微软：固件攻击正在增加，您不必担心它们

一项由微软委托进行的研究表明，企业忙于打补丁而不用担心固件攻击。

微软在2021年3月发布的首份安全信号报告中显示，过去两年中80％的企业遭受了一次固件攻击，但是不到三分之一的安全预算专用于保护固件。 

固件攻击很难处理。由政府赞助的黑客组织APT28或Fancy Bear，于2018年使用统一可扩展固件接口（UEFI）Rootkit锁定Windows PC。还存在依赖硬件驱动程序的攻击，例如RobbinHood，Uburos，Derusbi，Sauron和GrayFish，以及ThunderSpy（针对Thunderbolt端口的理论攻击）。

微软去年推出了一系列新的“安全核心” Windows 10 PC，以对抗恶意软件，这些恶意软件会篡改启动PC的主板中的代码。它还在Microsoft Defender ATP中发布了UEFI扫描程序，可在固件文件系统内部进行扫描以查找是否存在恶意软件。

但是，微软委托Hypothesis Group进行的一项研究表明，企业对固件攻击的重视程度不够。  

微软指出：“研究表明，当前的投资将用于安全更新，漏洞扫描和高级威胁防护解决方案。”   

“尽管如此，许多组织仍担心恶意软件访问其系统以及难以检测到威胁，这表明固件更难监控和控制。由于缺乏意识和缺乏自动化，固件漏洞也更加严重。 ”

值得注意的是，微软正在推广其“新兴级别的安全核心硬件”，例如基于Arm的Surface Pro X（起价1,500美元）和SQ2处理器，或零售价不少于2,000美元的HP Dragonfly笔记本电脑。 

但是公司确实有一点。固件位于操作系统下面，是凭据和加密密钥存储在内存中的位置，对于防病毒软件而言，固件是看不到的。

微软说：“当今市场上的许多设备都无法提供对该层的可见性，以确保攻击者在启动过程之前或内核运行时没有破坏设备。而且攻击者已经注意到了。” 

问题是安全团队是否对未来的威胁足够关注。微软认为他们不是。《安全信号》调查发现，有36％的企业投资于基于硬件的内存加密，而46％的企业则购买基于硬件的内核保护。

微软的研究发现，安全团队专注于“保护和检测”安全模型，并指出，只有39％的安全团队时间用于预防。 

微软表示，缺乏对内核攻击媒介的积极防御投资就是这种过时的模型的一个例子。

在接受采访的1000位企业安全决策者中，大多数（82％）表示他们没有足够的资源来解决高影响力的安全工作，因为他们忙于处理补丁，硬件升级以及缓解内部和外部漏洞。