如何檢測出定製服務器中預裝的惡意軟件？

企業麵臨著相當大的成本壓力，他們需要不斷思考，尋找各種辦法來優化業務流程。

在數據中心領域，這意味著企業需要對硬件成本進行嚴格審核，而這促使很多網絡企業在采購服務器硬件時選擇不太傳統的辦法；即他們設計大部分硬件，再交由定製製造商生產服務器。

這則意味著企業需要對更多硬件安全承擔責任，並更多地依靠定製製造商，而不是傳統服務器供應商。而正因為這種結構所引起的問題，蘋果公司似乎已經結束與Super Micro Computer公司的關係。

在本文中，我們將探討蘋果公司公開的定製服務器問題，以及企業如何避免類似的問題。

蘋果公司麵臨的定製服務器問題

根據最新報告稱，蘋果公司已經將Super Micro服務器從其數據中心移除，因為蘋果公司在其固件中發現預裝惡意軟件。目前還沒有報告有關該惡意軟件的詳細信息，但可能是針對蘋果的針對性攻擊。該惡意軟件可能由Super Micro或者Super Micro的供應商在設計或組裝階段植入到固件中。

Super Micro主要負責設計和組裝服務器組件，例如網卡、存儲接口和CPU。對於Super Micro操作係統在現代係統運行，它需要與BIOS及固件相連接，很多時候，BIOS和固件包含重要功能，這些工具可能來自與製造商簽約的第三方。BIOS和固件可能需要更新，但仍然可能被感染。

除了定製服務器，很多服務器的組件類似於大眾市場服務器，Super Micro使用類似固件和驅動程序來保持低成本。隨著更多第三方參與，服務器攻擊麵變更大，而成品產品的硬件安全責任就越模煳。固件或BIOS可能在任何點受到攻擊，如果在組裝的下一步沒有得到檢查，受感染係統可能會影響整個企業網絡。

雖然我們無法知道詳細信息，但定製硬件的供應鏈安全問題都應該引起企業重視。這類似於Android手機上預裝惡意軟件，以及通過由製造商添加的硬件調試環境引入的預裝膨脹軟件或者後門程序。據報道，美國國家安全局就采取了類似的措施。

企業必須關注供應鏈安全，因為服務器或任何技術產品都可能在供應鏈的很多不同點受到攻擊，並可能會到達最終用戶。

企業如何確保定製硬件安全？

定製硬件有很多好處，例如可提供更安全的係統，而不需要安裝不必要的功能或者在硬件中包含可信平台模塊或加密協處理器等組件。而另一方麵，這意味著企業需要負責檢查定製服務器的安全性。

我們可從某些跡象判斷固件在開箱使用時被感染：意外的網絡連接、高於預期的CPU溫度或者在係統中運行的惡意軟件導致的意外電力使用。

企業可從單獨的係統監控網絡或電源情況，並可調查異常活動。如果發現某些異常，企業可替換不同硬件組件以識別惡意軟件，但企業需要付出很大努力才可能識別所有潛在受感染組件。對於企業可能無法發現的特定惡意組件，唯一響應辦法是完全移除該硬件，否則將無法確保係統安全。

當安裝新服務器（或者連接任何東西到網絡）時，應遵循基於企業風險承受能力的標準化流程。如果企業具有高風險承受能力，則該過程可能相對簡單，隻需要涉及機架擺放以及物理連接布線並安裝所需操作係統的已知安全版本。

如果企業風險承受能力低，這個過程則會更詳細，包括檢查防拆包裝以查看包裝是否在製造商運輸過程中被拆開、更新所有固件和BIOS、連接該硬件到不安全網絡並監控所有網絡活動，然後設置好以查看硬件中是否存在預裝惡意軟件。

美國國家標準與技術研究所（NIST）針對這些情況提供了具體文件，例如“針對服務器的BIOS保護指南”。還有很多其他標準可提供更多指導建議，例如NIST 800-53v4、互聯網安全中心基準以及微軟的服務器硬化基準。這些標準可適應企業要求以確保服務器的安全部署。

總結

成本和性能壓力通常給企業帶來新的安全挑戰，他們需要確保部署適當的保護來保護定製服務器及其供應鏈。這些定製服務器可能比大眾市場服務器更安全更便宜，但企業需要部署額外的措施來確保安全。

本文轉自d1net（轉載）

最後更新：2017-07-24 11:32:41