盘点固件安全赛道 a16z看到了什么

原文来源：阿帕兔研究笔记

本文从笔者最近对基础安全领域的人、趋势、现象的观察、系列事故进行文章总结，从几个角度出发，探讨了国内比较少人探讨的赛道——固件安全市长/市场和需求变化的方向，文章结尾也对过去几年来我对风险投资、行业新趋势进行了观察和思考。当然，读者朋友们也欢迎一起讨论。）

第一，前提知识首先明确几个知识点的具体含义。

固件安全性的固件定义：

它主要基于在服务器、笔记本电脑和台式机上运行的固件(例如UEFI/BIOS/Coreboot)等通用计算机上的固件。

什么是Uefi/BIOS/核心引导UEFI是详细说明类型接口的标准。此接口用于将操作系统从预引导操作环境自动加载到操作系统中，UEFI是新主板引导初始化的尺寸设置。

BIOS直译为英语“basic input output system”(基本输入输出系统)的缩写后，中文名称为“Basic Input Output System”(基本输入输出系统)。在与IBM PC兼容的系统上，行业标准固件接口BIOS是PC启动时加载的第一个软件。计算机最重要的基本输入/输出程序、启动后自检程序和存储系统自启动程序的计算机内主板的ROM芯片上固化的程序集。您可以在CMOS中读取和写入有关系统设置的具体信息。主要功能是为计算机提供最底层、最直接的硬件设置和控制。此外，BIOS还为操作系统提供了一些系统参数。系统硬件的变化被BIOS隐藏，程序使用BIOS功能，而不是直接控制硬件。最新的操作系统忽略BIOS提供的抽象层，直接控制硬件组件。

core boot是一个开源软件项目，旨在取代大多数计算机中学的BIOS(固件)。核心引导执行部分硬件初始化，然后执行其他引导逻辑。通过将硬件初始化与未来引导逻辑分离开来，核心引导可以直接运行固件、在闪存上运行操作系统、加载自定义引导或实施固件标准(如PC BIOS服务或UEFI)的专用应用程序扩展。这样可以减少所需的代码量和闪存空间，因为系统仅包含大象应用程序所需的功能。

这些固件和计算机有什么关系首先，它们都存储在硬件的闪存中。

硬件通电了

三者开始硬件初始化

内存初始化完成后

BIOS自行运行(各主板供应商自行开发

UEFI自行操作(主板供应商方便，标准集成)

Core Boot可以运行超小型Linux，可以自己跑，可以把自己伪装成UEFI或其他东西。

提供通用的硬件访问接口，并移交对操作系统的控制

也就是说，他们的存在是计算机运行不可缺少的重要部分。

第二，我是如何对这个领域的1感兴趣的。第一是人的水平。笔者一直关注的技术背景出身(斯坦福PHD)创始人在A16Z担任合伙人，Martin Casado，之前是Nicira (2012年被VMware以12.6亿美元收购)的联合创始人。Martin在VMware工作期间担任网络和安全事业部总经理，他在斯坦福期间出版了很多著名论文，在VMware工作期间也广为人知，他也有创业背景，对笔者很感兴趣。另外，他是最早开始SDN的人。openflow协议、NOx、pox的作者、早期研究SDN基本上把这两者都用作实验平台，当年主导了NSXt产品。(本段背景感谢即时网友DQ的补充：)

资料来源：Crunchbase

以下是马丁卡萨多的一般经验。Nicira创业前，他是斯坦福的PHD。笔者经常能看到有Track学术创业背景的投资者的动向。(例如，他们扔了什么新东西为什么他们的社交网络会发什么研究文章)，所以偶尔会发现值得观察的方向。

2.接着，最近的金融信息2022年10月4日，就在几天前，一家名为Eclypsium的公司宣布B轮融资2500万美元，引进方主要集中在网络安全领域的投资上。有趣的是，Eclypsium的这一轮和前一轮融资正好也有A16Z这个合伙人Martin Casado的身影，A轮、B轮融资也包括Intel CAPIDO。

然而，包虫病并不为人所知，特别是在国内。简单来说，他们主要做基本安全/固件安全类别，主要是为企业供应链中的主要硬件、固件等提供安全服务的供应商，主要关注服务器、笔记本电脑、网络设备(交换机、路由器等)的固件层检测和保护。公司成员中，尤利蓝进在英特尔(首席工程师)工作了11年，在McAfee工作了两个月(CTO)。Alex Bazhaniuk和John Loucaides也来自Intel，在此之前，他们负责Intel的硬件和固件安全。Ron Talwalkar在McAfee担任终端安全事业部产品管理高级总监11年，负责英特尔安全相关事务。

