مایکروسافت اخیرا گزارشی با عنوان «گزارش سیگنالهای امنیتی مارس 2021» منتشر کرد که در آن اذعان شده بیش از 80% از سازمانهای بینالمللی قربانی حداقل یک حملهی firmware طی دو سال اخیر شدهاند. این مطالعه عنوان کرده که تنها 29% درصد از سازمانهای هدف قرارگرفته برای محافظت از firmware بودجه اختصاص دادهاند.
در یک نظرسنجی بینالمللی انجام شده توسط مایکروسافت، شرکتهای بسیار زیادی گزارش کردهاند که قربانی یک حملهی سایبری متمرکز بر firmware بودهاند؛ ولی با این وجود تعلل زیادی در تخصیص هزینههای دفاعی از سوی آنها دیده میشود.
این مطالعه که بر اساس اطلاعات گرفتهشده از 1000 مدیر امنیتی بالاردهی سازمانی از چین، آلمان، ژاپن، انگلستان و ایالات متحده بوده است، نشان داده که اکثر سرمایهگذاریهای امنیتی صرف بهروزرسانیهای امنیتی، اسکنهای آسیبپذیری و راهکارهای حفاظت در برابر تهدیدات پیشرفته میشوند.
در گزارش مایکروسافت آمده است:
«این مطالعه نشان میدهد که سرمایهگذاریهای فعلی صرف بهروزرسانیهای امنیتی، اسکن آسیبپذیری و راهکارهای حفاظت در برابر تهدیدات پیشرفته شدهاند. با این وجود همچنان بسیاری از سازمانها نگران دسترسی بدافزارها به سیستمهای خود و همچنین دشواری تشخیص تهدیدات هستند، و اذعان دارند که مانیتورکردن و کنترل حملات firmware دشوارتر است. عدم وجود آگاهی کافی و اتوماسیون نیز آسیبپذیریهای firmware را تشدید میکنند.»
حملات Firmware چیست؟
Firmware نوع خاصی از نرمافزار کامپیوتری است که کنترل یک سختافزار خاص در یک دستگاه را در سطح پایین فراهم میکند.
آسیبپذیری Firmware در حال تبدیلشدن به یکی از اهداف محبوب عاملان تهدید است؛ دلیل آن هم این است که معمولا اطلاعات حساسی مانند اطلاعات هویتی یا کلیدهای رمزگذاری را در خود دارد. این دادهها که توسط دیتابیس ملی آسیبپذیری (NVD) موسسه ملی استاندارد و فناوری (NIST) تایید شدهاند، افزایشی پنج برابری در حملات صورتگرفته روی firmware را در چهار سال گذشته نشان میدهند.
عدم وجود سرمایهگذاریهای متمرکز بر حفاظت از firmware، مانند حفاظت از دادههای کرنل (KDP)، یا رمزگذاری حافظه، یکی از نگرانکنندهترین دادههای موجود در گزارش است.
در این گزارش آمده است:
«امکانات امنیتی مبتنی بر سختافزار مانند حفاظت از دادههای کرنل (KDP)، یا رمزگذاری حافظه، که از آسیبدیدن حافظهی کرنل سیستم عامل یا خواندهشدن آن در هنگام اجرا توسط بدافزارها یا عاملان تهدید جلوگیری میکنند، یکی از بزرگترین شاخصهایی هستند که آمادگی در برابر حملات پیشرفته در سطح کرنل را نشان میدهند. گزارش سیگنالهای امنیت دریافته است که تنها 36% از کسبوکارها روی رمزگذاری سختافزاری حافظه سرمایهگذاری میکنند و کمتر از نیمی از کسبوکارها (46%) روی حفاظتهای سختافزاری کرنل سرمایهگذاری میکنند.»
ناتوان در کنترل حملات Firmware
بر اساس این گزارش، 21% از مدیران ردهبالا اقرار کردهاند که توانایی مانیتورکردن دادههای firmware را ندارند. 82% از شرکتکنندگان در نظرسنجی مایکروسافت اقرار کردهاند که نمیتوانند منابع کافی را برای جلوگیری از حملات firmware تخصیص دهند.
این گزارش همچنین خطرات حملات سختافزاری مانند حملهی ThunderSpy را نشان میدهد. این حمله پورتهای Thunderbolt را هدف قر میدهد و از قابلیت دسترسی مستقیم به حافظه (Direct Memory Access: DMA) برای آلودهکردن دستگاههایی استفاده میکند که به کنترلر تاندربولت دسترسی پیدا میکنند.
اکثر سازمانها (71% آنها) با فعالیتهای بیهوده وقت ارزشمند کارکنان محدود خود را به هدر میدهند؛ تیمهای امنیتی 41% از زمان خود را صرف پیادهسازی پچهای firmware میکنند، در حالی که امکان اتوماسیون این فرایند وجود دارد.
خوشبختانه سطح آگاهی نسبت به حملات firmware در حال افزایش بوده و همین امر باعث شده سرمایهی بیشتری به این حوزه اختصاص داده شود.
این گزارش در نتیجهگیری خود آورده است:
«هشتاد و یک درصد از شرکتهای آلمانی که توسط ما مصاحبه شدند، آماده و راغب برای سرمایهگذاری بودند، این رقم برای سازمانهای چینی معادل 95% و برای کسبوکارهای ایالات متحده، انگلستان و ژاپن معادل 91% است. هشتاد و نه درصد از شرکتهای دولتی برآورد میکنند که توانایی و رغبت سرمایهگذاری روی راهکارهای امنیتی لازم را دارند، در حالی که آن دسته از شرکتها که در صنعت خدمات مالی فعالیت میکنند به اندازهی شرکتهای فعال در حوزههای دیگر آمادهی سرمایهگذاری نیستند».
«آندسته از سازمانهایی که سرمایهگذاریهای درست را انجام دادهاند شاهد بازگشت سرمایه بودهاند، و سازمانهایی که در این نظرسنجی سرمایهگذاری واقعی روی امنیت انجام داده بودند، عواید بسیار زیادی از این سرمایهگذاری به دست آوردهاند».
