Глобальная ИТ-инфраструктура становится все более взаимосвязанной и взаимозависимой. В результате устойчивость операций находится в числе приоритетов для руководителей информационной безопасности. Несмотря на то, что организации улучшают свои методы борьбы с программными угрозами, многие испытывают трудности с невидимостью и недостаточными инструментами для защиты от более низкоуровневых угроз, направленных на аппаратное и прошивочное обеспечение, что препятствует устойчивости.
Атаки на цепочку поставок могут иметь различные формы: от групп вымогателей, нарушающих инфраструктуру поставщиков, до вмешательства в аппаратуру и прошивку. Эти атаки наносят серьезный ущерб, поскольку подрывают основы аппаратного и прошивочного обеспечения устройств, зачастую сложно обнаруживаемым и устраняемым образом, что приводит к невозможности доверять безопасности программного обеспечения и данных.
Регуляторы начали активные действия для усиления безопасности цепочки поставок. Великобритания разработала новые правила кибербезопасности для IoT и разрабатывает Закон о кибербезопасности и устойчивости, чтобы «расширить регулирование для защиты цифровых услуг и цепочек поставок». В США исполнительный указ усилил разработку требований к безопасности цепочки поставок программного обеспечения для государственных закупок, включая прошивку. ЕС вводит новые требования к кибербезопасности на каждом этапе цепики поставок, начиная с программного обеспечения и услуг и заканчивая устройствами, чтобы гарантировать безопасность аппаратного и программного обеспечения.
Исследование HP Wolf Security показали, что 30% организаций в Великобритании заявляют, что они или их коллеги пострадали от действий, поддерживаемых государством, направленных на внедрение вредоносного аппаратного или прошивочного обеспечения в ПК или принтеры, что подчеркивает необходимость решения вопросов безопасности физических устройств.
Последствия атак на оборудование и прошивку
Неудача в защите целостности аппаратного и прошивочного обеспечения конечных точек может иметь значительные последствия. Успешный взлом на этих низкоуровневых уровнях может дать злоумышленникам беспрецедентный контроль над устройством. Опытные и хорошо оснащенные угрозы, такие как государственные акторы, на протяжении многих лет использовали этот вектор как тихую опору под операционными системами. Однако с понижением стоимости и снижения навыков, требуемых для таких атак, эта возможность становится доступной и другим злонамеренным лицам.
Из-за скрытности и сложности угроз, направленных на прошивку, реальные примеры встречаются реже, чем угрозы, направленные на операционные системы. Примеры включают LoJax, который в 2018 году атаковал прошивку UEFI PC для выживания после переустановки ОС и замены жесткого диска на устройствах без защиты. Более недавно, загрузочный комплект BlackLotus UEFI был разработан, чтобы обойти механизмы загрузочной безопасности и дать злоумышленникам полный контроль над процессом загрузки ОС. Другое вредоносное ПО UEFI, такое как CosmicStrand, может запускаться до ОС и мер безопасности, позволяя злоумышленникам сохранять присутствие и облегчать управление и контроль над заражённым компьютером.
Фирмы также обеспокоены попытками вмешательства в устройства в процессе транспортировки, при этом многие сообщают о неспособности обнаруживать и предотвращать такие угрозы. 75% организаций в Великобритании заявляют, что им необходим способ проверки целостности аппаратного обеспечения для смягчения угрозы вмешательства в устройства.
Развитие подхода к безопасности аппаратного и прошивочного обеспечения конечных точек
За последние годы ИТ-команды научились лучше управлять и мониторить программную безопасность устройств, улучшая умение отслеживать происхождение ПО и обеспечение цепочки поставок. Сейчас настал момент для достижения аналогичного уровня зрелости в управлении и мониторинге аппаратного и прошивочного обеспечения на протяжении всего жизненного цикла конечных устройств.
Организации могут начать с выполнения следующих шагов:
- Безопасное управление конфигурацией прошивки на протяжении всего жизненного цикла устройства с использованием цифровых сертификатов и криптографии с открытым ключом. Так администраторы смогут удаленно управлять прошивкой и устранить аутентификацию на основе слабых паролей.
- Использование заводских сервисов производителей для обеспечения надежной конфигурации безопасности аппаратуры и прошивки с завода
- Применение технологии сертификации платформы для проверки целостности аппаратного и прошивочного обеспечения после доставки устройств
- Мониторинг текущего соответствия конфигурации аппаратного и прошивочного обеспечения на всех устройствах в парке — это непрерывный процесс, который должен оставаться актуальным, пока устройства используются.
В конечном итоге безопасность конечных устройств зависит от надёжной безопасности цепочки поставок, которая начинается с гарантии того, что устройства, будь то ПК, принтеры или IoT-устройства, собраны и доставлены с использованием тех компонентов, которые предполагались с самого начала. Поэтому организации должны сосредотачивать внимание на обеспечении безопасности фундаментальных аппаратных и прошивочных основ своих конечных точек путем управления, мониторинга и исправления уязвимостей в системе безопасности аппаратного и прошивочного обеспечения на протяжении всего жизненного цикла любого устройства в их арсенале.
Источник: TechRadar
