儲器(ROM),、可擦可編程只讀存儲器(EPROM)或閃存中,。
近年來,固件漏洞的數量激增,。固件漏洞可以在設備內部任何組件中存在,,包括UEFI或者BIOS系統(tǒng)、驅動器,、網絡適配器,、內存、處理器,、顯卡以及很多其它的集成或外圍組件,。2016年之后,美國國家漏洞數據庫中漏洞數量每年都創(chuàng)出新高,。2019年,,暴出的固件漏洞數量比2018年增加了43%,比2016年增長了7.5倍,。
固件漏洞的激增不僅代表攻擊面迅速擴大,,同時表明攻擊者越來越關注固件。根據微軟2021年委托進行的一項調查:83%的被調查企業(yè)在過去兩年曾經遭遇過固件攻擊,。美國國家標準技術研究院(NIST)國家漏洞數據庫的數字則顯示,,過去4年中,針對固件的攻擊增加了五倍以上,。在硬件生命周期報告中,,將安全作為優(yōu)先事項的研究參與者,約有一半(52%)宣稱,,至少遭遇過一起惡意軟件感染固件引入了公司系統(tǒng)的事件,,而17%的參與者表示,該事件帶來了實質影響,。
通過固件攻擊,,攻擊者可以監(jiān)視用戶活動、竊取數據和對計算機實現遠程控制,。
過去兩年安全專家發(fā)現了數種固件攻擊,。例如RobbinHood勒索軟件,,利用固件獲得對受害者計算機的根訪問權,加密所有文件并勒索贖金,。2019年5月,,數個美國城市政府遭受這一勒索軟件的攻擊。
另一個案例是Thunderspy,,這是一種利用PC硬件組件的直接內存訪問(DMA)功能進行的攻擊,。這種攻擊非常隱蔽,可在不留痕跡的情況下讀取和復制計算機上的所有數據,,即使硬盤驅動器被加密,、計算機被鎖定或進入睡眠狀態(tài),攻擊也可能發(fā)生,。
固件為何如此脆弱,?答案很簡單:它設計時從沒有考慮安全問題?!哆B線》雜志認為,,“大多數硬件制造商都不會對系統(tǒng)中嵌入的固件進行密碼簽名,也不會在設備中包括身份驗證功能,,以識別簽名的固件,。
二、被忽視的攻擊面
從智能手機到服務器,,幾乎所有設備都包含固件,。計算機包含許多固件,從USB鍵盤到圖形和聲卡,,應有盡有,;即使是計算機電池也包含固件??紤]到固件的廣泛普遍性,,人們會自然地期望固件安全問題會被置于首位考慮——但遺憾的是,這距離事實很遙遠,。
與頻頻暴出的固件漏洞,、日益猛烈的固件攻擊形成對比的是,固件依然是設備中容易被忽視的組件,,日益增長的固件攻擊似乎沒有得到足夠的關注。
固件通常是常規(guī)漏洞管理工具和流程的盲區(qū),。大多數漏洞掃描器關注的是軟件,,回避了固件漏洞和硬件配置錯誤掃描。另外,,對于指定的設備,,人們并不總是清楚其內部是否安裝了最新固件,,有漏洞的固件是否已經被正確地更新。這就給CISO們和安全團隊提出了挑戰(zhàn),,他們需要具備確認產品固件狀態(tài)的能力,,而不是完全靠他們提供商的漏洞更新流程。
基于固件的惡意軟件很大程度上被安全團隊所忽略,,這使得服務器,,存儲和網絡設備中的固件成為企業(yè)安全的”軟肋“。根據微軟的調查,,企業(yè)對固件保護沒有給予足夠的投入,,只有29%的安全預算被用于固件保護;21%的被調查的決策者承認,,公司的固件數據未受到任何監(jiān)測,。
目前不要指望固件漏洞的增長速度會減弱。一方面,,筆記本電腦,,服務器和網絡設備中組件的數量和復雜性不斷增加。在英特爾披露的2020年的安全漏洞中,,93個屬于驅動和其他軟件漏洞,,66個為固件漏洞,58個為固件和軟件組合漏洞,。此外,,從攻擊者的角度來看,固件是具有異常高價值的戰(zhàn)略目標,。固件使攻擊者可以輕易訪問可被竊取或用于勒索的數據,。此外,通過固件攻擊,,可以對組件或整個設備進行完全禁用,。固件還為攻擊者的長期攻擊提供了途徑。
