Firmware beveiliging: pas op voor deze 5 excuses

De vraag was op zichzelf niet vreemd. Zoals de meeste pc-gebruikers weten, is BIOS – acroniem voor Basic Input / Output System – een integraal onderdeel van elk computersysteem. Het up-to-date houden van het BIOS is essentieel voor zowel de systeemprestaties als de beveiliging. Maar destijds – meer dan tien jaar geleden – was het verrassend dat onze COO het vroeg. Ook al was ze geen techneut, ze begreep dat het compromitteren van je firmware echte zakelijke implicaties heeft.

Tegenwoordig realiseren CEO’s en bestuursleden zich dat ze een fiduciaire verantwoordelijkheid hebben om op zijn minst slimme vragen te stellen over cybersecurityrisico’s zoals firmware en supply chain-beveiliging. Firmware is software die specifiek is ontworpen voor hardware, zoals harde schijf, USB of UEFI. Elk modern computersysteem of slim apparaat is opgebouwd uit tientallen van dergelijke componenten. Bedrijfsleiders hoeven of willen misschien niets weten over de diepgaande technische problemen van firmwarebeveiliging, maar het is wel belangrijk om te weten waarom het belangrijk is en hoe ze de risico’s kunnen begrijpen. Het is niets anders dan de CFO vragen naar aanstaande financiële kwartaalresultaten en geen aanwijzingen oppikken over de grote voorraad afschrijvingen.

Kwetsbaarheden in de hardwarebeveiliging zijn reëel en komen steeds vaker voor. Forrester Research merkt op dat 63% van de organisaties zei dat ze het afgelopen jaar ten minste één datalek hebben meegemaakt als gevolg van kwetsbaarheden in de hardware of firmware. Dit zijn openingen die hackers, malafide natiestaten en andere cyberaanvallers gewoon wachten om te exploiteren.

Wanneer bedrijfsleiders lezen of horen dat bedrijven over de hele wereld hun systemen hebben gecompromitteerd, kunnen ze die gelegenheid aangrijpen om de CISO of het hoofd van de beveiligingsactiviteiten te vragen wat ze doen om kwetsbaarheden te identificeren en te voorkomen.

Als hun reactie overeenkomt met een van de volgende excuses is het verstandig om goed uit te kijken.

Excuus nr. 1: maak je geen zorgen, onze firmware is veilig.

Tenzij je team precies kan documenteren wat ze hebben gedaan om firmware-bedreigingen te identificeren en te beperken, staar je mogelijk naar een probleem. Firmware kwetsbaarheden kunnen in vrijwel elk systeem of apparaat worden gevonden. Helaas hebben de meeste organisaties geen regelmatige patch-praktijken om firmware, harde schijven of andere componenten op te schonen, zelfs niet na de wake-up call van Spectre en Meltdown-kwetsbaarheden die de meeste computers wereldwijd teisteren. Dit verlaagt de lat voor hackers drastisch en creëert een ideale omgeving voor verborgen en hardnekkige achterdeurtjes.

Het aantal kwetsbaarheden in firmware is de afgelopen jaren enorm gestegen. Beveiligingsonderzoekers zijn van mening dat het totale aantal Common Vulnerabilities and Exposures (CVE’s) 7,5 keer groter is dan wat slechts drie jaar geleden werd gedocumenteerd. Firmware kwetsbaarheden komen vaak voor in beveiligingsfuncties zoals privileges en toegangscontrole, en worden vaak te laat ontdekt. Dus ja, je moet je zorgen maken over firmware, omdat deze vaak helemaal niet wordt beheerd.

Excuus 2: Firmware aanvallen zijn sciencefiction.

Er wordt wel gezegd dat het ontkennen van een probleem een ​​zeer krachtig en moeilijk te overwinnen iets is voor organisaties. Firmware aanvallen zijn echt, gedocumenteerd en gevaarlijk. Sinds we hebben gehoord over enkele spraakmakende aanvallen van Edward Snowden en de Shadow Brokers, zijn er meer firmware-aanvallen van een breder scala aan slechte actoren. Er zijn zelfs commerciële hackersorganisaties die firmware-backdoors gebruiken als hun belangrijkste visitekaartje. Door een gebrek aan beveiligingsmonitoring op dit niveau is alles wat we weten echter waarschijnlijk slechts het topje van de ijsberg.

Excuus nr. 3: Ze kunnen er niet in – hackers hebben fysieke toegang tot onze hardware en firmware nodig.

