การสร้างความปลอดภัยในระดับอุปกรณ์เป็นส่วนสำคัญของกลยุทธ์ความปลอดภัยทางไซเบอร์ เอกสาร FISMA และ NIST ที่สนับสนุน FISMA เน้นย้ำถึงความสำคัญของการรักษาความปลอดภัยของเฟิร์มแวร์และฮาร์ดแวร์ซึ่งเป็นส่วนหนึ่งของโปรแกรมการรักษาความปลอดภัยสมัยใหม่ เช่นเดียวกับใบรับรอง Cybersecurity Maturity Model Certification (CMMC) ของกระทรวงกลาโหม แต่พื้นที่นี้ยังคงเป็นหนึ่งในพื้นที่เสี่ยงที่ถูกมองข้ามและเข้าใจได้ไม่ดีภายในหน่วยงานของรัฐและผู้รับเหมาของรัฐบาลกลาง
ขณะนี้เอกสารไวท์เปเปอร์ฉบับใหม่จาก Eclypsiumจำลองความปลอดภัย
ของอุปกรณ์ในระดับ CMMC เพื่อช่วยให้องค์กรมีความก้าวหน้าตั้งแต่สุขอนามัยไซเบอร์ขั้นพื้นฐานไปจนถึงการป้องกันจากภัยคุกคามต่อเนื่องขั้นสูง
John Loucaides รองประธานฝ่ายวิจัยและพัฒนาของ Eclypsium กล่าวว่า “ฝ่ายตรงข้ามของรัฐต่าง ๆ โจมตีเฟิร์มแวร์และฮาร์ดแวร์เมื่อหลายปีก่อน แต่ทุกวันนี้ใคร ๆ ก็สามารถพบรหัสฝังที่ทำงานได้เกือบทุกที่” John Loucaides รองประธานฝ่ายวิจัยและพัฒนาของ Eclypsium กล่าว “ในสภาพแวดล้อมปัจจุบัน องค์กรต่างๆ จำเป็นต้องสนับสนุนการดำเนินงานระยะไกลและแบบกระจายที่มีความยืดหยุ่น ในขณะเดียวกันก็ป้องกันการโจมตีที่ลุกลามไปกว่าเดิม นี่เป็นโปรไฟล์ความเสี่ยงที่แตกต่างไปจากเดิมอย่างสิ้นเชิง ”
น่าเสียดายที่การสแกนช่องโหว่แบบดั้งเดิมและเครื่องมือป้องกันไวรัสมักจะมองไม่เห็นจุดอ่อนและภัยคุกคามที่อยู่ในระดับฮาร์ดแวร์และเฟิร์มแวร์พื้นฐานของอุปกรณ์ การโจมตีในระดับพื้นฐานนี้ละเมิดสมมติฐานและทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ได้อย่างเต็มที่ การโจมตีดังกล่าวกำลังกลายเป็นเรื่องธรรมดามากขึ้นเรื่อยๆ ขับเคลื่อนโดยนักแสดงขั้นสูงและโดยแคมเปญการโจมตีที่ฉวยโอกาสที่แพร่หลายมากขึ้น
“สิ่งที่น่าสนใจคือโปรไฟล์ของผู้โจมตีเปลี่ยนไป มันปรับเปลี่ยนจากการโจมตี
ระดับชาติเป็นสิ่งที่ทุกคนสามารถใช้ GitHub ในวันนี้และดาวน์โหลดรูทคิทที่ใช้เฟิร์มแวร์และการโจมตีที่ฉันกำลังพูดถึง” Loucaides กล่าว “เมื่อ 20 ปีที่แล้วหรือมากกว่านั้น คุณสามารถทำสิ่งนี้ได้ แต่คุณต้องทำงานจริงเพื่อลงทุนเวลาเพื่อทำความเข้าใจ อันดับแรก เกิดอะไรขึ้นที่เลเยอร์นี้ แล้วจึงสร้างการโจมตีเหล่านั้น ตอนนี้ คุณไม่ต้องทำอย่างนั้น อันที่จริงมันค่อนข้างง่ายกว่ามาก และนั่นได้รับการยืนยันจากตัวเลข ในช่วงสามปีที่ผ่านมา คุณมีช่องโหว่ของเฟิร์มแวร์ที่บันทึกไว้เพิ่มขึ้นมากกว่าเจ็ดเท่า และคุณสามารถเห็นแคมเปญโจมตีบางส่วนที่เปลี่ยนไปสู่เฟิร์มแวร์”
ตัวอย่างเช่น กลุ่มแฮ็กเกอร์ของรัสเซียที่รู้จักกันในชื่อ STRONTIUM, Fancy Bear หรือ APT28 ได้โจมตีทุกอย่างตั้งแต่บัญชีอีเมล เราเตอร์ที่บ้าน ไปจนถึงโครงสร้างพื้นฐานที่สำคัญ กลุ่มสร้างและใช้งานมัลแวร์ “LoJax” ซึ่งเป็นรูทคิท UEFI ที่ค้นพบในป่า ในขณะเดียวกัน กลุ่มชาวจีนที่รู้จักกันในชื่อ APT41 ใช้ประโยชน์จากช่องโหว่ในอุปกรณ์ Cisco, Citrix และ Zoho เพื่อติดตั้งแบ็คดอร์ทั่วโลก การแจ้งเตือนล่าสุดจาก DHS CISA และ FBI รายงานว่าช่องโหว่ที่ถูกโจมตีบ่อยที่สุดในปี 2020 เกี่ยวข้องกับเฟิร์มแวร์ของอุปกรณ์ VPN
“นั่นเป็นสาเหตุว่าทำไมการให้ความสำคัญกับความปลอดภัยทางไซเบอร์ที่ระบบปฏิบัติการและชั้นแอปพลิเคชันจึงไม่เพียงพอ” Loucaides กล่าว “ผู้นำด้านความปลอดภัยจำเป็นต้องมองลึกลงไปในเฟิร์มแวร์และฮาร์ดแวร์ของแล็ปท็อป เซิร์ฟเวอร์ และอุปกรณ์เครือข่ายเพื่อให้แน่ใจว่าองค์กรของพวกเขาได้รับการปกป้อง และ CMMC นำเสนอกรอบงานที่สามารถช่วยแก้ปัญหาดังกล่าวได้”
