企业文化和对安全的整体态度,是固件漏洞的主要贡献者——信息系统审计与控制协会(ISACA)
ISACA是全球性企业技术和网络安全协会,日前发布了一份研究报告,称大多数企业没有全面的方案处理固件安全风险。
尽管随着包括物联网(IoT)设备在内的企业硬件足迹愈加膨胀,企业越来越意识到固件安全的逐渐加码,他们却依然没有应对固件安全风险的整体方案。
ISACA的“固件安全风险和缓解、企业实践和挑战”报告,强调了对硬编码在只读存储器(ROM)中固件的强有力安全管理控制和审计实践的建立。
该研究基于对横跨北美、欧洲和亚洲的750名网络安全从业者的调查,表明缓解安全风险的基础,是企业以一种安全优先的态度来看待硬件生命周期管理,而不是将之视为纯粹的操作层面问题。
卫生保健安全公司MedSec董事兼CEO贾斯汀·伯恩说:“固件安全不再是一个理论问题。”
“证据显示,攻击者已将固件当做攻击目标。今天的很多数据泄露和漏洞发现都源于固件问题。”
尽管解决方案纷纷出台,大多数企业环境依然尚未准备好。“虽然在这个问题上‘知识就是力量’是很明显的事儿,但该研究充分表明了,企业文化和对待安全的整体态度,很明显是漏洞的主要贡献者。”
在硬件生命周期管理中安全优先的受访者,过半数(52%)的人至少报告了1起感染恶意软件的固件被引入到公司系统中的事件。17%的此类事件造成了实质性影响。
与之相对,硬件生命周期管理中忽视安全的受访者,未知恶意软件发生的概率非常高(73%)。这表明有很多漏洞仍未被检测,没被打上补丁,滋生了安全风险。
知情缺失还对信心造成了影响,71%安全优先度低的受访者,觉得自己没准备好处理网络攻击。
报告称,想要能够解决这些弱点,企业需要加强IT部门和审计人员间的合作与沟通,建立健壮的硬件生命周期管理控制。研究显示,根据审计团队的反馈部署行动,是风险缓解的关键。
补丁管理过程
调查表明,认为自家企业完全遵从固件审计的受访者,63%的人报告了补丁管理过程中更高的有效性。另一方面,不接收任何审计反馈的那些(51%),对固件完整性监视和漏洞修复,没有任何控制。
ISACA董事会主席,Intralot信息安全组长克里斯托斯·迪米特里阿迪斯称:“将固件维护视作运营职能而非安全问题,漏洞被利用的机会就会一直存在。”
是时候在我们的风险评估中强调固件安全的重要性了,基于威胁模型的控制优先也应根植进每一个企业,无论这是否涉及间谍活动、交易完整性损失或业务中断。
报告为企业提出了几条防止固件攻击的建议:
本文名称:大多数企业漏洞根植在固件中
标题路径:http://www.shufengxianlan.com/qtweb/news47/357947.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联