一說到網(wǎng)絡(luò)安全，每個人都喜歡談?wù)撥浖捌鋷淼姆N種危險。然而，人們經(jīng)常忽視基于硬件的安全及其在建立安全工作環(huán)境方面的重要性。這歸因于人們在硬件安全及其工作原理方面普遍缺乏知識。因此，是時候戳穿您在硬件安全方面可能信以為真的幾個流言了。

流言一：我們從未聽說過基于硬件的攻擊，它們就不存在！

就因為您沒有經(jīng)常聽到這個問題，不意味著它就不存在。備受媒體關(guān)注的網(wǎng)絡(luò)攻擊常常涉及大公司：臭名昭著的網(wǎng)絡(luò)犯罪團伙實施基于軟件的攻擊，結(jié)果大公司淪為受害者。這類故事頗有看點，吸引觀眾閱讀文章，從而在媒體網(wǎng)站上生成更大的點擊量。此外，許多企業(yè)選擇隱瞞與基于硬件的攻擊有關(guān)的信息，因為這無異于表明物理安全不到位，這會對企業(yè)產(chǎn)生負(fù)面影響。您不常聽到基于硬件的攻擊還有一個原因是，淪為受害者的企業(yè)對這種攻擊毫無察覺。企業(yè)遭到攻擊后，自然而然地以為這是軟件漏洞或網(wǎng)絡(luò)釣魚騙局造成的。這種誤解，加上缺少檢測硬件攻擊工具的資源，導(dǎo)致攻擊方法被誤解。

然而，這倒不是說基于硬件的攻擊沒有受到任何媒體的關(guān)注。自動柜員機（ATM）就是引發(fā)公眾共鳴的一個典例。由于可以即時吐錢，這些自動取款機成為網(wǎng)絡(luò)犯罪分子的首選目標(biāo)。網(wǎng)絡(luò)犯罪分子現(xiàn)在無需對ATM采用蠻力攻擊，而是只需將名為黑盒子（Black Box）的硬件攻擊工具連接到內(nèi)部計算機，通過中間人攻擊誘騙ATM吐錢。自2021年以來，黑盒子攻擊一直呈上升趨勢，僅在歐洲就造成了150萬歐元的損失。

流言二：我們已實施了安全措施，所有員工都使用VPN——我們受到了保護！

沒錯，貴公司的網(wǎng)絡(luò)準(zhǔn)入控制（NAC）、入侵檢測系統(tǒng)/入侵檢測預(yù)防（IDS/IDP）、防火墻和VPN等安全措施肯定能提供一定程度的保護。然而，惡意攻擊者不斷完善和尋找新的攻擊方法，這意味著利用盲點，硬件域就是這樣一個盲點。現(xiàn)有的安全解決方案無法深入了解物理層（第1層），因而不適合防御基于硬件的攻擊工具，更不用說識別這類攻擊工具了。這些惡意設(shè)備旨在通過在物理層上運行，模仿如同人類使用的命令和執(zhí)行，從而逃避檢測，這使得它們極其危險，因為它們可以毫無障礙地實施各種有害的攻擊。如果您無法在10秒內(nèi)確定所有資產(chǎn)的硬件信息，實際上您沒有受到保護。

流言三：“我們不使用USB，所以為什么要操心它？”

這個流言我們以前聽過好多次，但事實上您要操心USB，而且應(yīng)該操心它！

當(dāng)然，貴組織可能不使用閃存驅(qū)動器，端點安全/終端檢測和響應(yīng)（EPS/EDR）解決方案中可能有一些授權(quán)功能可以阻止具有某些供應(yīng)商ID/產(chǎn)品ID（VID/PID）的電話、鍵盤和鼠標(biāo)。這很好，但是員工用來打字的鍵盤呢？他們用來瀏覽的鼠標(biāo)呢？沒錯，這些多半是USB設(shè)備。它們可能已獲得授權(quán)，但這并不意味著隱蔽的欺詐設(shè)備就不能冒充它們。只要工作環(huán)境中有人機接口設(shè)備（HID），就存在一個（或多個）HID可能是非法設(shè)備的風(fēng)險。如果對物理層缺乏深入了解，就無法實施機制來確定設(shè)備到底合不合法。

流言四：為什么有人想要攻擊我們？我們又不是值得關(guān)注的目標(biāo)？

這您就想錯了。當(dāng)下，幾乎任何擁有數(shù)據(jù)的東西都是有價值的，有人想要訪問它，無論它多么不起眼。并非所有黑客都一味盯著大型核設(shè)施或政府機構(gòu)；對于大多數(shù)網(wǎng)絡(luò)犯罪分子來說，風(fēng)險通常太高。然而，貴公司是主要目標(biāo)——有數(shù)據(jù)，而且可以訪問。無論不法分子想竊取信息以牟取經(jīng)濟利益、訪問信息以獲得競爭優(yōu)勢，還是在勒索軟件攻擊中對信息進行加密，貴公司都提供了這種機會，而硬件攻擊工具讓攻擊者能夠如愿以償。

簡而言之，每家企業(yè)都是惡意攻擊者眼里的目標(biāo)；由于種種原因，任何企業(yè)都有可能遭到攻擊。要記住的重要一點是，貴公司可以借助基于硬件的安全系統(tǒng)深入了解物理層，積極做好準(zhǔn)備，加強貴公司抵御這些攻擊的能力。

本文翻譯自：https://securityaffairs.co/wordpress/133948/security/busting-the-myths-of-hardware-based-security.html如若轉(zhuǎn)載，請注明原文地址。