所以他们发现了什么特别是从领域专家和创业出身的投资者的角度来看，到底有什么新趋势，还是会有比较新的趋势这也是笔者写这篇文章的主要原因。

3.最近在过去的RSA大会上观察到的东西中比较少见，为了始终观察，我将拿出前几年RSA大会(世界一流的最高安全大会)的创新项目和演讲。2017年，有研究人员在BlackHat Asia介绍了统一可扩展固件接口(UEFI)固件的渗透测试工具集，2018年，RSA创新沙箱评选公司之一Refie。重点分析了互联网设备的固件安全性。该公司的工作重点是网络基础设施包括互联网设备、服务器和路由器、交换机等网络设备、用户端有个人计算机。那么，这些设备的底层和硬件的安全性问题也值得关注。2018年同年，美国的BlackHat上

三、市场痛点如果部分大企业的动向是这样的话，固件安全到底能解决什么问题

随着行业成熟度的提高，软件安全性逐渐提高。但同时，固件和硬件安全近年来成为攻击者的热门对象。基于固件的恶意软件被安全团队严重忽略，使服务器、存储和网络设备上的固件成为企业安全的“弱点”。固件中存储着证书、密钥等敏感信息，成为攻击者的重要对象。调查大象83%的企业在过去两年中遭受过固件攻击。

固件通常是常见漏洞管理工具和过程的盲点。大多数漏洞扫描器侧重于软件，避免检查固件漏洞和硬件配置错误。企业对固件安全性的关注必须与操作系统和应用程序安全性相同。

继续看一个数据：Gartner预计，到2022年，70%缺乏固件更新方案的机构将因固件漏洞而遭受数据泄露。最近几年固件漏洞的数量激增。固件漏洞可能存在于设备内部的任何组件中，包括UEFI或BIOS系统、驱动器、网络适配器、内存、处理器、显卡和许多其他集成或外围设备。自2016年以来，美国国家漏洞数据库中的漏洞数量创下了每年最高值。2019年的固件漏洞比2018年增加了43%，比2016年增加了7.5倍。

微软2021年委托进行的调查显示，83%的受访者在过去两年中遭受过固件攻击。国家标准技术研究所(NIST)国家漏洞数据库数据显示，过去4年来，对固件的攻击增加了5倍以上。在硬件生命周期报告中，将安全作为优先事项的研究参与者约有一半(52%)声称至少发生了一起恶意软件感染固件引入公司系统的事件，17%的参与者表示，该事件产生了实质性影响。

图片来源：老虎池固件安全性：被忽视的企业安全“弱点”2021-04-16 09:18

当前安全问题的严重性。

根据2021年的报告，3000万台戴尔设备面临远程BIOS攻击、RCE攻击的危险。这意味着，通过这种类型的漏洞，远程攻击者可以在预计会影响全球3000万台戴尔终端设备的戴尔设备预引导环境中获得所有代码执行权限。通过这些漏洞，授权网络黑客可以绕过安全启动保护，控制设备启动过程，突破操作系统和更高级别的安全控制。累计CVSS分数为8.3分。特别是，这些漏洞会影响Dell SupportAssist的BIOSConnect功能，Dell support assist是大多数基于Windows的戴尔系统中预装的技术支持解决方案。Bios连接用于在远程操作系统上执行固件恢复或更新功能。

一份分析报告指出：“不同类型的技术供应商越来越多地实施云更新过程，使客户能够将固件保持在最新版本。这是一个非常好的功能，但如果这些程序出现漏洞(例如戴尔BIOSConnect中出现的漏洞)，可能会产生严重后果。”这些特定漏洞使攻击者能够远程利用主机上的UEFI固件，并获得对该设备的最高控制权限。如果将这些远程攻击与高权限相结合，未来的远程更新功能很可能成为攻击者最受欢迎的对象。

从智能手机到服务器，几乎所有设备都包含固件。计算机包含从USB键盘到显卡和声卡的许多固件。计算机电池也包含固件。考虑到固件的广泛普遍性，人们自然期望固件安全问题会先考虑——，但遗憾的是，这一距离与事实相去甚远。

图片来源：老虎池固件安全性：被忽视的企业安全“弱点”2021-04-16 09:18

固件通常是常见漏洞管理工具和过程的盲点。大多数漏洞扫描器侧重于软件，避免检查固件漏洞和硬件配置错误。此外，对于指定的设备，您并不总是知道内部是否安装了最新的固件，以及有漏洞的固件是否已正确更新。这就要求CISO和安全团队有能力检查产品固件状态，而不是供应商的漏洞更新过程。