安全公司Eclypsium認為,,三大因素導致固件迅速發(fā)展成為網絡安全的關鍵領域,,其中包括:暴出的固件漏洞數量不斷增加;在野攻擊越來越多地針對固件漏洞,;固件漏洞利用為攻擊者提供了最高級別的特權和系統(tǒng)控制權,,攻擊者的動機可以包括,獲得最高特權級別,、繞過傳統(tǒng)安全防護,、持久攻擊、隱形,以及對設備的破壞,。
目前,,安全團隊不能完全了解作為固件嵌入的代碼量以及其基礎結構中包含固件的組件數量。以筆記本電腦為例,,其包含的數十個組件都擁有自己的固件(通常有數百萬行代碼),,容易受到可能影響漏洞和設計缺陷的影響。此外,,硬件設計周期很長,,固件更新被越來越多地用于解決硬件問題,這也引入了新的攻擊媒介,。
三,、固件漏洞同樣成”軍火庫“標配
固件漏洞特性使其成為近十年來國家支持的網絡黑客和APT組織實施攻擊的首選。針對固件層的惡意代碼可以使攻擊者代碼首先被運行,,從而實現搶占操作系統(tǒng)的目的,。這樣攻擊者就可以控制boot程序,安裝系統(tǒng)補丁,,破壞安全控制,,獲取至高權限,從而控制整臺設備,。固件漏洞同時也使得攻擊具備可靠的持久性,。攻擊者通過在固件而不是驅動內注入惡意代碼,就可以保證惡意代碼在系統(tǒng)重新鏡像,,甚至更換存儲驅動器后仍然存在,。
2020年,固件安全形勢發(fā)生了重要的變化,。出于經濟動機的網絡黑客開始借鑒APT組織的做法,,針對固件開展了聲勢浩大的勒索軟件攻擊。APT和勒索軟件發(fā)起者對企業(yè)VPN和網絡基礎設施實施大規(guī)模的攻擊,。像Trickbot這種流行的惡意軟件集成了新的針對固件的檢測能力,,同時也發(fā)現了在野的新型固件植入和勒索軟件攻擊方式。
總體上講,,2020年的網絡安全態(tài)勢是過去這些年的延續(xù)和加速——固件漏洞不僅是由國家贊助的網絡黑客利用的秘密工具,,它也越來越多地成為許多其他網絡惡意攻擊者的”軍火庫“標配。
隨著越來越多的聯網設備推出,,固件安全問題將成倍放大,。2020年聯網設備預計將達到300億。2025年,,聯網的IoT設備將達到750億個,。在這樣互聯的世界中,,固件安全問題對機構安全和個人隱私構成了危險威脅。
四,、固件安全自評估
固件風險影響到企業(yè)IT行業(yè)技術棧的各個方面——包括終端筆記本、服務器和云計算基礎設施,、網絡基礎設施以及供應鏈技術本身,。目前機構紛紛對遠程辦公模式提供支持,攻擊者也隨時準備利用遠程辦公用戶聯網所需的基礎設施發(fā)起攻擊,。企業(yè)必須根據安全形勢的最新進展,,使用工具和流程及時評估和解決安全風險。
Eclypsium在其發(fā)布的《評估2021年企業(yè)固件安全風險》報告中,,根據過去一年主要發(fā)展趨勢,,為企業(yè)領導者提供了固件安全自評估的方法。
機構的固件安全評估需要回答如下問題:
1. 漏洞管理流程和工具是否包含固件安全,?
2. 是否可以檢測固件威脅及固件篡改行為,?
3. 對技術供應鏈風險是否做到可視和可控?
4. 安全運營中心和IR團隊是否能解決固件威脅,?
5. 是否準備好應對固件相關業(yè)務風險,?
這五大問題并非固件安全話題的完整清單,但可提供固件安全自評估的方法,。
1,、漏洞管理流程和工具是否包含固件安全?
