黑客在試圖避免檢測方面變得越來越聰明、越來越老練。一旦進入固件，黑客就可以禁用遠程固件更新，從而無法遠程修復固件，因此需要能夠物理訪問硬件/固件的技術(shù)人員的服務，通常需要完全關(guān)閉和現(xiàn)場訪問大規(guī)模部署。這個過程意味著修復固件或硬件中的零日攻擊可能非常耗時。這些因素導致規(guī)模較小、資源較少的私人團體面臨的固件攻擊頻率上升。

美國國家標準與技術(shù)研究院 (NIST) 的國家漏洞數(shù)據(jù)庫 (NVD)顯示，自 2018 年以來，對固件的攻擊增加了 500%，而來自微軟新報告的調(diào)查數(shù)據(jù)顯示，83% 的企業(yè) IT 決策者其系統(tǒng)在過去兩年中都遭受了固件攻擊，但只有 29% 的平均安全預算專門用于保護固件級別。這是不可持續(xù)的。Gartner 的一份報告預測，到 2022 年，70% 沒有制定固件升級計劃的組織將因固件漏洞而遭到破壞。

為了保護固件免受雄心勃勃的攻擊者的攻擊，需要信任根 (RoT) 作為一個實體，以檢查堆棧的每一層，從硬件啟動到固件加載、操作系統(tǒng)運行時，直到運行的應用程序。計算組件以這種方式值得信賴的唯一方法是不可變的。因此，硬件安全解決方案是必要的，通常涉及存儲與設備所有者直接關(guān)聯(lián)的加密密鑰，設備所有者在機器的硅中而不是在隔離實施的軟件中提供密鑰。

新的解決方案更進一步，將 RoT 完全卸載到單獨的安全處理單元 (SPU) 芯片，以實現(xiàn)對所有主板組件以及連接到系統(tǒng)的任何外圍設備的遠程認證。

開放計算項目提倡在其 RoT 規(guī)范的開放標準版本 1.0中使用硬件 RoT 。這個正式的規(guī)范很重要，因為除了防止固件持久性攻擊外，它還幫助固件開發(fā)人員了解如何開發(fā)更安全、漏洞更少的固件（盡管這些知識可能難以實施）。標準化也有助于供應商創(chuàng)建可互操作的解決方案。

在系統(tǒng)硬件或隔離安全處理器上建立 RoT 的問題在于，按照設計，它們很難訪問或影響。這使它們更安全地抵御不良行為者，但在發(fā)現(xiàn)新漏洞或需要新功能時它們不那么靈活。

這就是現(xiàn)場可編程門陣列 (FPGA) 可以發(fā)揮作用的地方。FPGA 是一種與處理器分離的半導體器件，可在制造后進行配置，它允許程序員調(diào)整其更大系統(tǒng)的組件的結(jié)構(gòu)方式，而無需在其他情況下產(chǎn)生相當大的財務或時間負擔。

總而言之，首席信息官、首席信息安全官和 IT 決策者需要意識到他們的系統(tǒng)非常脆弱，尤其是在固件級別。需要的是硬件信任根，它可用于驗證和授權(quán)任何堆棧級別的任何更改，同時保持足夠的靈活性以適應新的漏洞并啟用安全應用程序。固件攻擊只會隨著黑客變得更加雄心勃勃而增加，我們應對此有所作為。

原文轉(zhuǎn)自helpnetsecurity，超級科技翻譯,合作站點轉(zhuǎn)載請注明出處和原文譯者為超級科技！

Hi，我是超級科技

超級科技是信息安全專家，能無上限防御DDos攻擊和CC攻擊，阿里云戰(zhàn)略合作伙伴！