基于固件的恶意软件被安全团队严重忽略，服务器、存储和网络设备上的固件成为企业安全的“弱点”。Microsoft调查显示，企业没有在固件保护方面进行足够的投资，安全预算中只有29%用于固件保护。21%的调查大象决策者承认，公司的固件数据没有受到监控。

四、为什么对固件安全领域感兴趣为什么要关注这个领域固件安全轨道在哪里重要天花板有多高可以在什么场景中使用解决什么问题

1.针对各国国家导向和固件攻击的安保事件频繁发生。最新报告显示，80%的组织因供应链漏洞受到网络攻击，2021年供应链攻击同比增加了100%以上。全球政府机构(如白宫OMB关于加强供应链安全的备忘录)表示，网络安全和基础设施安全局(CISA)发布的占已知使用漏洞近四分之一的设备软件和固件已成为主要来源。

图片来源：https://www . NIST . gov/ITL/executive-order-14028-improving-nations-cyber security

美国国家标准技术研究院(NIST)于2021年5月12日发表了吗EO 14028行政命令) (上图中最重要的概念之一是软件材料清单(Software Bill of Materials，SBOM)。你怎么理解这个SBOM也就是说，未来企业在提供客户软件使用时，必须公开或向客户公开该方案的组件列表，长期目标是降低软件供应链的风险。

2021年5月26日，CISA呢在RSA 2021会议上公开VBOS程序的目的是要保护较低层的安全，包括操作系统。固件是比操作系统拥有更高权限的软件，在芯片internal ROM后负责硬件初始化，这也是过去15年来固件级别的安全对抗从未停止过的特殊软件。只是这个层面的威胁由于对普通企业的理解困难，没有受到业界的重视，但近年来固件安全问题越来越严重，Google/AWS等国际大厂为了对抗高级攻击，为自己定制了固件安全方案。VBOS计划是把固件安全性放在桌子上。这也是乔装的吗SBOM已扩展到固件级别。

基于EO 14028的计划和框架，6月26日，美国国家标准技术研究院，包括操作系统、虚拟化、容器、中央认证和权限管理系统、浏览器、终端安全(包括全面加密、安全漏洞风险评估系统和收集硬件、固件和操作系统基本信息的软件产品)

7月11日，NIST宣布了EO-主要软件的安全措施。本文从高级防御的角度说明了关键软件应使用的现有法规遵从性指导原则。7月11日NIST还公布了供应商工厂前安全测试的最低要求，其中对模糊测试和回归测试提出了要求。

CISA和NSA将于2021年10月28日发布吗5G、云基础架构安全指南和5G基础架构的潜在威胁明确表明，单个节点防御已知漏洞和未知漏洞的能力以及重要MEC边缘节点的高级保护功能必须涵盖固件层。

2021年11月16日，CISA发布了《联邦政府网络安全紧急情况和脆弱性应对手册》，以继续标准化安全事件应对过程。

市长/市场需求在哪里EO14028和VBOS今后将影响全球信息安全产业的趋势，更多国家将采取后续行动，各国逐步响应EO 14028，制定符合国家和行业实际情况的合规准则只是时间问题，对于企业来说，出海可能面临更复杂的合规要求和审计，在亚太地区，日本和新加坡可能成为第一个参考EO。此外，随着威胁软件(RaaS)越来越频繁地出现，企业将需要将固件安全置于重要的战略位置。

我国关于保护主要基础设施的规定：2021年4月27日通过了《关键信息基础设施安全保护条例》

不能期待固件漏洞的增加速度减少。一方面，笔记本电脑、服务器和网络设备中的组件数量和复杂性在增加。英特尔公开的2020年安全漏洞中，93个是驱动和其他软件漏洞，66个是固件漏洞，58个是固件和软件组合漏洞。另外，从攻击者的角度来看，固件是一个具有极高价值的战略目标。固件使攻击者能够轻松访问被盗或抢劫的数据。固件攻击还允许完全禁用组件或整个设备。固件还提供了攻击者长期攻击的路径。

市长/市场天花板有多高据Grandviewresearch称，2020年全球服务器市长/市场规模为836.6亿美元，预计从2021年到2028年将增长7.8%的年均复合增长率(CAGR)。增加的主要原因是全球新数据中心数量的增加，包括IT和电信、医疗保健、BFSI、政府和国防等云服务提供商和行业

资料来源：Grandviewresearch

为什么服务器市场会持续增长首先，图中亚太地区机架式服务器的销售激增。主要是随着大型企业的持续需求，对大容量服务器的需求在增加。其次，支持大规模数据分析、软件定义解决方案和超融合基础架构的应用程序对高性能计算服务器的需求也在增加。5G网络技术的不断推出，以及公共云供应商对超大规模数据中心建设的积极投资，也有助于服务器市场的增长。

