韌體保護:如何解決韌體安全漏洞
裝置和晶片製造商有義務改進其韌體保護,以抵禦威脅。如果沒有其他辦法,他們就需要自我防禦。產品出售後被發現有漏洞會導致高昂代價,而且對公司的聲譽不利。因此,原始設備製造商 (OEM) 應該花時間透過建立韌體風險消減流程來改進韌體保護,而不是採取被動方式。
有興趣深入瞭解如何改進韌體保護嗎?
下載我們的電子書: 韌體是基礎:邊緣運算時代的安全性
透過風險消減來改進韌體保護
行業團體和公共部門支援
好消息是,各個行業團體和公共部門組織已經為改進韌體保護做了很多繁重的工作。他們的部分工作涉及開發和推廣涵蓋安全性的韌體標準和規格。例如,統一可擴展韌體介面論壇 (Unified Extensible Firmware Interface Forum) 發佈了 UEFI 規格,包括 UEFI 安全啟動功能。
該標準描述了如何構建韌體,以在任何代碼作為啟動過程的一部分運行之前驗證其狀態。在 UEFI 安全啟動標準下,將不會執行經修改或被損壞的代碼。因此,即使有惡意軟體注入,其執行並造成傷害的可能性也顯著降低了。UEFI 安全啟動標準已在許多基於 Windows 和 Linux 的平台上實施,包括桌上型電腦、筆記型電腦、平板電腦、IoT 裝置和伺服器。
可信賴運算組織 (TCG) 是另一個改進韌體保護的組織。TCG 設計了能夠儲存和保護平台機密的硬體,例如加密金鑰和其他需要保護的資料。其可信賴平台模組 (TPM) 透過晶片或軟體晶片模擬保護這些珍貴資料。除了開發解決方案,它還幫助確立了 NIST 800-155 等安全認證標準和 NIST 800-193 等網路彈性標準。
TCG 負責監督各種發佈規格和指導文件的特定類別工作小組,包括:
- PC 工作小組,維護 PC 用戶端平台韌體設定檔規格、PC 用戶端平台韌體完整性測量規格和 EFI 通訊協定規格。
- 裝置識別碼組合引擎 (Device Identifier Composition Engine, DICE),正努力定義小型、低成本裝置如何開發安全身份和信任根。這能讓他們無需 TPM 晶片和其他硬體即可開始認證過程。
原始設備製造商 (OEM) 責任
雖然這些團體的工作對行業有很大幫助,但仍需要 OEM:
- 實施建議和標準
- 監控所有規格和漏洞警示
- 一旦發現漏洞,開發並分發漏洞修補程式
遺憾的是,並非所有組織都擁有建立和實施這些流程的資源或專業知識。通常,這些流程程往往令人生畏,使得整個行業的韌體風險消減操作無法均衡。
部分 OEM 會盡心盡力提供韌體保護和持續修補。他們甚至可能擁有自動韌體更新服務,將修補程式推送到終端使用者裝置。但是,並非所有 OEM 都會修補韌體。這樣的事態並不健康,但事實確實如此。這種缺失是由於缺乏資源、專業知識或兩者皆有。結果是韌體生態系統出現了無法修復的漏洞。
有些攻擊者組織非常健全,甚至是自動化的。例如,Trickbot 殭屍網路會自動掃描全球的硬體是否有惡意軟體漏洞,並使惡意駭客能夠讀取、寫入或刪除韌體。
儘管有一些 OEM 在努力進行韌體保護和修補,但事實上許多 OEM 並未修復韌體漏洞。
將韌體保護外包事務給專家
即使對於大型且資源充足的組織,在內部建立韌體保護和風險消減計畫也很艱難。這需要持續的努力和專注,才能掌控韌體漏洞。
員工可能缺乏必要的專業知識深度。許多製造和安全工程師對應用程式或作業系統層級工作更有興趣,而不大樂意關注韌體。開發和測試韌體的修補程式需要耗費大量人力和時間,在製造後必須維護數年甚至數十年。
即使對嵌入式應用程式開發人員而言,韌體也是相當深奧的領域,但風險非常高。
外包您的韌體保護和風險消減事務提供了幾個好處。合適的供應商將擁有豐富的工程經驗和專業知識,並在此領域擁有突出業績記錄。他們將確保 OEM 收到會影響其產品的韌體漏洞通知,並開發有效修補程式。他們會及時行動,減少曝露的窗口,否則漏洞可能導致安全事件或產品召回。
將風險消減事務外包給 Phoenix Technologies
Phoenix 提供了安全訂閱服務,幫助製造商追蹤和修復韌體漏洞。我們成立的 Phoenix 安全團隊是全球規模最大、經驗最豐富的韌體開發專家團隊之一,在提供安全相關服務方面擁有突出業績記錄。此外,我們也會接收行業合作夥伴、團體和安全機構韌體的安全通知,並主動監控安全會議和公共網際網路資訊。
Phoenix 維護了一個全面且詳細的漏洞資料庫和復雜的漏洞回應流程。透過我們的 Phoenix FirmCare 安全即服務計畫,我們能夠快速發現安全漏洞、開發修補程式並協助製造商成功部署該程式。
Phoenix 擔任 UEFI 安全回應團隊 (USRT) 的主席,與主要矽供應商建立了深厚且穩固的關係。我們建立的關係讓我們能夠率先知曉新韌體威脅何時出現,因此在威脅被公佈之前,我們已準備好協助客戶對抗這些威脅。我們定義明確的內部流程簡化了從初始報告到修補和驗證的整個披露時間表。我們可以在漏洞被公開披露之前製作修補程式,並協助 OEM 和原始設計製造商 (ODM) 也這樣做。我們的外部流程可確保製造商獲悉新發現的威脅,並在整個披露時間表中瞭解工程狀態。除了威脅通知之外,我們還會定期向我們的被授權人發出安全公告,提供已知產品漏洞、修補程式和消減措施的詳細資訊。這些公告包括針對韌體漏洞的通用漏洞評分系統 (CVSS),以指明每項威脅的嚴重性及其他外部資訊來源參考。
其他 Phoenix 解決方案
Phoenix 也提供一系列安全產品與服務,確保裝置和韌體的安全。我們透過與矽供應商和 OS 供應商、OEM 和 ODM 客戶、分銷合作夥伴和行業團體密切合作,能夠快速提供這些解決方案。
- Phoenix SecureWipeTM:無需依賴 OS,安全地從韌體中清除固態硬碟 (SSD) 和硬碟 (HDD) 上的所有資料和分割區。
- Phoenix PassKeyTM:將韌體強制啟動保護與物理驗證裝置(例如智慧型手機/藍牙或 FIDO 裝置)相結合,為 PC 提供基於韌體的彈性反入侵安全防護。
- Phoenix BIOS 自我修復:當您的系統處於危機中時,無需使用者介入即可自動從上次的已知備份中復原韌體。
- Phoenix 遠端管理主控台:使用行業標準的 Redfish 框架,從單一管理主控台輕鬆遠端監控、設定和更新韌體。
- Phoenix FirmCareTM:包含監控和通知已識別韌體漏洞功能的年度支援套件。修補程式建立和傳送也適用於使用原始 Phoenix 韌體的裝置。