主动重视固件安全!

2017年7月3日

固件无处不在;几乎我们每天使用的所有系统和几乎所有技术设备都包含固件——最明显的例子就是电脑/笔记本电脑。固件也极易受到恶意软件攻击,黑客会篡改固件,即使安全管理员“修复”了初始问题,也会造成持续性故障。固件攻击如此普遍,以至于人们不断研究如何预防此类攻击,谷歌上“固件破解”和“固件安全”的搜索量逐年增长。

为什么固件攻击如此普遍?修改固件架构本身并非易事;然而,恶意软件攻击者通常会在启动前阶段插入恶意代码来破坏固件,直接攻击BIOS/UEFI固件。一旦固件被破坏,即使修复了问题,固件也无法恢复到无故障状态,即使它只被感染过一次。系统将持续出现问题,给安全管理员带来诸多麻烦。

固件攻击已变得如此普遍,以至于美国国家标准与技术研究院 (NIST) 制定了一套指南——NIST 特别出版物 800-147,详细说明了如何保护 BIOS/UEFI 固件免受恶意软件威胁。BIOS/UEFI 是 PC 架构的核心组成部分,鉴于固件攻击的威胁日益逼近,安全管理人员需要积极主动地创建安全的 BIOS 固件安全流程,以保护系统免受恶意修改。

防止固件攻击的关键在于建立完善的防御体系。那么,安全管理人员该如何预防恶意软件攻击呢?

  • 积极主动,重视安全。安全经理应始终保持防御姿态,优先考虑积极的安全流程和更新。
  • 注意固件定期检查固件,确保一切正常。
  • 及时更新最新的 BIOS/UEFI 固件,更新系统以修补潜在漏洞,防止未来攻击,并诊断可能出现的任何错误/问题。
  • 建立授权/认证流程。固件更新的授权流程(例如数字签名验证)将只允许授权人员进行更改和应用设置。
  • 尽快报告并解决问题。这体现了“积极主动”的心态。

对于使用 AMI BIOS/UEFI 固件的用户来说,有很多方法可以保护固件免受攻击。AMI 对安全威胁和固件攻击并不陌生。作为领先的 UEFI BIOS 固件解决方案 Aptio V® 的生产商,AMI 已部署了多种安全协议,以帮助客户防止不必要的 BIOS 更新。部分安全协议/工具包括:

  • 向客户提供 BIOS 固件更新的发布
  • 公司内部设有BIOS安全团队,能够快速解决安全隐患/问题,并就安全实践提供建议。
  • 可下载的加密密钥,用于在向 BIOS 安全团队发送信息时加密敏感信息。
  • 使用签名服务器实用程序进行安全签名过程,该实用程序通过签名验证来验证 BIOS 更新的真实性。
  • NIST SP 800-147 安全闪存支持

通过遵循这些协议并使用 AMI 提供的工具,用户可以在恶意软件攻击发生之前降低其风险。

所以,关键在于时刻保持防御姿态,不要对固件安全掉以轻心。任何包含固件的设备都存在被攻击的风险,制定应对这些风险的流程对于保护系统至关重要。每个人的系统都包含大量重要的机密信息,如果黑客获取了所有这些信息,后果不堪设想。我们都不希望黑客获取您的敏感信息,对吗?因此,请积极主动地保护固件安全,让黑客无处遁形。

值得信赖,因为关键事项

AMI 是您在高风险创新领域值得信赖的低风险合作伙伴。我们的固件解决方案能够在关键时刻提升性能、可靠性并缩短产品上市时间。

选择 AMI,您将获得深厚的专业知识、久经考验的稳定性以及贯穿整个开发过程的实践支持。联系我们,了解 AMI 固件解决方案如何帮助您降低风险、简化复杂性并自信地扩展规模。

联系我们
翻译强力驱动

下载许可协议

本声明专门针对本网站 (ami.com) 或任何其他由 AMI 所有、运营、许可或控制的网站上提供的软件。

 任何可从本服务器下载的软件(“软件”)均为 AMI 和/或其供应商的版权作品。软件的使用受随附或包含于软件中的最终用户许可协议(如有)(“许可协议”)条款的约束。最终用户必须首先同意许可协议的条款,才能安装任何随附或包含许可协议的软件。

 本软件仅供最终用户根据许可协议下载使用。任何违反许可协议的软件复制或分发行为均属违法,并将受到严厉的民事和刑事处罚。违者将依法受到最严厉的法律制裁。

 在不限制前述规定的前提下,严禁将软件复制或再复制到任何其他服务器或位置以进行进一步复制或再分发,除非此类复制或再分发已由随附该软件的许可协议明确允许。

 本软件的保证(如有)仅限于许可协议的条款。除许可协议中规定的保证外,AMI 特此声明对本软件不作任何保证和条件,包括所有关于适销性、特定用途适用性、所有权和不侵权的默示保证和条件。

 为方便起见,AMI可能会在本服务或其软件产品中提供工具和实用程序供您使用和/或下载。AMI不对使用此类工具和实用程序所产生结果或输出的准确性做出任何保证。在使用本服务或AMI软件产品中提供的工具和实用程序时,请尊重他人的知识产权。

 RESTRICTED RIGHTS LEGEND. Any Software which is downloaded from this Server (ami.com) any other AMI owned, operated, licensed or controlled site for or on behalf of the United States of America, its agencies and/or instrumentalities ("U.S. Government"), is provided with Restricted Rights. Use, duplication, or disclosure by the U.S. Government is subject to restrictions as set forth in subparagraph (c)(1)(ii) of the Rights in Technical Data and Computer Software clause at DFARS 252.227-7013 or subparagraphs (c)(1) and (2) of the Commercial Computer Software - Restricted Rights at 48 CFR 52.227-19, as applicable. Manufacturer is AMI 3095 Satellite Boulevard, Building 800, Suite 425, Duluth, GA 30096.

