供应链固件安全面临新威胁

关键要点

HP WolfSecurity指出，黑客们有机会通过供应链攻陷固件，使得客户对设备固件的安全性产生了担忧。此报告中的调查数据源自803名IT专业人士，探讨了当前安全挑战和威胁的优先级。整体来看，供应链攻击和低层级威胁成了大家关注的焦点。

“购买PC、笔记本电脑或打印机的安全决策将对组织的终端基础设施产生长期影响。” — Boris Balacheff，HP
Inc.的安全研究与创新首席技术官。

在采购过程中，如果对硬件和固件安全的要求优先级不高，将可能导致整个设备生命周期内的风险增加、成本上升或用户体验不佳。这种情况往往是因为组织在设备安装时未对硬件进行仔细检查，从而让攻击者有机会趁虚而入，入侵设备或服务提供商，进而轻易访问其他客户。

问题 | 比例
—|—
不与同事协作验证硬件安全性 | 52%
认为在选择服务提供商时面临重大风险 | 48%

在参与调查的IT专业人士中，52%的人表示没有和同事合作确认所购硬件的安全性。这种缺乏协作的情况为攻击者提供了可乘之机，使其能够通过黑客攻击服务提供商而潜入多家公司的后门。

更糟的是，这些组织似乎非常清楚在供应链中面临的风险。HP Wolf表示，48%的受访者同意，他们在选择服务提供商时，安全风险就像“送羊去宰”一样。

为了避免这种盲目的暴露，HP Wolf建议IT决策者对销售宣传保持警惕，要求服务提供商提供技术文档，以说明硬件的来源和哪些审计可以验证其产品未被篡改。

“组织需要硬性证据——技术简报、详细文档、定期审计和严格的验证流程，以确保安全需求得以满足，并能够安全、有效地对设备进行入门。” — Michael
Heywood，HP Inc.供应链安全业务信息安全官。

通过采取这些措施，组织能够增强自身的安全性，确保采购的硬件和服务不会成为安全风险的源头。