计算机或嵌入式设备在一天开始时通电，首先启动的是什么？设备的固件。在嵌入式开发中，固件是嵌入式设备系统安全的基础，从智能冰箱等常见家用物品到为主要基础设施供电的工业控制系统。

固件对设备运行至关重要，这意味着对固件的成功攻击不是一般的安全威胁。当有人入侵固件时，他们已经获得了没有病毒扫描程序或操作系统工具可以检测或修复损害的访问权。当黑客成功攻击固件时，他们就在整个系统上获得了强大的立足点。

大多数用户——无论是个人还是企业——都对威胁视而不见。微软2021 年3月的安全信号报告发现，令人震惊的是，80%的企业在过去两年中至少遭受过一次固件攻击。在报告中，商业领袖指出，他们发现很难发现威胁，固件漏洞因缺乏意识而加剧。来自国家漏洞数据库（NVD）的数据还显示，过去20年来固件漏洞激增。

虽然对固件研究和嵌入式开发的日益关注有助于发现威胁的激增，但它们不仅仅是最小的风险。这些安全威胁与众多威胁一样严重，NVD数据表明，发现的大多数问题都是严重或高度严重的。

固件攻击的潜在后果正如你所能想象的那样令人不快——威胁参与者可能会等待数年，直到发动攻击最有意义为止；他们还可以收集信息并控制整个系统，使基础设施无法运行。

行业行为的影响

行业行为是固件攻击增加的根源。在过去的10年里，人们一直呼吁增加系统和软件的标准化，包括开放源码的开发。虽然业界遵从了这一要求，但标准化程度的提高拓宽了攻击面。

固件攻击盛行的另一个重要原因是缺乏对嵌入式系统固件的升级。嵌入式系统固件的使用寿命通常要比同类产品长得多，大约可以部署10年或更长时间。由于这些系统已经部署了相当长的时间，这意味着应该更密切地监控固件。

但通常是这样吗？

可惜，答案是否定的。在嵌入式开发中，许多嵌入式系统在其生命周期中没有进行固件升级，尽管固件提供商提出了建议。为什么？一些人说他们担心他们的系统可能无法承受升级，而另一些人认为他们无法承受可能导致的停机时间。

实际上，停机时间可以安排为与其他日常维护同时进行，而攻击的成本远远大于系统离线的几个小时。根据IBM Security的《2022年数据泄露成本报告》，关键基础设施攻击的平均成本为482万美元。如果不实施推荐的补丁和系统升级，系统将面临这些攻击，关键的工业控制系统可能会落入错误的手中。至关重要的是，系统集成商要注意他们的固件，在他们发现问题之前，不要让它处于无人看管的状态，因为在这一点上，补救可能为时已晚。

一个有用的类比是把固件想象成一个五层楼的建筑，包括地下室。除非供水、电力系统或暖通空调出现问题，否则地下室通常无人看管。

系统也是如此。嵌入式开发人员考虑保护他们的操作系统和应用软件，而较少关注固件，固件是系统的基础。在系统无法正常启动或硬盘无法正常工作之前，我们很容易认为一切正常。对固件安全性的自满必须被视为对组织的一种威胁。

了解到固件攻击正在增加，大多数公司可以采取以下措施来保护他们的系统：

1.了解固件的用途以及所用系统上的固件。

2.寻找提供平台信任根的产品，这是计算系统安全操作所依赖的基础。

3.确保固件已经过验证。

4.了解固件损坏时保护系统的机制。

5.了解如何还原和恢复固件。

6.已经加强了IT政策，例如定期更新固件的做法

行业的下一步

对企业来说，控制其固件安全性很重要，但从政府层面更好地执行也是提高整个供应链安全性的关键。欧盟正在采取积极措施，制定强化的网络安全要求法规，称为《网络弹性法案》，该法案要求在产品的整个生命周期内提高安全性，并要求硬件和软件生产商建立网络安全框架。

虽然企业应该注意到固件攻击的增加，但对于采取合理预防措施保护其系统并遵循建议步骤的组织来说，这并不是一个主要问题。随着欧盟采取行动实施更好的法规，希望嵌入式开发人员也能效仿，减少固件攻击的数量。