不断增长的市场对服务器等固件安全性的要求越来越高。

五、近期部分固件安全赛道的融资情况日蚀：2018年A轮融资880美元2022年10月4日B轮融资2500万美元。

赛勒斯：铁路安全初创公司Cylus2021年末在B轮融资3000万美元。

Oxide Computer:2019年底，Oxide Computer先生融资了2000万美元。

Binarly:2022年6月，固件安全初创公司Binarly种子融资360万美元。

第六，就商业模式而言，本节介绍了几位笔者值得注意的事例和他们的商业模式。

1.Eclypsium主要业务：一方面审核IBM等主要工厂的固件，帮助企业和公共部门客户保护和确保硬件、固件和软件供应链的完整性。另一方面，是奠定行业安全研究的基础，及时向公众和企业公开安全风险。

Eclypsium的投资者评价：Eclypsium通过解决网络安全挑战中重要和经常被忽略的方面，不断保护每台设备免受供应链安全风险的影响。设备安全性在历史上更多地由原始设备制造商控制，但今天对复杂供应链和第三方软件和组件的依赖扩大了一倍，Eclypsium能够进入市场的时机比较好。可以综合解决这些复杂的问题。

2.Oxide(这家公司更有趣。中文互联网几乎没有那个资料。但是种子轮得到了2000万美元。上帝是不是很神奇Oxide在干什么商业模式是什么

简单来说，给Oxide钱，Oxide就会卖给你一台电脑。出问题了。到底是什么样的电脑还有，为什么人们想买呢

20世纪90年代末和21世纪初，将运行网络服务的服务器安装在数据中心机架中，如果需要更多流量，数据中心将升级，购买更大、更强大的服务器，服务器又大又贵，难以管理。

在这种情况下，2006年，谷歌等公司决定建立自己的服务器。这可以降低成本，因为市场上的标准产品不能完全满足企业的需求。谷歌等公司开始拒绝“服务器级”硬件的概念，纯粹依靠更便宜的消费级硬件。但是，单纯依靠消费者级硬件，需要构建很多软件，使服务器集群更加稳定。

但是，这种方法也有缺点。随着这些企业的发展，数据中心逐渐上云，开始管理这么多计算机，互联网和软件巨头为了提高效率和获得竞争优势，开始设计或制造自己的硬件。例如，Google宣布，它使用英特尔的数百万芯片定制了自己的服务器，5月份为神经网络设计了自己的特定ASIC(应用集成电路)。

Facebook在数据中心使用自己的交换机。公共云公司亚马逊网络服务公司不仅设计了路由器、芯片、存储服务器和计算服务器，还设计了高速网络。

但是企业也会遇到扩张问题。解决办法很简单。就是雇用一些人来建立基础设施。有些人很好奇。为什么不买现成的现在计算机公司实际上是在垂直扩张时代成长起来的，没有现成的产品可以购买，所以标准化的产品有问题。出现这种情况是因为每个企业的计算要求不一定相同。现成的服务器系统有很多硬件和软件，系统的各个部分都有很多浪费的地方。(Northern Exposure，计算机名言)，这一信念可以追溯到90年代中期第一次来到Sun Microsystems(早期科技公司的援助)时的经历。

除了不可避免的技术信念外，他的商业信念是，即使世界正在转向灵活的基于API的计算，也有很好的理由在自己的设备上运行。此外，随着基于云计算的SaaS从严格意义上的增长驱动向利益驱动移动，可能会有更多的人考虑购买数据中心或自行构建数据。

他的创业想法开始形成。世界需要公司开发和提供整合、超高速基础设施到更广阔的市场。

7、在现有业务场景下，固件安全性有哪些应用模式应用场景1:服务器的加固Eclypsium研究人员在IBM的SoftLayer云服务中租赁了使用Maxmicro的BMC的裸机服务器，这是一家存在已知固件漏洞的硬件供应商。在确认最新的BMC固件可用后，研究人员记录了机箱和产品序列号，以便以后识别系统。然后研究组以一个单位翻转的形式“改变”了BMC固件。在将服务器重新发布到IBM之前，BMC的IPMI中的其他用户的帐户也已创建。研究人员总结说，使用脆弱的硬件和固件不刷新的组合，可以将恶意代码移植到服务器的BMC固件中。

黑客想做的是窃取数据，从其他租户那里泄露秘密信息。另一个有趣的想法是，通过有效关闭这些机器，对基础设施造成实质性损害。如果黑客可以访问此固件层，则可以永久“破坏”系统。

