情境示意圖,圖片來源/微軟

微軟一項研究指出韌體攻擊愈來愈升溫,但是企業卻沒有相對的投資強化防護。

微軟三月份針對1千家美、英、德、中、日等地大型企業做的安全研究Security Signals顯示,過去兩年有80%的企業至少經歷一次韌體攻擊,但是只有29%的預算是投入在韌體防護上。

這項研究顯示目前企業安全投資重點包括安全升級、弱點掃瞄、進階安全防護(advanced threat protection,ATP)。但是在硬體層的安全投資比例相對較低;僅36%的企業採購硬體記憶體加密方案,46%購買硬體式的OS核心防護。

微軟也指出,韌體更難監控及控制。另一方面,韌體漏洞缺乏自動化及企業未注意,而使韌體威脅加劇。但根據微軟調查顯示,21%的受訪者坦承他們沒有在監控韌體資料,並有41%說因為沒有自動更新機制,韌體手動更新占了他們41%的時間。

韌體層威脅成為新興威脅,包括經由Thunderbolt介面存取電腦記憶體的ThunderSpy,光是去年還冒出RobbinHood、Uburos、Derusbi、Sauron和GrayFish等。韌體漏洞則包括蘋果T2安全晶片的漏洞。

對此,安全及電腦產業從硬體著手來防堵威脅。如去年微軟宣布與AMD、Intel及高通合作,共同打造Pluton安全處理器,以確保未來Windows裝置的安全性。另外微軟及宏碁、華碩、聯想、Dell、HP等OEM合作,打造著重防禦韌體威脅的產品線,稱為Secured-core PC。在上個月的Ignite大會上,微軟也將這層合作擴大到伺服器及物聯裝置。

熱門新聞

Advertisement