漏洞管理是任何安全活動最基本的工作之一,。盡管對于軟件和操作系統(tǒng)來說,,漏洞掃描和程序修補工作已成為了安全標準實踐,但是對于設備內部固件,,企業(yè)還是缺乏有效的工具來執(zhí)行同樣嚴格的漏洞審核程序,。企業(yè)對固件安全的重視程度必須等同于操作系統(tǒng)安全和應用安全。
2020年數起安全事件突顯了固件漏洞風險的重要性和緊迫性:
面向VPN和網絡漏洞的APT和勒索軟件攻擊
2020年,,最主要來自國家支持的網絡黑客,,以及包括Revil Sodnikibi、NetWalker,、Maze等勒索軟件瞄準的首要目標就是VPN漏洞,。這些漏洞通常與網絡設備固件直接關聯,而且漏洞一旦被披露,,就很快能被攻擊者利用,。例如,廣受攻擊的CVE-2019-19781漏洞影響到的是Citrix設備固件,。2019年12月該漏洞剛剛被披露,,2020年1月,,攻擊者就利用其實施網絡攻擊。其它受攻擊的供應商還包括Cisco,、Pulse Secure,、F5。這些攻擊正是利用了企業(yè)對雇員在家工作的支持需求不斷增加,,借助其理想的網絡傳輸通道,,將惡意軟件傳遞到企業(yè)用戶端。
泛濫的BootHole漏洞
2020年7月披露的Boothole漏洞,,影響到了大多數Windows和Linux系統(tǒng),,攻擊者可在boot過程中實現任意代碼執(zhí)行攻擊,即使Secure Boot已經配置的情況下也不受影響,。攻擊者可以在有漏洞的系統(tǒng)內安裝超級bootkit,。
針對固件漏洞的Trickbot掃描
很多公司并不掃描固件漏洞,但流行的惡意軟件卻做了這件事,。Trickbot惡意軟件增加了名為”TrickBoot“的新模塊,,以檢查固件內部是否存在眾所周知的安全漏洞,這些漏洞使得攻擊者可以對設備的UEFI/BIOS固件執(zhí)行讀,、寫或者刪除操作,。
企業(yè)需要補充針對固件漏洞的管理工具和流程。要控制風險就必須掌握包括筆記本電腦,、服務器,、網關等一系列設備或組件的安全情況。
安全建議
將固件管理集成到現有的硬件和操作系統(tǒng)生存周期流程,。
在采集的數據中增加固件屬性,,并作為資產管理流程的一部分,更好地了解潛在攻擊面,。
除了系統(tǒng)固件,,還要掌握設備組件中的固件漏洞情況。
增加針對固件的常規(guī)性自動漏洞和配置掃描,,包括bootloader和dbx數據庫,。
考慮使用能夠提高固件更新流程效率的工具。
將固件脆弱性度量納入到現有的漏洞管理流程報告中,。
使用如Shodan,、Nmap等工具對面向外部的資產進行漏洞可發(fā)現性評估,掌握敵手在初始偵查踩點階段會掌握什么樣的信息,。
2,、是否可以檢測固件威脅及固件篡改行為?
固件漏洞威脅是攻擊者能夠使用的最有力的工具之一,。企業(yè)必須有對應的工具和流程對這一至關重要層面進行威脅檢測,。
2020年著名的固件威脅包括:
TrickBot增加了新型固件模塊”TrickBoot“
新發(fā)現的TrickBoot模塊是惡意軟件發(fā)展邁出的重要的一步,。TrickBot被各種各樣的惡意軟件包括臭名昭著的Ryuk勒索軟件所廣泛使用,且一直長期被黑客們積極維護,。提權,、網絡傳播、建立持久性,,TrickBot的這些能力使其在勒索軟件殺傷鏈中扮演了至關重要的角色,,此次TrickBoot大大升級了這些能力,在UEFI固件內部的持久性和提權方面實現了重要的突破,。
新發(fā)現的在野UEFI植入攻擊