Het is waar dat fysiek knoeien het meest bekende type firmware-beveiligingsaanval is. We hebben allemaal wel eens onze notitieboekjes in onze hotelkamer laten liggen, zelfs maar even, terwijl we naar het fitnesscentrum gaan of iets te eten pakken. Hotelmedewerkers zijn omgekocht om een ​​achterdeur te installeren op een systeem dat in een hotelkamer is achtergelaten.

Een andere bedreigingsvector zijn supply chain-aanvallen, waarbij firmware kan worden gemanipuleerd door de fabrikant of tijdens het leveringsproces van het systeem. Zonder de juiste due diligence of het patchproces kunnen dergelijke firmware-implantaten tientallen jaren in je datacenter blijven zonder dat iemand het merkt. Al deze firmware-aanvallen kunnen ook op afstand plaatsvinden. Hackers kunnen op afstand gehackte applicaties of systemen gebruiken om de firmware te misbruiken voor hardnekkige bewakings- of sabotage doeleinden. Maar het is nog angstaanjagender om te zien dat sommige firmware componenten op dezelfde manier bereikbaar zijn op het netwerk of internet als je applicaties.

Excuus 4: Mijn supply chain-proces controleert op veiligheid.

De meeste organisaties hebben supply chain-processen die controleren op waarheidsgetrouwheid, respons op incidenten, beheer van softwarekwetsbaarheden en meer. Maar organisaties voeren zelden controles uit om de integriteit van firmware of hardware op verschillende punten in de toeleveringsketen te verifiëren. Bijgevolg krijgen aanvallers die in de supply chain-processen kunnen sluipen, een gemakkelijke manier om verborgen achterdeurtjes te behouden onder de oppervlakte van de zichtbaarheid van het cybersecuritysteam. Bedreiging van binnenuit is niet voor alle organisaties een groot probleem, maar degenen die waardevolle geheimen hebben, moeten dit serieus nemen. Het recente geval van een hacker die probeerde een Tesla-medewerker te rekruteren met $ 1 miljoen om malware te installeren, is een goed voorbeeld van deze trend.

Excuus # 5: ik ga naar firmware beveiliging nadat ik voor de basis heb gezorgd.

In dit tijdperk van COVID-19 en budgettaire druk is dit gemakkelijk te begrijpen. We moeten allemaal prioriteiten stellen, dus het is verleidelijk om firmware beveiliging op een laag pitje te zetten totdat schijnbaar grotere problemen, zoals cloudmigratie van patchprogramma’s, zijn opgelost. Tot voor kort was het aantal firmware-cyberdieven met veel ervaring vrij beperkt, waarbij de meeste uitbuitingen waren gericht op applicaties of besturingssystemen. Maar met meer onderzoek dat wordt gepubliceerd (en gedeeld door slechteriken), hebben aanvallers hun inspanningen opgevoerd om kwetsbaarheden in firmware te misbruiken. 

Als je dit aanvalsoppervlak helemaal niet beschouwt of negeert, dan accepteer je de constant groeiende risico’s voor je organisatie. Als we kijken naar firmware-aanvallen uit het verleden, kunnen we wat lessen in cyberveiligheid leren. Maar het is het beste om het verleden niet te herhalen. Organisaties moeten firmware en beveiliging van de toeleveringsketen onderdeel maken van hun risico- en dreigingsbeheerprogramma’s.

Het is alsof je je huis beveiligt

Om zakenmensen en bestuursleden te helpen het belang in te zien van het zorgen voor goede firmwarebeveiliging, gebruik ik graag een metafoor die we allemaal kennen, begrijpen en waarderen: huisveiligheid.

Gezond verstand, en soms ervaringen uit de eerste hand, zorgen ervoor dat we niet verwachten dat onze huizen veilig zijn als de deuren en ramen wijd open staan ​​en onze waardevolle spullen voor iedereen zichtbaar zijn. Je kunt net zo goed met een spandoek zwaaien dat schreeuwt: “Hé dieven, kom binnen.”

Firmwarebeveiliging is op dezelfde manier. Je zou je firmware moeten vertrouwen. Implementeer continu patching en configuratiebeheer. Bewaak kritieke servers en scan laptops en smartphones die zich in onveilige omgevingen bevonden. Zorg ervoor dat je de essentiële veiligheidshygiëne in acht neemt.

Het is als: hoe vaak hebben we onszelf afgevraagd toen we ons huis verlieten: “Heb ik de deur op slot gedaan?” Zorg er dus voor dat je je deuren op slot doet, vervang onveilige sloten, installeer een bewegingsdetector en een beveiligingscamera.

Als je je firmware niet vergrendelt, kun je niemand de schuld geven als de aanvallers de achterdeur binnensluipen en de intellectuele eigendom en klantgegevens van uw organisatie grijpen.