計算機或嵌入式設備在一天開始時通電，首先啟動的是什么？設備的固件。在嵌入式開發中，固件是嵌入式設備系統安全的基礎，從智能冰箱等常見家用物品到為主要基礎設施供電的工業控制系統。

固件對設備運行至關重要，這意味著對固件的成功攻擊不是一般的安全威脅。當有人入侵固件時，他們已經獲得了沒有病毒掃描程序或操作系統工具可以檢測或修復損害的訪問權。當黑客成功攻擊固件時，他們就在整個系統上獲得了強大的立足點。

大多數用戶——無論是個人還是企業——都對威脅視而不見。微軟2021 年3月的安全信號報告發現，令人震驚的是，80%的企業在過去兩年中至少遭受過一次固件攻擊。在報告中，商業領袖指出，他們發現很難發現威脅，固件漏洞因缺乏意識而加劇。來自國家漏洞數據庫（NVD）的數據還顯示，過去20年來固件漏洞激增。

雖然對固件研究和嵌入式開發的日益關注有助于發現威脅的激增，但它們不僅僅是最小的風險。這些安全威脅與眾多威脅一樣嚴重，NVD數據表明，發現的大多數問題都是嚴重或高度嚴重的。

固件攻擊的潛在后果正如你所能想象的那樣令人不快——威脅參與者可能會等待數年，直到發動攻擊最有意義為止；他們還可以收集信息并控制整個系統，使基礎設施無法運行。

行業行為的影響

行業行為是固件攻擊增加的根源。在過去的10年里，人們一直呼吁增加系統和軟件的標準化，包括開放源碼的開發。雖然業界遵從了這一要求，但標準化程度的提高拓寬了攻擊面。

固件攻擊盛行的另一個重要原因是缺乏對嵌入式系統固件的升級。嵌入式系統固件的使用壽命通常要比同類產品長得多，大約可以部署10年或更長時間。由于這些系統已經部署了相當長的時間，這意味著應該更密切地監控固件。

但通常是這樣嗎？

可惜，答案是否定的。在嵌入式開發中，許多嵌入式系統在其生命周期中沒有進行固件升級，盡管固件提供商提出了建議。為什么？一些人說他們擔心他們的系統可能無法承受升級，而另一些人認為他們無法承受可能導致的停機時間。

實際上，停機時間可以安排為與其他日常維護同時進行，而攻擊的成本遠遠大于系統離線的幾個小時。根據IBM Security的《2022年數據泄露成本報告》，關鍵基礎設施攻擊的平均成本為482萬美元。如果不實施推薦的補丁和系統升級，系統將面臨這些攻擊，關鍵的工業控制系統可能會落入錯誤的手中。至關重要的是，系統集成商要注意他們的固件，在他們發現問題之前，不要讓它處于無人看管的狀態，因為在這一點上，補救可能為時已晚。

一個有用的類比是把固件想象成一個五層樓的建筑，包括地下室。除非供水、電力系統或暖通空調出現問題，否則地下室通常無人看管。

系統也是如此。嵌入式開發人員考慮保護他們的操作系統和應用軟件，而較少關注固件，固件是系統的基礎。在系統無法正常啟動或硬盤無法正常工作之前，我們很容易認為一切正常。對固件安全性的自滿必須被視為對組織的一種威脅。

了解到固件攻擊正在增加，大多數公司可以采取以下措施來保護他們的系統：

1.了解固件的用途以及所用系統上的固件。

2.尋找提供平臺信任根的產品，這是計算系統安全操作所依賴的基礎。

3.確保固件已經過驗證。

4.了解固件損壞時保護系統的機制。

5.了解如何還原和恢復固件。

6.已經加強了IT政策，例如定期更新固件的做法

行業的下一步

對企業來說，控制其固件安全性很重要，但從政府層面更好地執行也是提高整個供應鏈安全性的關鍵。歐盟正在采取積極措施，制定強化的網絡安全要求法規，稱為《網絡彈性法案》，該法案要求在產品的整個生命周期內提高安全性，并要求硬件和軟件生產商建立網絡安全框架。

雖然企業應該注意到固件攻擊的增加，但對于采取合理預防措施保護其系統并遵循建議步驟的組織來說，這并不是一個主要問題。隨著歐盟采取行動實施更好的法規，希望嵌入式開發人員也能效仿，減少固件攻擊的數量。