Microsoft: Атаки на мікропрограми зростають, і ви недостатньо про них турбуєтесь

Перший звіт Microsoft про сигнали безпеки за березень 2021 року показує, що 80% підприємств стикалися з ним атаки мікропрограм протягом останніх двох років, але менше третини бюджетів безпеки спрямовано на захист прошивка.

Боротися з атаками мікропрограм непросто. Спонсорована державою хакерська група APT28, або Fancy Bear, була спійманий у 2018 році за допомогою руткіта Unified Extensible Firmware Interface (UEFI) для ПК з Windows. Були також атаки, які покладаються на драйвери обладнання, такі як RobbinHood, Uburos, Derusbi, Sauron і GrayFish, а також ThunderSpy, теоретична атака, спрямована на порти Thunderbolt.

Минулого року корпорація Майкрософт випустила нову лінійку ПК з Windows 10 із захищеним ядром, щоб протидіяти зловмисному програмному забезпеченню, яке втручається в код материнських плат, які завантажують ПК. Це також випустила сканер UEFI в Microsoft Defender ATP сканувати файлову систему мікропрограми на наявність шкідливих програм.

ПОБАЧИТИ: Політика безпеки мережі (TechRepublic Premium)

Але підприємства не ставляться до атак мікропрограм досить серйозно, згідно з дослідженням, яке Microsoft доручила провести Hypothesis Group.

«Дослідження показало, що поточні інвестиції спрямовані на оновлення системи безпеки, сканування вразливостей і розширені рішення захисту від загроз», — зазначає Microsoft.

«Проте незважаючи на це, багато організацій стурбовані тим, що зловмисне програмне забезпечення може отримати доступ до їхніх систем труднощі з виявленням загроз, що свідчить про те, що прошивку важче контролювати та КОНТРОЛЬ. Уразливість мікропрограми також посилюється недостатньою обізнаністю та відсутністю автоматизації».

Варто зазначити, що Microsoft рекламує свій «новий клас захищеного апаратного забезпечення», наприклад Surface Pro X на базі Arm, ціна від 1500 доларів, із процесором SQ2 або ноутбуки HP Dragonfly, які продаються не менше ніж 2000 доларів США.

Але компанія має право. Мікропрограмне забезпечення знаходиться під операційною системою, де облікові дані та ключі шифрування зберігаються в пам’яті, де вони не видимі для антивірусного програмного забезпечення.

«Багато пристроїв на ринку сьогодні не пропонують видимість цього рівня, щоб переконатися, що зловмисники не скомпрометували пристрій до процесу завантаження або під час виконання під ядром. І зловмисники це помітили», — кажуть у Microsoft.

ПОБАЧИТИ: Фішинг: це найпоширеніші методи атаки на ваш ПК

Питання полягає в тому, чи служби безпеки достатньо придивляються до майбутніх загроз. Microsoft вважає, що ні. Опитування Security Signals показало, що 36% компаній інвестують в апаратне шифрування пам’яті, а 46% купують апаратні засоби захисту ядра.

Дослідження Microsoft показало, що групи безпеки зосереджуються на моделях безпеки «захист і виявлення», вказавши, що лише 39% часу команди безпеки витрачають на запобігання.

За словами Microsoft, прикладом цієї застарілої моделі є відсутність інвестицій у проактивний захист у вектори атак на ядро.

Більшість із 1000 опитаних осіб, які приймають рішення щодо безпеки підприємств (82%), сказали, що вони не мають достатньо ресурсів для вирішення проблем із сильним впливом. роботи з безпеки, оскільки вони надто зайняті виправленнями, оновленням апаратного забезпечення та пом’якшенням внутрішніх і зовнішніх уразливості.