研究人員發(fā)現, 植入在UEFI中的MosaicRegressor惡意軟件可以用于執(zhí)行針對性攻擊,,它能夠長期潛伏在目標組織內部,、逃避網絡安全控制、發(fā)送惡意負載,。該惡意軟件始終在野活動,,且在今后兩年乃至更長時間內都無法被殺毒產品檢測到。值得注意的是,,MosaicRegressor很大程度上依賴于Hacking Team的公開組件Vector-EDK UEFI rootkit,,這表明攻擊者可以輕易地重新打包和使用已有的惡意軟件植入工具來發(fā)動新的攻擊。
越來越多針對固件的勒索軟件
TrickBoot不是唯一的針對固件和設備底層的勒索軟件,。新發(fā)現的EFILock使用了惡意的bootloader來破壞boot過程,,從而控制肉雞的權限。EFILock最初是針對沒有使用Secure Boot的機器,。然而,,BootHole漏洞卻可以讓類似EFILock的攻擊軟件去攻擊一臺哪怕已經配置了SecureBoot的設備。2020年其它針對固件的勒索軟件也依然繼續(xù)活躍,,例如針對MBR的Thanos以及QSnatch,,這些軟件通過操控QNAP NAS設備的固件導致數據備份功能失效,阻止固件程序更新程序運行,。
針對遠程工作者和SOHO基礎設施的攻擊
2020年對于遠程工作者來說,,VPN不是唯一需要擔心的方面。企業(yè)向遠程工作模式的轉移不斷增加了遠程連接對BYOD(Bring Your Own Device)和SOHO網絡設備的依賴程度,。針對這些設備固件的攻擊成為了網絡攻擊的重要方面,。復活的Mirai botnet利用了F5 BIG-IP控制器漏洞來感染loT和其他Linux設備。攻擊者針對遠程辦公員工所依賴的家庭辦公網絡設備發(fā)動了攻擊,,例如,,針對SOHO Cisco routers的在野攻擊以及之前俄羅斯黑客發(fā)動的針對企業(yè)和SOHO網絡設備的大型網絡攻擊等都是這種攻擊類型。
以上攻擊事件突出了攻擊者攻擊固件層可以有多種途徑,。然而,,不管攻擊者使用的是惡意軟件,、遠程網絡連接還是物理抵近,主要的攻擊策略還是一致的:攻擊者利用存在安全漏洞的固件,,控制整個設備,,并且在保持攻擊長期持續(xù)存在的同時幾乎不被傳統(tǒng)的安全軟件察覺。
為了應對以上安全風險,,企業(yè)必須能夠驗證所有固件的完整性,,檢測固件內部已知或未知的安全漏洞,包括持續(xù)監(jiān)控檢測固件篡改行為,,以及發(fā)現可疑行為時的檢查,。不幸的是,固件和硬件安全問題對企業(yè)來說通常是個挑戰(zhàn),。傳統(tǒng)的安全控制常局限于操作系統(tǒng)和軟件層,,企業(yè)對底層安全威脅缺乏一定的認知。
安全建議
檢查現有的針對固件攻擊和資產篡改行為的檢測能力,,包括檢測固件篡改行為的技術控制手段,、篡改事件發(fā)生時的告警機制、將告警信息集成到企業(yè)的SIEM以及其它告警響應工具和流程,。
檢查控制權丟失事件(控制權丟失或被盜后又重新恢復)或者有通往高風險環(huán)境的數據流發(fā)生時,,對設備信任關系的相關檢測技術和流程,評估設備遭受攻擊的可能性以及未檢測到類似攻擊時對設備的影響,。
將固件攻擊納入2021年的紅紫隊安全活動計劃,。
增加自動監(jiān)控固件組件完整性的安全工具,對任何破壞性行為給予告警,。
綜合使用白名單,、威脅特征庫、行為分析等安全機制來對已知和未知的固件植入行為進行檢測,。
3,、對技術供應鏈風險是否能做到可視和可控制?
