日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
大多數(shù)企業(yè)漏洞根植在固件中

企業(yè)文化和對(duì)安全的整體態(tài)度,是固件漏洞的主要貢獻(xiàn)者——信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)

 ISACA是全球性企業(yè)技術(shù)和網(wǎng)絡(luò)安全協(xié)會(huì),日前發(fā)布了一份研究報(bào)告,稱大多數(shù)企業(yè)沒有全面的方案處理固件安全風(fēng)險(xiǎn)。

盡管隨著包括物聯(lián)網(wǎng)(IoT)設(shè)備在內(nèi)的企業(yè)硬件足跡愈加膨脹,企業(yè)越來越意識(shí)到固件安全的逐漸加碼,他們卻依然沒有應(yīng)對(duì)固件安全風(fēng)險(xiǎn)的整體方案。

ISACA的“固件安全風(fēng)險(xiǎn)和緩解、企業(yè)實(shí)踐和挑戰(zhàn)”報(bào)告,強(qiáng)調(diào)了對(duì)硬編碼在只讀存儲(chǔ)器(ROM)中固件的強(qiáng)有力安全管理控制和審計(jì)實(shí)踐的建立。

該研究基于對(duì)橫跨北美、歐洲和亞洲的750名網(wǎng)絡(luò)安全從業(yè)者的調(diào)查,表明緩解安全風(fēng)險(xiǎn)的基礎(chǔ),是企業(yè)以一種安全優(yōu)先的態(tài)度來看待硬件生命周期管理,而不是將之視為純粹的操作層面問題。

衛(wèi)生保健安全公司MedSec董事兼CEO賈斯汀·伯恩說:“固件安全不再是一個(gè)理論問題?!?/p>

“證據(jù)顯示,攻擊者已將固件當(dāng)做攻擊目標(biāo)。今天的很多數(shù)據(jù)泄露和漏洞發(fā)現(xiàn)都源于固件問題?!?/p>

盡管解決方案紛紛出臺(tái),大多數(shù)企業(yè)環(huán)境依然尚未準(zhǔn)備好。“雖然在這個(gè)問題上‘知識(shí)就是力量’是很明顯的事兒,但該研究充分表明了,企業(yè)文化和對(duì)待安全的整體態(tài)度,很明顯是漏洞的主要貢獻(xiàn)者?!?/p>

在硬件生命周期管理中安全優(yōu)先的受訪者,過半數(shù)(52%)的人至少報(bào)告了1起感染惡意軟件的固件被引入到公司系統(tǒng)中的事件。17%的此類事件造成了實(shí)質(zhì)性影響。

與之相對(duì),硬件生命周期管理中忽視安全的受訪者,未知惡意軟件發(fā)生的概率非常高(73%)。這表明有很多漏洞仍未被檢測,沒被打上補(bǔ)丁,滋生了安全風(fēng)險(xiǎn)。

知情缺失還對(duì)信心造成了影響,71%安全優(yōu)先度低的受訪者,覺得自己沒準(zhǔn)備好處理網(wǎng)絡(luò)攻擊。

報(bào)告稱,想要能夠解決這些弱點(diǎn),企業(yè)需要加強(qiáng)IT部門和審計(jì)人員間的合作與溝通,建立健壯的硬件生命周期管理控制。研究顯示,根據(jù)審計(jì)團(tuán)隊(duì)的反饋部署行動(dòng),是風(fēng)險(xiǎn)緩解的關(guān)鍵。

補(bǔ)丁管理過程

調(diào)查表明,認(rèn)為自家企業(yè)完全遵從固件審計(jì)的受訪者,63%的人報(bào)告了補(bǔ)丁管理過程中更高的有效性。另一方面,不接收任何審計(jì)反饋的那些(51%),對(duì)固件完整性監(jiān)視和漏洞修復(fù),沒有任何控制。

ISACA董事會(huì)主席,Intralot信息安全組長克里斯托斯·迪米特里阿迪斯稱:“將固件維護(hù)視作運(yùn)營職能而非安全問題,漏洞被利用的機(jī)會(huì)就會(huì)一直存在?!?/p>

是時(shí)候在我們的風(fēng)險(xiǎn)評(píng)估中強(qiáng)調(diào)固件安全的重要性了,基于威脅模型的控制優(yōu)先也應(yīng)根植進(jìn)每一個(gè)企業(yè),無論這是否涉及間諜活動(dòng)、交易完整性損失或業(yè)務(wù)中斷。

報(bào)告為企業(yè)提出了幾條防止固件攻擊的建議:

  • 在盡可能的地方,找那些允許企業(yè)獨(dú)立驗(yàn)證設(shè)備(服務(wù)器、無論、存儲(chǔ)、IoT)完整性的廠家。
  • 將設(shè)備隔離進(jìn)不同信任區(qū),讓企業(yè)可以分別操作可信設(shè)備或不可信設(shè)備。
  • 建立固件更新策略。
  • 由于持續(xù)監(jiān)視是最重要的,應(yīng)獲取專門用于通過網(wǎng)絡(luò)監(jiān)視設(shè)備完整性的系統(tǒng)和技術(shù),利用諸如可信平臺(tái)模塊(TPM)之類值得信賴的技術(shù)。

文章題目:大多數(shù)企業(yè)漏洞根植在固件中
網(wǎng)站鏈接:http://www.dlmjj.cn/article/dhieeeh.html