硬件安全导航的四个步骤

真正的安全，或者说是安心，意味着在整个旅程中，从您下订单的那一刻起，直到设备生命周期结束，都保持着保护或安全态势。它保护着您、您的供应商、合作伙伴和客户。

随着威胁行为者和公司所采用的安全技术变得越来越复杂，网络犯罪分子已经扩大了他们的攻击方法，将重点放在那些被认为不太安全的目标上，其中许多目标位于硬件级别的“操作系统之下”。

当前和未来，无论是个人、团体还是国家支持的团队，所构成的威胁都不会局限于最终用户或操作系统，而是会影响整个生态系统，从软件、硬件甚至硅片本身的第一个供应商到最终用户。

这项研究名为《引领硬件安全之旅的四个关键》，概述了一项长期研究的重点，该研究始于 2019 年底，将于 2020 年中期完成。以下是您可以从这份白皮书中了解到的内容：

1）意识到自己是目标

安全威胁可能来自任何地方，既有内部威胁，也有外部威胁。这些威胁可能是恶意的，也可能是无意的。它们既存在于您的最终用户设备中，也存在于您的合作伙伴生态系统和供应链中。它们既可以存在于软件中，也可以存在于硬件中。

事实上，三分之二的企业认为他们过去曾遭受过硬件级攻击，其中 44% 的企业表示过去 12 个月内发生过此类攻击（16% 的企业表示此类攻击不止一次）。然而，潜在的悲剧在于，我们认为这些数字太低，而薄弱的威胁检测隐藏着更大的风险。

2）从一开始就实施安全性

安全问题没有一劳永逸的解决方案。企业正在采取各种措施来帮助保护其资产，从加强高级威胁情报能力和验证供应链中的组件，到改进灾难恢复策略和隔离/隔离网络内的资源。尽管如此，65% 的受访者仍希望硬件供应商在其生产和分销流程中纳入平台安全性。

当前的问题是企业要认识到硬件和设备发展历程中的各个阶段，每个阶段都需要独特的策略。

3）每一次安全旅程都需要护栏和框架

NIST 和 MITRE ATT&CK 等成熟的框架可以使组织将重点从硬件和软件转移到作为持续安全学科基石的规则和程序上。

虽然这两个框架被广泛使用，但超过 30% 的公司表示他们根本不使用任何安全框架，超过 20% 的公司表示他们不打算在未来三年内使用。这种情况必须改变。需要注意的是，仅仅拥有安全的硬件和软件（或相信自己拥有）并不能消除对政策和流程的需求。安全不仅与硬件有关；它还与制定正确的规则和程序有关。

4）仪表盘灯提供安全天堂

安全仪表板是任何安全策略的重要组成部分，其范围从定制、国内开发的到商用现成的工具。

安全历程的追踪积极使用一个或多个仪表板的组织在过去十二个月中披露硬件级安全漏洞的可能性是其他组织的两倍——如果您不提前考虑，就无法看到威胁。

人们普遍误以为安全风险主要来自软件，规模较小或知名度较低的公司很少成为攻击目标。事实绝非如此。

认识到威胁严重性的安全和 IT 专业人员已经通过各种项目和行动为更好、更具弹性的安全态势奠定基础。

安全必须遵循硬件和设备从 A 点到 B 点，再到 C 点和 D 点，并且必须有一个框架（或护栏）来保持专注和正轨。

如果说安全是一段旅程，那么仪表板上的灯光就反映了这段旅程的状态，并识别了现有和未来的危险。

下载 Futurum 的白皮书，了解有关如何导航硬件安全之旅的更多信息。