NIST计算机安全部门数学研究员兼项目负责人Andrew Regenscheid表示:“去年九月,第一个基于BIOS的rootkit被发现,被称为Mebromi。”虽然多年来攻击者主要在围绕 Windows应用程序和操作系统创建恶意软件,但针对BIOS的攻击也逐渐引起人们的关注。
新的安全指导方针将会影响联邦政府在未来购买怎样的电脑,NIST设定了标准要求对BIOS更新机制进行身份验证。
本周NIST为其拟议的联邦标准“针对服务器的BIOS保护准则”征求公众意见,截止到九月中旬。这样做的目的是阻止任何与“恶意软件对BIOS固件进行未经授权修改”相关的网络攻击。
NIST的文件显示,在未来政府对服务器的购买(无论是基本服务器、管理服务器还是刀片服务器)都会检查其购买的设备是否能够“身份验证BIOS更新机制”、“安全本地更新机制”、以及是否存在“固件完整性保护”和“非绕过功能”。
Regenscheid表示,基于加密的数字签名以及公共密钥证书等技术被视为创建这些安全控制的方法,但NIST没有指明具体流程。
他说,值得关注的是,在过去,制造商没有对BIOS统一部署很强的安全控制。这可能是因为BIOS更新比其他类型的计算机软件更新的频率低很多,但随着恶意软件威胁的增加,是时候将重点放在BIOS上了。
在2011年4月,NIST已经针对台式机和笔记本电脑发布了BIOS安全标准,并且美国国土安全局要求联邦政府使用该安全标准作为购买笔记本和台式机的基准,从今年十月份开始。美国国防部已经发出类似的指令。制造商都清楚了NIST的这一指示,并正在作出响应。他指出:“微软Windows 8有针对桌面的BIOS保护。”
