近日，微軟發布了名為《Security Signals》的研究報告。報告顯示，過去兩年中，83%的組織至少遭受了一次固件攻擊，而只有29%的組織分配了預算來保護固件。

調查中大部分公司都表示，他們是固件攻擊的受害者，但相關保護的支出是相當滯后的。微軟調查了來自中國、德國、日本、英國和美國的1000個企業安全決策者，組織的大多數安全投資都用于安全更新、漏洞掃描和高級威脅防護。

許多組織仍擔心惡意軟件訪問其系統以及檢測威脅的難度，而固件更難以監視和控制，缺乏意識和缺乏自動化也加劇了固件漏洞的威脅。

固件是一類特定的計算機軟件，可為設備的特定硬件提供底層控制。因為固件通常會包含敏感信息，例如憑據和加密密鑰，所以固件通常會成為攻擊者的目標。美國國家標準技術研究院(NIST)的國家漏洞數據庫(NVD)的數據也證實了這一問題，在過去的四年中，針對固件的攻擊增加了五倍以上。

對固件保護技術的投資也是不夠的，如內核數據保護(KDP)或內存加密。

“基于硬件的安全性功能可阻止惡意軟件或惡意攻擊者破壞操作系統的內核內存或在運行時讀取該內存，這是針對內核的復雜攻擊的準備”——報告顯示。“只有36%的企業投資于基于硬件的內存加密，而不到一半(46%)的企業投資于基于硬件的內核保護”。

報告同時顯示，有21%的決策者承認他們無法監控固件數據。接受微軟調查的受訪者中有82%承認他們沒有資源來防止固件攻擊。

基于硬件的攻擊越來越多，例如針對Thunderbolt端口的ThunderSpy攻擊，該攻擊使用直接內存訪問(DMA)功能來入侵訪問Thunderbolt控制器的設備。

安全團隊將41%的時間花費在可以自動化的固件補丁上。幸運的是，對固件風險的認識水平正在提高，從而推動了對該領域的更多投資。

“接受調查的德國公司中有81%準備并愿意投資，相比之下，中國公司的95%和美國，英國和日本的91%的公司表示要對此進行投資。盡管金融服務行業的公司不如其他行業的公司那么容易做出決定，但有89%的受監管行業公司感到愿意并有能力投資于安全解決方案”。

參考來源：SecurityAffairs