[作者:Nathan Palmer, Security Researcher, Raytheon’s Cyber Offensive and Defensive group]

每39秒就会发生一次网络攻击,影响三分之一的美国人。所有组织都需要采取积极措施,像渗透网络的攻击者那样思考。

尽管世界各地的企业都在部署新的网络安全工具来抵御这些持续的攻击者,但网络犯罪分子仍在全天候工作,以寻找新的和经过改进的方法来绕过它们并感染软件和硬件。

物理访问要求已成为过去。最近的一个例子包括UEFI / BIOS植入程序,这些植入程序已由各个国家/地区武装起来并通过利用底层UEFI系统中的漏洞进行了远程安装。这是网络间谍活动的一种形式,攻击者可以通过访问,隐身和持久性来生存,以操纵嵌入在硬件中的低级软件来获得对系统的控制权。一旦黑客获得控制权,他们就坐下来等待最适当的时机,以创造最大的破坏力。

具体地说,黑客等到他们有机会渗透到系统的各个方面而没有被发现之前,他们才可以访问尽可能多的有价值的数据。一旦进入,它们会使安全团队很难追踪它们,更不用说将其完全删除了。

从物理到远程访问黑客的转变

攻击者总是并且总是会求助于低挂的果实,这是使用武器,笔记本电脑或汽车的最简单方法。过去,他们主要针对在应用程序层运行的软件,例如电子邮件,Web浏览器和开发工具。更深一层,攻击发生在诸如Windows,Linux,macOS和iOS等操作系统上。黑客们很清楚,操作系统通常容易受到错误的攻击,这使得渗透这些系统变得更加容易。

在过去的五到十年中,开发人员对安全性有了更多的了解,因此,他们的网络安全工具也是如此。由于在操作系统中增加了额外的保护层,这些曾经被认为是“简单”的攻击现在对于网络罪犯而言更加困难。一旦一种方法变得越来越困难,攻击者便会寻找其他ー种更轻松的ー种方法来破坏操作。

他们通过供应链,内部威胁,系统更新,固件更新和硬件错误来绕过软件和目标硬件。例如,Spectre和Meltdown是三重缺陷,其源于几乎所有现代计算机CPU以及20年前的某些CPU的功能。的后果是非常真实的。

黑客可以利用硬件设计缺陷在应用程序之间泄漏数据,从而访问内存,包括密码,加密密钥或其他敏感信息。甚至旨在防止这些漏洞的机制(例如允许CPU进行固件更新)也可以用作允许对硬件进行攻击的“后门”。组织需要采取积极措施,例如采用零信任框架,以减少成功攻击的风险。

零信任网络安全方法的背后策略是不信任任何人并验证所有人。

一直以来,硬件一直是受信任的,这意味着硬件设计本身并不总是包含安全功能,而是依靠更高级别的软件来提供保护。不幸的是,如果组织成为硬件攻击的受害者,那么您将无能为力。硬件黑客通常很难检测到,因为有效载荷通常安静地等待着等待最佳机会来启动攻击。在黑客从硬件转向操作系统和应用软件并且损害已经造成之前,组织通常不知道自己受到了打击。

一个零信任策略使企业能够采取行动对付这种风险的能力。

硬件黑客:没有计划B的计划A

由于硬件黑客很难检测和缓解,因此组织必须采取一切可能的措施来阻止它们。

第一要务是确保硬件验证是第一要务。由于黑客一旦能够访问就可以模仿管理员,因此有必要建立零信任框架。零信任方法利用了硬件信任根解决方案,该解决方案在商业系统中实施了先进的安全技术,以防止被禁用或绕过它们,甚至阻止了拥有系统管理员特权的内部人员或攻击者。

软件更新是强大安全状态的重要组成部分,硬件/固件更新也是如此。应尽快应用关键的安全补丁以应对不断发展的威胁。即使在此过程中,也会创建后门以使固件起作用,从而增加了攻击面。每次更新都应从可信任的提供者处验证为真实,最好通过某些加密方法(如签名包)进行验证。在应用更新之前,组织还必须具有辅助过程来独立验证更新。

黑客不会注意到安全边界的任何区域,因此组织必须确保所有设备都受到保护。这意味着要验证外围和支持硬件(不仅是显而易见的主要目标)也能免受这些攻击。黑客日益复杂。

最好的危机计划是您永远不必使用的计划,但至关重要的是每个组织都应有一个计划。当无法采用反应性方法时,对于硬件黑客来说尤其如此。知道这将是我们的现实,我们需要适当的计划,流程和工具来检测,保护和缓解攻击。

[本文由机器翻译,中文内容可能与英文原版有所差异。]