对于这项发现，IBM通过在将所有BMC(包括报告最新固件的BMC)重新配置给其他客户之前使用工厂固件重新更新，来应对此漏洞。BMC固件中的所有日志都将被删除，BMC固件中的所有密码都将重新生成。

IBM发言人表示：“考虑到我们已经采取的补救措施和利用这个漏洞所需的难度，对客户的影响微乎其微。”“该报告侧重于IBM，但实际上是所有云服务供应商潜在的整个行业漏洞。谢谢你的Eclypsium。

参考资料：https://www . techtarget . com/search security/news/252458402/eclypsium-bare-metal-cloud-

8.web 3业务场景中的应用程序使数据中心越来越分散，一些大型工厂为了降低成本，选择了自建数据中心，分布式数据中心也成为新的潜在趋势之一。那么，这与web 3和区块链有什么关系呢

已知的常识是区块链上有不可能的三角形。这个不可能的三角形意味着不能同时满足集中化、安全和可扩展性这三个条件。也就是说，任何系统设计都只能满足其中的两个。例如，极端集中式方案BTC(比特币)和XMR(门罗)不能以牺牲可扩展性的成本提供BTC/XMR技术体系结构更复杂的业务，因此第2层的存在是不可避免的，因为需要支持更复杂的业务。(比尔盖茨(bill gates)，Northern Exposure，Northern Exposure)。

但是，第2层在安全方面存在一些主要挑战。

第一，安全性和可扩展性对消除集中系统至关重要，引入超级节点会增加系统安全的风险。例如，在PoW模式下，需要数万个节点才能发起51%这样的攻击。但是在PoS时代，由于超级节点的诞生，需要控制的节点数量大大减少，安全风险也增加了。

第二，跨链协议的实现存在缺陷。这个缺陷该如何理解事实上，目前，例如，跨链桥的实现有bug。例如，A-B链通过交叉桥C，但C不完成A和B的检查，而是发出transaction。攻击者可以利用它进行无限制的转账。

第三是供应链安全。主要包括开发人员是否移植后门、构建基础设施是否需要加强安全性等考虑因素。

但是，如果牺牲集中特性的一部分，采用联合化的体系结构，这个三角形可能成为可能(即能够满足可扩展性和安全性的特性)。我们认为不能牺牲Scalability和Security。因为一旦这样做，复杂的业务也无法开展。但是，如果用分布式联合化代替100%的完全中央化，可能会发生技术体系结构转换。完全去中心化意味着所有节点都有验证的权利，所以即使有几个节点被攻击，也只是钱包安全的问题。(约翰f肯尼迪，Northern Exposure，)但是，如果PoS选择超级节点成为validator的节点受到攻击，严重性非常高。(阿尔伯特爱因斯坦)。

那么，假设在web 3领域，一个业务在全球有数十个超级节点，一个节点在德国的Hetzner数据中心，一个节点在法国节点在OVH数据中心，日本的节点又在一个地区机房托管。

如何使这些服务器本身的运行状态保持可靠，如未被机房管理员或其他Evil Maid(邪恶女仆)篡改，如果能做到这一点，Web 3超级节点的物理服务器就可以被扔进这个星球上的任何数据中心，大胆运行。因为验证服务器是与钱相关的组件。另一方面，不同超级节点之间可以通过联合协议或链桥进行通信，在这种情况下，对基本安全性的要求可能会更高。

8.后期笔者一位非常尊敬的GP前辈说，要找到正确的“非公共监察队”。这句话一直记得大势开始前如何观察其他的东西。这是笔者每天喜欢探索的事情之一。

回顾我自己的经历，2014年前后，USV合伙人看到Metaberz的博客说明(他这篇文章是2012年写的，提到Twitter和元宇宙)时，也突然眼前一亮。下图

照片来源：Twitter and the meta verseAVC

另外，2019年USV合作伙伴Fred博客记录了他对NFT和虚拟人的关注，引起了我的思考。(但是当时周围能交流NFT的朋友不多。) (下图)。

照片来源：Twitter and the meta verseAVC

这篇文章作文主要想给大家思考的新领域、新方向。

单击下载

European Exchange金融投资European Exchange(也称为Eurokx)是世界领先的数字资产交易所，为全球用户提供比特币、莱特货币、以太网货币等数字资产的现货和衍生品交易服务，并使用区块链技术为全球交易者提供高级金融服务。这是一个非常古老的数字货币交易平台，平台为我们提供安全、专业的数字货币交易经验，为新手提供完整的流程指导，使其易于启动，通过客服24小时在线回复提供最佳服务。