大多數組織慣常去處理來自外部的威脅,,比如惡意軟件,。其實技術供應鏈風險本身也在迅速成為重要的風險源頭。早在設備被傳遞或箱裝到最終用戶手中之前,,供應鏈方面漏洞或破壞就已經可以影響設備安全,。這給設備安全提出了特有的挑戰(zhàn),因為它改變了設備初始的預設信任狀態(tài),。即使在設備部署之后,,攻擊者仍可以利用企業(yè)和供應商之間的信任關系,對供應商的升級程序進行破壞活動,。
另外,,許多廠商組件包含了大量第三方上游供應商代碼,,這些代碼也可能會帶有安全漏洞,存在安全風險,。組織很容易從廠家繼承這些安全風險,,或者從可信的合作方繼承固件相關的安全問題,給設備運營帶來潛在的嚴重后果,。
美國智庫大西洋理事會(Atlantic Council)的《打破信任:不安全軟件供應鏈中的危機陰影》報告,,重點強調了這方面的安全問題。報告基于過去10年(2010-2020年)公開報道的115個軟件供應鏈攻擊和泄露事件,,其中包括針對聯想設備,、微軟內核、loT設備以及外部組件的供應鏈攻擊事件,。
供應鏈安全方面的挑戰(zhàn)包括:
技術供應鏈漏洞的復用
披露的一系列事件凸顯了在常用的軟件,、軟件庫以及組件方面存在的嚴重威脅。Ripple20和Amnesia:33漏洞實際代表了TCP/IP庫中的幾十個漏洞,,影響了全球大量的供應商。在供應鏈中使用含有漏洞的代碼意味著將會影響許多設備,,從筆記本電腦,、服務器到打印機、醫(yī)療設備以及重要的基礎設施,。同樣,,Urgent/11漏洞也影響了工業(yè)界大多數流行的實時操作系統(tǒng)(RTOS),在漏洞披露后的一年內,,仍有97%的設備未及時打上安全補丁,。
對升級基礎設施的破壞
安全威脅也可以借助升級程序滲透到供應鏈。在披露的SUNBURST惡意軟件攻擊中,,攻擊者通過破壞SolarWinds的升級基礎設施,,對超過18000個SolarWinds用戶植入惡意后門。該攻擊事件與之前的ShadowHammer攻擊原理類似,。ShadowHammer攻擊也是通過破壞ASUS升級服務器向成千上萬的用戶推送惡意軟件,。在這兩起攻擊事件中,升級程序都含有正確的簽名,,看上去都是有效的,。雖然SUNBURST攻擊與固件攻擊沒有直接關聯,但是執(zhí)行該攻擊的可疑攻擊者之前曾經發(fā)動過針對固件的持久性攻擊,。此外,,鑒于完全正確的系統(tǒng)也有遭受破壞的可能性,對固件開展異常行為的監(jiān)控則顯得尤其重要,。
供應鏈復雜性導致的升級緩慢
供應鏈問題即使被發(fā)現之后也不是很容易解決,。因為技術供應鏈本身依賴很多因素,。軟件升級只需從單一供應商下載升級程序即可,固件升級卻需要一群供應商的合作才能完成,,每個供應商只負責完成自己部分的測試,。BootHole漏洞就是明證。該漏洞影響了幾乎所有的Linux版本,,需要每個版本都發(fā)布新的bootloader墊片,。這個問題還延伸至任何使用具有Microsoft Third Party UEFI Certificate Authority 標準的Windows 設備。OEM廠商和操作系統(tǒng)供應商在執(zhí)行升級操作前會非常謹慎,,因為更新程序有可能帶來嚴重的穩(wěn)定性問題,。從一個供應鏈問題被披露到企業(yè)用戶真正安裝上補丁,可能會耗費大概一年乃至更長的時間,。這種不確定性促使組織有必要能夠獨立掌握他們設備漏洞的情況,。
解決供應鏈風險需要工業(yè)界以及個體企業(yè)的共同努力。美國國家標準與技術研究(NIST)和國家網絡安全卓越中心(NCCoE)已經把供應鏈風險管理(SCRM)置為最高優(yōu)先級,。NCCoE宣布的供應鏈保障計劃,,在《供應鏈安全保障驗證計算設備完整性》的報告中發(fā)布了更多的細節(jié)。該計劃對現代技術供應鏈相關的風險給出了定義,,旨在為組織提供能夠使用的安全解決方案,,幫助他們驗證設備的完整性,確保組件在生產或發(fā)布過程中沒有被篡改,。
不像有些其它與供應商有關的風險,,供應鏈風險管理不能完全傳送到供應商。SUNBURST事件已經表明,,在SCRM范疇內,,組織必須保留部分對企業(yè)產品安全的掌控權,以便從內部直接解決由于供應鏈完整性問題的安全風險,。隨著像SUNBURST這樣的軟件在進一步對組織造成破壞,,”信任:但要核查“的理念將會持續(xù)深入。組織需要有驗證設備固件完整性的工具,,確保新購的設備是正確的,,其未在供應鏈中被惡意篡改。同樣的,,公司必須能力檢測設備固件潛在的弱點或漏洞,。
安全建議
增加掃描程序,對新購硬件的固件完整性或固件漏洞進行評估,,尤其是對組織中具有重要功能或地位的資產進行評估,。
在任何的收購流程中增加對硬件基礎設施的掃描。
就固件安全對潛在的技術或服務供應商進行評估,并將該工作作為整個供應商評估內容的一部分,,納入盡職調研內容,。
對供應商固件升級程序和基礎設施進行弱點評估,例如固件升級程序不帶簽名或者升級時不加任何其它檢查措施,。
經常檢查供應商的更新程序,,驗證其是有效來源并且無安全漏洞。
常態(tài)化監(jiān)控固件行為,,識別出惡意或不正常的固件行為,。
為保證產品和服務的發(fā)布過程中第三方組件的安全性,明確采購和供應商程序中包含了相關各方的安全責任劃分,。當把責任委派到了組織之外的其他團隊,,詢問清楚其管理安全風險的具體細節(jié)。
闡明企業(yè)會如何處理那些通過供應網絡鏈一直延伸到供應商或合作方的固件問題,。
4,、安全運營中心(SOC)和IR團隊是否有能力解決固件威脅?
