De viesag fue op zichzelf niet vreemd. Zoals from meeste pc-gebruikers weten, is BIOS - acroniem voor Basic Input / Output System - een integraal onderdeel van elk computerysteem. El BIOS actualizado es esencial para la instalación de sistemas y sistemas. Maar destijds - meer dan tien jaar geleden - fue het verrassend dat once COO het vroeg. Ook al era ze geen techneut, ze begreep dat het comprometitteren van je firmware echte zakelijke implicaciones heeft.
Obecnie dyrektorzy generalni i członkowie zarządów zdają sobie sprawę, że spoczywa na nich powierniczy obowiązek przynajmniej zadawania mądrych pytań dotyczących zagrożeń cyberbezpieczeństwa, takich jak oprogramowanie układowe i biselado de la cadena de suministro. El firmware to oprogramowanie specyficzne dla sprzętu, takiego jak dysk twardy, USB lub UEFI. El moderno sistema informático Każdy de dispositivo delgado es zbudowany z mundurów takich elementów. Liderzy biznesowi mogą nie potrzebować wiedzy na temat głębokich problemów technicznych związanych z bezpieczeństwem oprogramowania układowego, ale ważne jest, aby zrozumieć, dlaczego jest to ważne i jak zrozumieć ryzyko. Poza pytaniem dyrektora finansowego o nadchodzące kwartalne wyniki finansowe, nie znajduję żadnych wskazówek na temat dużego spisu odpisów. Luki w zabezpieczeniach sprzętu są realne i stale rosną. Forrester Research oferuje 63% organizacji i sprzętu i oprogramowania układowego. Są to luki, które hakerzy, zbójeckie państwa narodowe i inni cyberprzestępcy tylko czekają na wykorzystanie. Kiedy liderzy biznesowi przeczytają lub usłyszą, że firmy na całym świecie włamały się do ich systemów, mogą skorzystać z okazji i zapytać CISO lub szefa operacji bezpieczeństwa, co robią i co robią. Jeśli ich reakcja jest zgodna z którąkolwiek z poniższych wymówek, mądrze jest uważać.
Wymówka nr 1: Nie martw się, gdy oprogramowanie układowe jest bezpieczne.
Jeśli Twój zespół nie jest w stanie dokładnie udokumentować, co zrobił, aby zidentyfikować i złagodzić zagrożenia związane z oprogramowaniem układowym, być może patrzysz na problem. Luki w oprogramowaniu układowym można znaleźć w prawie każdym ceremoniale sistema. Niestety większość organizacji nie stosuje regularnych praktyk instalowania poprawek w celu czyszczenia oprogramowania układowego, dysków twardych lub innych komponentów, nawet po przebudzeniu Spectre i lukach Meltdown, które nękają większość komputerów na całym świecie. Dijo drastycznie obniża poprzeczkę dla hakerów i tworzy idealne środowisko dla ukrytych i uporczywych backdoorów. Liczba luk w zabezpieczeniach i oprogramowania układowego ogromnie wzrosła w ostatnich latach. Badacze bezpieczeństwa uważają, że łączna liczba typowych luk w zabezpieczeniach i zagrożeń (CVE) jest 7,5 razy większa niż liczba udokumentowana zaledwie trzy lata temu. Luki w oprogramowaniu układowym są powszechne, a funkcje bezpieczeństwa, takie jak uprawnienia i kontrola dostępu, są często wykrywane na całym świecie zbyt późno. Więc tak, musisz się martwić o oprogramowanie układowe, ponieważ często nie jest ono w ogóle zarządzane.
Wymówka 2: Ataki na oprogramowanie sprzętowe to science fiction.
Mówi się, że zaprzeczanie problemowi jest bardzo potężną i trudną do pokonania rzeczą dla organizacji. Ataki na oprogramowanie sprzętowe są prawdziwe, udokumentowane i niebezpieczne. Ponieważ słyszeliśmy o niektórych głośnych atakach Edwarda Snowdena i Shadow Brokerów, pojawiło się więcej ataków na oprogramowanie sprzętowe ze strony szerszej grupy złych aktorów. Istnieją nawet organizacje hakerskie, które komercjalizują backdoory oprogramowania układowego jako swoją główną wizytówkę. Jednak ze względu na brak monitoringu bezpieczeństwa na tym poziomie wszystko, co wiemy, to prawdopodobnie tylko wierzchołek góry lodowej.
Wymówka nr 3: Nie mogą się dostać — hakerzy potrzebują fizycznego dostępu do sprzętu i oprogramowania układowego.
