企業(yè)該如何應(yīng)對BIOS攻擊？通過新的NIST BIOS保護(hù)準(zhǔn)則去保護(hù)所有的問題是否值得？

BIOS攻擊有著悠久的歷史，但更普遍的惡意軟件和其他攻擊已經(jīng)使它們黯然失色。早期的PC機(jī)BIOS攻擊涉及更改或刪除BIOS密碼，從而改變PC機(jī)上的啟動順序。然后攻擊者繞過安裝的操作系統(tǒng)，可以獲得對計(jì)算機(jī)的訪問。這些攻擊需要物理存在（親自參與，physical presence），且將來針對BIOS的攻擊仍需要物理訪問（physical access）。有些攻擊可以在BIOS上遠(yuǎn)程執(zhí)行，NIST通過發(fā)布BIOS安全準(zhǔn)則來防止或盡量減少攻擊造成的影響。在BIOS上發(fā)起的新攻擊可以繞過操作系統(tǒng)的安全防護(hù)。由于存在不同的BIOS，攻擊可能需要針對具體的BIOS而定，正如在NIST的BIOS保護(hù)準(zhǔn)則（PDF下載）中提到的。

BIOS安全工作應(yīng)包含在你的硬件驅(qū)動程序和軟件更新項(xiàng)目中。企業(yè)應(yīng)該購買利用NIST指導(dǎo)方針開發(fā)的BIOS硬件，然后安全地配置BIOS。為了安全地配置BIOS，針對所有變動你應(yīng)該在BIOS中設(shè)置一個密碼，并根據(jù)系統(tǒng)需要的具體設(shè)置來設(shè)置啟動順序，比如只允許系統(tǒng)啟動內(nèi)部硬盤驅(qū)動器。這些設(shè)置，再加上安全配置的電腦，同時作為標(biāo)準(zhǔn)補(bǔ)丁管理周期的一部分安裝已簽名的BIOS更新，應(yīng)該可以盡量減少未來針對你的BIOS和系統(tǒng)的攻擊。