攻擊者使用固件漏洞是因為固件級植入具備持久性,,能逃避操作系統(tǒng)級的安全防護,。因此,組織在威脅捕獲,、事件響應,、故障恢復過程時,必須將固件威脅納入分析范圍,。如果沒有能力驗證固件完整性,移除固件植入,,組織會陷入不斷被重復感染的境地,。
組織應該在大量事件響應活動中考慮固件安全,包括
告警
組織需要理解現有的告警基礎設施將如何應用于固件安全告警,。SIEM有無處理固件告警,?安全措施有無根據固件完整性和行為、設備增加的惡意代碼,、BMC連接等異常給予告警,?
狩獵和取證
取證流程是否延伸到固件分析?威脅狩獵工具能否查找環(huán)境中不尋常的固件行為,?狩獵人員有無工具手段對可疑固件進行分析,?
IR工作手冊和知識庫
關于何時將固件問題納入診斷和響應流程內,IR團隊有無進行過相關培訓,?IR知識庫中有無覆蓋固件這一可能的初始感染載體,?在移動裝置被重新連接到網絡前,團隊是否已經建立相關手冊說明,?
2020年的攻擊事件突出表明將固件納入標準IR工作內容的重要性,。
MosaicRegressor
2020年披露的MosaicRegressor是在野發(fā)現的最隱蔽的UEFI rootkit,。MosaicRegressor讓攻擊者可在目標組織持久存在,即使系統(tǒng)被重新鏡像或完全更換了硬盤驅動器也無濟于事,。該植入方法復用了很容易獲得的 Hacking Team的Vector-EDK UEFI rootkit組件,,這表明類似的攻擊威脅今后將很容易發(fā)展壯大。MosaicRegressor同前幾年使用的LoJax惡意軟件UEFI rootkit類似,,都是通過固件攻擊來保持持久的侵入性以發(fā)動更大規(guī)模的攻擊,。
QSnatch勒索軟件
2020年QSnatch勒索軟件仍然繼續(xù)構成安全威脅,攻擊者利用該軟件能夠攻擊所有的QNAP NAS設備,,他們不僅針對固件發(fā)起攻擊,,而且增加了一定的措施確保固件永遠無法更新。
Citrix和VPN攻擊
在本報告中,,針對網絡基礎設施的攻擊是一直貫穿始終的話題,,也將應用在威脅狩獵和事件響應活動中。安全團隊不僅需要考慮網絡設備本身固件的安全還要考慮他們提供服務的設備固件的安全,,自然需要對網絡設備完整性進行驗證,,確保沒有被破壞。一旦發(fā)現可疑攻擊,,安全團隊需要對終端用戶和內部設備進行完整性檢查,,確保設備固件沒有被經由VPN傳播的惡意軟件所攻擊。
SUNBURST
威脅狩獵需要考慮SUNBURST攻擊所帶來的安全啟示,。SUNBURST攻擊者優(yōu)先考慮了攻擊的隱蔽性,,執(zhí)行該攻擊的可疑攻擊者之前曾經發(fā)動過針對固件的持久性攻擊。因此,,被SUNBURST影響的組織必須對設備固件層進行主動監(jiān)控,,對被SUNBURST攻擊過的設備進行固件級取證。
其它形態(tài)的惡意軟件也在不斷采取固件層攻擊策略,,對于IR團隊和威脅狩獵團隊來說,,對設備固件進行安全分析的工作顯得更加重要。
安全建議
作為事件響應活動的標配,,對有可能被破壞的設備執(zhí)行固件漏洞掃描,。
將設備重新投入使用前,對設備內部所有固件執(zhí)行固件掃描確認固件完整性,。
為威脅狩獵團隊配備能夠對異常固件行為進行監(jiān)控的工具,,對可疑設備進行進一步分析。
確認現有的安全工具以及SIEM在固件告警方面存在的不足,。
在標準的IR收集和響應手冊中增加固件安全檢查內容,。
確保團隊有合適的工具和服務能對固件執(zhí)行取證分析,從而收集針對固件的攻擊證據。
評估和更新IR知識庫,,增加固件安全信息,。
5、是否準備好應對固件相關業(yè)務風險,?