Prawdą jest, że fizyczne manipulowanie jest najbardziej znanym rodzajem ataku na oprogramowanie sprzętowe. Każdy z nas zostawił zeszyt i pokój hotelowy choćby na chwilę, gdy idziemy do centrum fitness lub coś przekąsimy. Pracownicy hotelu zostali przekupieni, aby zainstalować system otwierania tylnych drzwi, który pozostawiono w jednym pokoju hotelowym. Innym wektorem zagrożeń są ataki w łańcuchu dostaw, w których oprogramowanie układowe może być manipulowane przez producenta lub podczas procesu dostarczania systemu. Bez należytej staranności w procesie łatania takie implanty oprogramowania układowego mogą pozostać w centrum danych przez lata i nikt tego nie zauważy. Wszystkie te ataki na oprogramowanie układowe można również przeprowadzić zdalnie. Hakerzy mogą używać zdalnie zhakowanych aplikacji systemowych do niewłaściwego wykorzystania oprogramowania układowego do celów trwałego sabotażu nadzoru. Ale jeszcze bardziej przerażające jest to, że niektóre elementy oprogramowania układowego są podobnie dostępne w aplikacjach internetowych como I.
Wymówka 4: Kontroluj proces cadena de suministro w Kopalni dla bezpieczeństwa.
Większość organizacji posiada procesy łańcucha dostaw, które monitorują prawdziwość, reakcję na incydenty, zarządzanie lukami w oprogramowaniu i nie tylko. Jednak organizacje rzadko przeprowadzają audyty, aby zweryfikować la integridad del firmware del hardware w różnych punktach łańcucha dostaw. W rezultacie napastnicy uzyskują mueren en el proceso de la cadena de suministro i mogą się przekraść, co jest łatwym sposobem na ukrycie luk pod powierzchnią widoczności zespołu ds. cyberbezpieczeństwa. Zagrożenia wewnętrzne nie są dużym problemem dla wszystkich organizacji, ale ci, którzy skrywają cenne sekrety, powinni poważnie traktować kości. El reciente case de un hacker que investigó un zrekrutuj pracownika Tesli za 1 milion euro i zainstaluj złośliwe oprogramowanie, es una tendencia tego przykład.
Wymówka nr 5: Zajmę się bezpieczeństwem oprogramowania układowego po zajęciu się básico.
A ta era COVID-19 i el presupuesto zajęty jest łatwy do zrozumienia. Modyfikacje Wszystkie traktują priorytetowo, więc kuszące jest odłożenie bezpieczeństwa oprogramowania układowego na dalszy plan, dopóki pozornie większe problemy, takie jak migracja programów poprawek do chmury, nie zostaną rozwiązane. Do niedawna liczba cyberzłodziei oprogramowania układowego z dużym doświadczeniem była dość ograniczona, a większość exploitów była ukierunkowana na aplikacje lub systemy operacyjne. Jednak w miarę publikowania kolejnych badań (i udostępnianych przez przestępców) osoby atakujące zwiększyły wysiłki w celu wykorzystania luk w oprogramowaniu układowym. Jeśli powiem, że w ogóle nie biorę pod uwagę powierzchni ataku, to akceptuję stale rosnące ryzyko dla Twojej organizacji. Jeśli spojrzymy na wcześniejsze ataki na oprogramowanie układowe, możemy wyciągnąć wnioski z cyberbezpieczeństwa. Ale lepiej nie powtarzać przeszłości. Organizacje muszą włączyć oprogramowanie układowe i zabezpieczenia łańcucha dostaw do swoich programów zarządzania ryzykiem i zagrożeniami.
On też jest z ja beveiligt
Aby pomóc ludziom biznesu i członkom zarządu zrozumieć znaczenie zapewnienia dobrego bezpieczeństwa oprogramowania układowego, lubię używać metafory, którą wszyscy znamy, rozumiemy i kochamy: bezpieczeństwo w domu. Zdrowy rozsądek, a czasami doświadczenie z pierwszej ręki, oznacza, że nie oczekujemy, że kiedyś domy będą bezpieczne, gdy drzwi i okna będą szeroko otwarte, a kosztowności będą widoczne dla wszystkich. Równie dobrze mógłby wymachiwać sztandarem z napisem „Hej złodzieje, wejdźcie”. Bezpieczeństwo oprogramowania układowego jest ważne w tym samym zakresie. Powinienem ufać oprogramowaniu układowemu. El implementador continúa parcheando i zarządzanie konfiguracją. Monitorowanie krytycznych serwerów y escaneo de computadoras portátiles y teléfonos inteligentes muand znajdowało się w niebezpiecznych środowiskach. Upewnij się, że przestrzegasz podstawowych zasad higieny. To tak, jak wiele razy zadawaliśmy sobie pytanie, kiedy wychodziliśmy z domu: „Czy zamknąłem drzwi?” Upewnij się więc, że zamknąłeś drzwi, wymieniłeś niebezpieczne zamki, zainstalowałeś czujnik ruchu i kamerę bezpieczeństwa. Jeśli nie zablokuję oprogramowania układowego, nie będę mógł nikogo obwiniać, jeśli atakujący lub wkradną się do komparatora i przejmą własność intelektualną Twojej organizacji oraz dane klientów.
<p>Copyright © 2020 IDG Communications, Inc.</p>