NOTICE SPECIFIC TO DOCUMENTS AVAILABLE ON THIS WEBSITE

 Permission to use Documents (such as white papers, press releases, datasheets and FAQs) from this server (ami.com) any other AMI owned, operated, licensed or controlled site ("Server") is granted, provided that (1) the below copyright notice appears in all copies and that both the copyright notice and this permission notice appear, (2) use of such Documents from this Server is for informational and non-commercial or personal use only and will not be copied or posted on any network computer or broadcast in any media and (3) no modifications of any Documents are made. Educational institutions ( specifically K-12, universities and state community colleges) may download and reproduce the Documents for distribution in the classroom. Distribution outside the classroom requires express written permission. Use for any other purpose is expressly prohibited by law and may result in severe civil and criminal penalties. Violators will be prosecuted to the maximum extent possible.

 Documents specified above do not include the design or layout of the ami.com website or any other AMI owned, operated, licensed or controlled site. Elements of AMI websites are protected by trade dress, trademark, unfair competition and other laws and may not be copied or imitated in whole or in part. No logo, graphic, sound or image from any AMI website may be copied or retransmitted unless expressly permitted by AMI.

 AMI AND/OR ITS RESPECTIVE SUPPLIERS MAKE NO REPRESENTATIONS ABOUT THE SUITABILITY OF THE INFORMATION CONTAINED IN THE DOCUMENTS AND RELATED GRAPHICS PUBLISHED ON THIS SERVER FOR ANY PURPOSE. ALL SUCH DOCUMENTS AND RELATED GRAPHICS ARE PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. AMI AND/OR ITS RESPECTIVE SUPPLIERS HEREBY DISCLAIM ALL WARRANTIES AND CONDITIONS WITH REGARD TO THIS INFORMATION, INCLUDING ALL IMPLIED WARRANTIES AND CONDITIONS OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, TITLE AND NON-INFRINGEMENT. IN NO EVENT SHALL AMI AND/OR ITS RESPECTIVE SUPPLIERS BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF INFORMATION AVAILABLE FROM THIS SERVER.

 THE DOCUMENTS AND RELATED GRAPHICS PUBLISHED ON THIS SERVER COULD INCLUDE TECHNICAL INACCURACIES OR TYPOGRAPHICAL ERRORS. CHANGES ARE PERIODICALLY ADDED TO THE INFORMATION HEREIN. AMI AND/OR ITS RESPECTIVE SUPPLIERS MAY MAKE IMPROVEMENTS AND/OR CHANGES IN THE PRODUCT(S) AND/OR THE PROGRAM(S) DESCRIBED HEREIN AT ANY TIME.

NOTICES AND PROCEDURE FOR MAKING CLAIMS OF COPYRIGHT INFRINGEMENT

 Pursuant to Title 17, United States Code, Section 512(c)(2), notifications of claimed copyright infringement should be sent to Service Provider's Designated Agent. ALL INQUIRIES NOT RELEVANT TO THE FOLLOWING PROCEDURE WILL NOT RECEIVE A RESPONSE.

 See Notice and Procedure for Making Claims of Copyright Infringement.

LINKS TO THIRD PARTY SITES

 THE LINKS IN THIS AREA WILL LET YOU LEAVE AMI'S SITE. THE LINKED SITES ARE NOT UNDER THE CONTROL OF AMI AND AMI IS NOT RESPONSIBLE FOR THE CONTENTS OF ANY LINKED SITE OR ANY LINK CONTAINED IN A LINKED SITE, OR ANY CHANGES OR UPDATES TO SUCH SITES. AMI IS NOT RESPONSIBLE FOR WEBCASTING OR ANY OTHER FORM OF TRANSMISSION RECEIVED FROM ANY LINKED SITE. AMI IS PROVIDING THESE LINKS TO YOU ONLY AS A CONVENIENCE, AND THE INCLUSION OF ANY LINK DOES NOT IMPLY ENDORSEMENT BY AMI OF THE SITE.

UNSOLICITED IDEA SUBMISSION POLICY

 AMI及其员工、代理和/或子公司均不接受或考虑任何未经请求的创意,包括但不限于新广告活动、新促销活动、新产品或技术、工艺流程、材料、营销计划或新产品名称的创意。严禁向AMI提交任何原创创意作品、样品、演示或其他作品。如AMI收到任何未经请求的创意材料,该等材料将被销毁,AMI对发送者因此遭受的任何直接或间接损失概不负责,且AMI无义务将该等材料视为机密或专有信息。双方明确理解,AMI禁止未经请求的创意提交政策的目的是为了防止第三方基于AMI开发的创意、产品或其他材料(该等创意、产品或其他材料可能与AMI收到的未经请求的创意、产品或其他材料相似或相同)而对AMI提出侵权索赔。

反馈和信息

 您在本网站提供的任何反馈均将被视为非保密信息。AMI 可以不受限制地使用此类信息。

条款及细则

请对此翻译评分
您的反馈将用于改进谷歌翻译