固件安全風險的上升不僅僅關系到企業(yè)安全團隊,。行業(yè)分析師、監(jiān)管機構甚至普通大眾都在共同關注,,組織必須準備好迎接隨之而來的新安全治理和潛在業(yè)務風險,。
Gartner和Forrester相關報告中,對固件安全狀態(tài)以及未及時解決固件漏洞的企業(yè)給出了嚴重警告,。這是一個強烈的信號,,表明固件安全威脅的影響力已經不再停留于國家級網絡攻擊,或是黑客大會的熱門話題,。機構要準備好回答來自管理方,、合作方以及用戶提出的關于固件安全保障的相關問題。
基于固件技術的勒索軟件攻擊事件突出表明了在組織整個運營過程中固件安全的重要性,。攻擊者利用固件不僅可以控制設備實施勒索,,同時也可以導致設備完全失效。固件影響不僅限于惡意攻擊,。關鍵設備中如存在未更新的固件則會導致穩(wěn)定性問題,,從而影響整個組織的運營能力。安全和IT領導者需要了解他們所有關鍵設備的固件情況,,保護組織免受意外的攻擊和破壞,。
法規(guī)監(jiān)管是固件安全引起關注的另一項內容。多個NIST文件,,包括《網絡安全框架》以及新出版的SP 800-53 R5,,都很大程度上關注固件的管理風險以及安全控制落實情況。應行業(yè)要求,,PCI安全標準委員會出版了PCI DSS v.3.2.1與NIST的《網絡安全框架》v.1.1之間的內容映射關系。FISMA control也反復明確地強調對安全固件的需求,。所有這些表明各種組織在越來越多地尋找標準化手段確保技術棧各層的安全性,。
隨著人們對固件和硬件安全問題的重視程度不斷增加,焦點落在企業(yè)的固件安全上面就不足為奇了,。盡管機構對這些安全要求的具體落實情況會有所區(qū)別,,但是很重要的一點是,機構必須明確認識到,,對于自身以及其他第三方供應商,,固件和硬件安全要嚴格遵從相關標準法規(guī)。
安全建議
在企業(yè)的安全策略、安全實踐以及安全流程中,,對固件的作用和安全性給出定義,,并形成文檔。
審核硬件和固件相關的法規(guī)要求,,深入理解組織需要承擔的義務,。
面向企業(yè)固件層落實風險管理和安全控制。
在客戶和合作方的第三方供應商合同中增加適當的語言,。
五,、總結
固件安全迅速成為現代企業(yè)安全實踐的重要部分。來自行業(yè)分析師的建議,、業(yè)界規(guī)范發(fā)生的變化,、網絡安全形勢的不斷發(fā)展都在表明,固件安全的重要性在不斷增加,。
大多數固件攻擊利用代碼的錯誤,,防止固件攻擊的最佳方法是確保開發(fā)過程中遵循安全準則。因此,,固件安全性主要由硬件制造商所掌控,。但企業(yè)安全管理人員需要知道,固件受到攻擊的風險確實存在,,固件必須像其他任何軟件一樣進行更新,。
NIST在其相關文件中也建議,固件更新應被視為網絡安全基礎準則的必要和重要組成部分,。
在《如何減輕數據中心,、公共云和私有云中的固件安全風險》報告中,Gartner也強調了固件更新的重要性,,并為基礎設施和運營(I&O)負責人提供了固件更新的指南,。
負責基礎設施的I&O領導者應:
與首席信息安全官合作,投資新興固件威脅檢測和掃描工具,,與行業(yè)協(xié)會和專家合作,,培養(yǎng)團隊技能,以了解固件和硬件威脅,。
將固件升級策略集成到標準流程中,,定期進行更新并制定應急計劃。
部署網絡隔離和用戶訪問控制,,日志記錄以及使用供應商的安全固件功能,,確保安全實現固件更新。
通過與供應商管理團隊合作,,確保云和本地供應商都具有安全的固件更新程序,。