一說到網(wǎng)絡(luò)安全，每個(gè)人都喜歡談?wù)撥浖捌鋷淼姆N種危險(xiǎn)。然而，人們經(jīng)常忽視基于硬件的安全及其在建立安全工作環(huán)境方面的重要性。這歸因于人們在硬件安全及其工作原理方面普遍缺乏知識(shí)。因此，是時(shí)候戳穿您在硬件安全方面可能信以為真的幾個(gè)流言了。

流言一：我們從未聽說過基于硬件的攻擊，它們就不存在！

就因?yàn)槟鷽]有經(jīng)常聽到這個(gè)問題，不意味著它就不存在。備受媒體關(guān)注的網(wǎng)絡(luò)攻擊常常涉及大公司：臭名昭著的網(wǎng)絡(luò)犯罪團(tuán)伙實(shí)施基于軟件的攻擊，結(jié)果大公司淪為受害者。這類故事頗有看點(diǎn)，吸引觀眾閱讀文章，從而在媒體網(wǎng)站上生成更大的點(diǎn)擊量。此外，許多企業(yè)選擇隱瞞與基于硬件的攻擊有關(guān)的信息，因?yàn)檫@無異于表明物理安全不到位，這會(huì)對企業(yè)產(chǎn)生負(fù)面影響。您不常聽到基于硬件的攻擊還有一個(gè)原因是，淪為受害者的企業(yè)對這種攻擊毫無察覺。企業(yè)遭到攻擊后，自然而然地以為這是軟件漏洞或網(wǎng)絡(luò)釣魚騙局造成的。這種誤解，加上缺少檢測硬件攻擊工具的資源，導(dǎo)致攻擊方法被誤解。

然而，這倒不是說基于硬件的攻擊沒有受到任何媒體的關(guān)注。自動(dòng)柜員機(jī)（ATM）就是引發(fā)公眾共鳴的一個(gè)典例。由于可以即時(shí)吐錢，這些自動(dòng)取款機(jī)成為網(wǎng)絡(luò)犯罪分子的首選目標(biāo)。網(wǎng)絡(luò)犯罪分子現(xiàn)在無需對ATM采用蠻力攻擊，而是只需將名為黑盒子（Black Box）的硬件攻擊工具連接到內(nèi)部計(jì)算機(jī)，通過中間人攻擊誘騙ATM吐錢。自2021年以來，黑盒子攻擊一直呈上升趨勢，僅在歐洲就造成了150萬歐元的損失。

流言二：我們已實(shí)施了安全措施，所有員工都使用VPN——我們受到了保護(hù)！

沒錯(cuò)，貴公司的網(wǎng)絡(luò)準(zhǔn)入控制（NAC）、入侵檢測系統(tǒng)/入侵檢測預(yù)防（IDS/IDP）、防火墻和VPN等安全措施肯定能提供一定程度的保護(hù)。然而，惡意攻擊者不斷完善和尋找新的攻擊方法，這意味著利用盲點(diǎn)，硬件域就是這樣一個(gè)盲點(diǎn)?，F(xiàn)有的安全解決方案無法深入了解物理層（第1層），因而不適合防御基于硬件的攻擊工具，更不用說識(shí)別這類攻擊工具了。這些惡意設(shè)備旨在通過在物理層上運(yùn)行，模仿如同人類使用的命令和執(zhí)行，從而逃避檢測，這使得它們極其危險(xiǎn)，因?yàn)樗鼈兛梢院翢o障礙地實(shí)施各種有害的攻擊。如果您無法在10秒內(nèi)確定所有資產(chǎn)的硬件信息，實(shí)際上您沒有受到保護(hù)。

流言三：“我們不使用USB，所以為什么要操心它？”

這個(gè)流言我們以前聽過好多次，但事實(shí)上您要操心USB，而且應(yīng)該操心它！

當(dāng)然，貴組織可能不使用閃存驅(qū)動(dòng)器，端點(diǎn)安全/終端檢測和響應(yīng)（EPS/EDR）解決方案中可能有一些授權(quán)功能可以阻止具有某些供應(yīng)商ID/產(chǎn)品ID（VID/PID）的電話、鍵盤和鼠標(biāo)。這很好，但是員工用來打字的鍵盤呢？他們用來瀏覽的鼠標(biāo)呢？沒錯(cuò)，這些多半是USB設(shè)備。它們可能已獲得授權(quán)，但這并不意味著隱蔽的欺詐設(shè)備就不能冒充它們。只要工作環(huán)境中有人機(jī)接口設(shè)備（HID），就存在一個(gè)（或多個(gè)）HID可能是非法設(shè)備的風(fēng)險(xiǎn)。如果對物理層缺乏深入了解，就無法實(shí)施機(jī)制來確定設(shè)備到底合不合法。

流言四：為什么有人想要攻擊我們？我們又不是值得關(guān)注的目標(biāo)？

這您就想錯(cuò)了。當(dāng)下，幾乎任何擁有數(shù)據(jù)的東西都是有價(jià)值的，有人想要訪問它，無論它多么不起眼。并非所有黑客都一味盯著大型核設(shè)施或政府機(jī)構(gòu)；對于大多數(shù)網(wǎng)絡(luò)犯罪分子來說，風(fēng)險(xiǎn)通常太高。然而，貴公司是主要目標(biāo)——有數(shù)據(jù)，而且可以訪問。無論不法分子想竊取信息以牟取經(jīng)濟(jì)利益、訪問信息以獲得競爭優(yōu)勢，還是在勒索軟件攻擊中對信息進(jìn)行加密，貴公司都提供了這種機(jī)會(huì)，而硬件攻擊工具讓攻擊者能夠如愿以償。

簡而言之，每家企業(yè)都是惡意攻擊者眼里的目標(biāo)；由于種種原因，任何企業(yè)都有可能遭到攻擊。要記住的重要一點(diǎn)是，貴公司可以借助基于硬件的安全系統(tǒng)深入了解物理層，積極做好準(zhǔn)備，加強(qiáng)貴公司抵御這些攻擊的能力。

本文翻譯自：https://securityaffairs.co/wordpress/133948/security/busting-the-myths-of-hardware-based-security.html如若轉(zhuǎn)載，請注明原文地址。