服务器固件可能成为网络犯罪分子的下一个前沿地带，对硬件供应商来说也是如此。

大多数网络犯罪涉及简单和漫无目标的勒索软件。但是，随着安全专业人员加固了操作系统和应用程序所在的数据平台，复杂的网络威胁源将寻找更易潜入的目标。一项全新的攻击向量是通过固件，在操作系统和应用程序的数据平面之下潜入。

网络安全顾问公司InfusionPoints LLC高级副总裁兼首席技术官Jason Shropshire说：“固件在数据平面的复杂性和连接性上都不断提升，这使得它成为攻击者利用弱点同时避免检测的理想场所。”

联邦调查局的休斯敦网络工作组（FBI’s Houston Cyber Task Force）计算机科学家James Morrison说，例如，网络犯罪分子试图破坏BIOS更新是一种深入网络的简单方法，因为许多IT专业人士都认为下载的BIOS更新是安全的。

固件破解行为尚不常见，但最近有一些被发现的例子。Moor Insights＆Strategy公司总裁兼首席分析师Patrick Moorhead表示：“原始设计制造商将被感染的主板发送给了10位云服务供应商，其固件中包含“固定电话”功能。硬盘驱动器上的硬盘控制器已经出现了恶意软件，而USB驱动器固件也是藏污纳垢”，Morrison说。

Moorhead表示，保障安全的目标是会持续不断地变化，服务器固件已经变得越来越受关注，因为意图、工具、动机和攻击面持续在改变。网络和客户端设备变得更加安全，而黑客往往光顾那些安全性最薄弱的地方。

他说：“这就是为什么服务器固件是最新的适合攻击的场所。唯一可以添加功能来防范的就只有服务器供应商”。

据IDC分析公司的数据，对服务器固件的安全性以及最新功能的关注，伴随着服务器厂商的全球收入在2017年第一季度同比下降了4.6％至118亿美元。相比之下，惠普企业服务器（Hewlett Packard Enterprise）的收入下滑了16％。

HPE：信任硅（Trust silicon），但会验证所有代码

Hewlett Packard Enterprise（HPE）全新的Gen10 ProLiant服务器上个月推出的固件安全性最高。HPE服务器软件和产品安全总监Bob Moore说：“即使不考虑性能，他们也要考虑安全性，因为大家都很关注这一点。”

在Gen10的内部有着“基于硅的信任”，它连接硅和固件，旨在防止服务器使用受损的固件代码。Shropshire表示，之前保证服务器固件完整性的唯一方法是将其脱机，运行完整性检查，构建黄金映像并定期使服务器脱机，重新获取图像并进行比较。凭借对硅的信任，使得系统在运行时能够发生。

Shropshire说，HPE的硅基础信任领先于类似的服务器来实现平台完整性。他将这种改变与微软的创始人Bill Gates 在15年前引入可靠计算备忘录，从而改变微软操作系统安全的方法相类比。

HPE的Gen10服务器还将搭载英特尔新的至强处理器可扩展芯片，预计今年晚些时候发布。戴尔EMC上个月推出的第14代PowerEdge服务器是围绕同一芯片构建的。该芯片的细节仍然由英特尔公司承担，但两家厂商都宣称其下一代服务器将加强其安全性，与英特尔的下一代Xeon芯片保持一致（代号为Skylake）。

Moorhead表示，在最近使用的英特尔最新芯片的新服务器浪潮中，HPE的做法似乎是最安全的。戴尔EMC和HPE都有启动负载保护，但HPE是唯一通过其Integrated Lights-Out管理控制器验证所有代码的产品。

他说：“几乎所有人都在利用英特尔的安全机制，但只有HPE可以检查进出固件的每一段代码。”他说。

对安全性的担忧成为洛杉矶股票分析公司William O’Neil公司的首席系统工程师Zygmunt Diao的过去一年中的主要烦恼。他说他了解面向服务器固件的威胁，他很欣慰厂商正在认真对待这个问题。

然而他表示，他不确定HPE的新服务器增强功能是否将真正有助于保护企业IT系统。 即使新的服务器可以防止固件破坏，其中许多仍将与遗留系统相结合将传统系统至于脆弱的境地。

“从何种角度能够真正帮助客户保护自己？ Diao问道。“有关安全我们还有许多工作要做。”