CrowdStrike Falcon:第一个集成固件攻击检测能力的端点保护
2019 年 5 月 1 日
https://www.crowdstrike.com/blog/crowdstrike-first-to-deliver-bios-visibility/
今天的端点安全解决方案主要设计用于查看本地操作系统 (OS) 和驻留在其之上的应用程序,而对操作系统之下的计算层仍然视而不见。本周,CrowdStrike ® 成为第一家集成固件攻击检测功能的端点保护解决方案提供商,为现代 PC 的最后一个黑暗角落之一:BIOS 带来了光明。
随着安全技术变得越来越复杂,对手可以躲藏的地方越来越少。端点检测和响应 (EDR)、 机器学习和行为检测等技术极大地提高了组织的可见性和意识,暴露了以前隐藏的入侵技术并阻止了可能导致违规的攻击。由于这些先进的防御,攻击者不断被驱赶到边缘,被迫寻找新的渗透途径。BIOS 已成为一种新的、独特的攻击途径。
为什么要保护 BIOS?
BIOS(基本输入/输出系统)是驻留在计算机平台本身中的固件,它在计算机启动时运行,在操作系统启动之前。出于多种原因,BIOS 对攻击者来说是一个诱人的目标。
BIOS 可以启用持久性
端点的 BIOS 代表了一个高度特权的执行环境,BIOS 中的任何漏洞或恶意软件都可能产生严重影响,可能使攻击者获得对所有系统资源的完全控制权。BIOS 远低于操作系统,确保成功的攻击在重新启动、磁盘擦除和重新映像之后持续存在。更复杂的是,大多数组织很少对 BIOS 进行修补,并且已知漏洞在被披露后通常会保留多年。
标准安全工具对 BIOS 攻击视而不见
当今的大多数安全工具都无法提供组织检测和阻止 BIOS 攻击所需的可见性。典型的端点安全工具提供对用户模式的可见性,也许还有内核。但是,BIOS 位于操作系统下方,这意味着其内容对于传统的安全监控工具是不可见的。此外,漏洞扫描器等标准安全评估工具无法提供对 BIOS 漏洞或配置的可见性。
BIOS 和其他类型的固件在组织很少能见度的领域代表着巨大的风险。这正是现代对手希望在有针对性的攻击中利用的漏洞类型。2018 年 9 月,现实世界中的对手利用这种可见性差距的最佳例子曝光,当时有报道称,对手组织FANCY BEAR已成功在属于政府实体的多台 PC 上植入了 BIOS rootkit。这些攻击可以通过传统的攻击技术来获取初始系统访问权限,例如网络钓鱼或通过更高级的供应链攻击。由于缺乏对 BIOS 的可见性,因此很难理解这种威胁的真实程度。
CrowdStrike 打开灯
随着本周的发布, CrowdStrike 成为第一个也是唯一一个集成固件攻击检测功能的端点安全提供商,提供对整个企业 BIOS 状态的可见性,并缩小了这一关键的可见性差距。CrowdStrike Falcon® 平台已得到增强,可提供对端点 BIOS 的持续监控,以帮助确定其完整性并识别其他问题,例如易受攻击的旧 BIOS 版本。全球数百万受 CrowdStrike Falcon 保护的端点现在将受益于对固件攻击的持续监控。此外,通过与戴尔 SafeBIOS 的集成,CrowdStrike 可以增强对戴尔系统上基于 BIOS/固件的威胁的检测。
即时、完整的 BIOS 可见性
现在,组织将清楚地了解在其企业中运行的固件,从而揭示潜在的破坏性入侵,例如固件 rootkit。此外,组织将能够审核与安全相关的 BIOS 设置,例如对 SPI 闪存的保护,这对于防止未经授权的 BIOS 修改至关重要。此功能是通过 CrowdStrike 的单一轻量级代理提供的,该代理在安装时需要零重启,并且不会给端点增加负担或干扰用户。
CrowdStrike 期待与戴尔以及其他计算机硬件制造商继续合作,进一步提高 BIOS 威胁的可见性和检测水平。暴露攻击者可能隐藏的少数剩余区域是我们最终任务持续成功的关键:我们阻止违规行为。