调查 | 大多数企业漏洞根植在固件中

简介: 本文讲的是调查 | 大多数企业漏洞根植在固件中,企业文化和对安全的整体态度,是固件漏洞的主要贡献者——信息系统审计与控制协会(ISACA)

本文讲的是调查 | 大多数企业漏洞根植在固件中,企业文化和对安全的整体态度,是固件漏洞的主要贡献者——信息系统审计与控制协会(ISACA)

image

ISACA是全球性企业技术和网络安全协会,日前发布了一份研究报告,称大多数企业没有全面的方案处理固件安全风险。

尽管随着包括物联网(IoT)设备在内的企业硬件足迹愈加膨胀,企业越来越意识到固件安全的逐渐加码,他们却依然没有应对固件安全风险的整体方案。

ISACA的“固件安全风险和缓解、企业实践和挑战”报告,强调了对硬编码在只读存储器(ROM)中固件的强有力安全管理控制和审计实践的建立。

该研究基于对横跨北美、欧洲和亚洲的750名网络安全从业者的调查,表明缓解安全风险的基础,是企业以一种安全优先的态度来看待硬件生命周期管理,而不是将之视为纯粹的操作层面问题。

卫生保健安全公司MedSec董事兼CEO贾斯汀·伯恩说:“固件安全不再是一个理论问题。”

“证据显示,攻击者已将固件当做攻击目标。今天的很多数据泄露和漏洞发现都源于固件问题。”

尽管解决方案纷纷出台,大多数企业环境依然尚未准备好。“虽然在这个问题上‘知识就是力量’是很明显的事儿,但该研究充分表明了,企业文化和对待安全的整体态度,很明显是漏洞的主要贡献者。”

在硬件生命周期管理中安全优先的受访者,过半数(52%)的人至少报告了1起感染恶意软件的固件被引入到公司系统中的事件。17%的此类事件造成了实质性影响。

与之相对,硬件生命周期管理中忽视安全的受访者,未知恶意软件发生的概率非常高(73%)。这表明有很多漏洞仍未被检测,没被打上补丁,滋生了安全风险。

知情缺失还对信心造成了影响,71%安全优先度低的受访者,觉得自己没准备好处理网络攻击。

报告称,想要能够解决这些弱点,企业需要加强IT部门和审计人员间的合作与沟通,建立健壮的硬件生命周期管理控制。研究显示,根据审计团队的反馈部署行动,是风险缓解的关键。

补丁管理过程

调查表明,认为自家企业完全遵从固件审计的受访者,63%的人报告了补丁管理过程中更高的有效性。另一方面,不接收任何审计反馈的那些(51%),对固件完整性监视和漏洞修复,没有任何控制。

ISACA董事会主席,Intralot信息安全组长克里斯托斯·迪米特里阿迪斯称:“将固件维护视作运营职能而非安全问题,漏洞被利用的机会就会一直存在。”

是时候在我们的风险评估中强调固件安全的重要性了,基于威胁模型的控制优先也应根植进每一个企业,无论这是否涉及间谍活动、交易完整性损失或业务中断。
报告为企业提出了几条防止固件攻击的建议:

在尽可能的地方,找那些允许企业独立验证设备(服务器、无论、存储、IoT)完整性的厂家。
将设备隔离进不同信任区,让企业可以分别操作可信设备或不可信设备。
建立固件更新策略。
由于持续监视是最重要的,应获取专门用于通过网络监视设备完整性的系统和技术,利用诸如可信平台模块(TPM)之类值得信赖的技术。

原文发布时间为:十月 24, 2016
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/learn/20474.html

相关文章
|
Web App开发 安全 Windows
趋势科技:微软已修复IE7的最新安全漏洞
2月18日消息,来自趋势科技公司的消息,最近一些网络犯罪人员正在利用微软IE7浏览器的一个最新漏洞从事非法活动,但是在周二微软已经修复了该漏洞。这个恶意代码被趋势科技称为XML_DLOADR.A,该恶意代码会隐藏在word文档中,未打补丁的系统如果打开该文档就会被黑客控制安装后门程序。
700 0
|
Web App开发
微软发布应急补丁 修复IE零日攻击安全漏洞
3月30日消息,据国外媒体报道,微软宣布计划发布一个应急补丁,修复在IE浏览器中的一个零日攻击的安全漏洞。 IE浏览器的一个累积的补丁(MS10-018)修复黑客在最近几个星期利用的在IE 6和IE 7浏览器中的安全漏洞。
851 0
|
安全
威胁预警:IBM InfoSphere系列产品中发现多处高危安全漏洞
本文讲的是威胁预警:IBM InfoSphere系列产品中发现多处高危安全漏洞,近期,网络安全公司SEC Consult披露了影响IBM InfoSphere DataStage以及IBM InfoSphere Information Server等产品的若干个未修复漏洞的详细信息。
1455 0