如何检测对Intel ME固件和AMD等价物的攻击?
如何检测对Intel ME固件和AMD等价物的攻击?
提问于 2023-01-19 18:29:51
由于CPU中有相当多的Intel ME固件的漏洞(同样适用于AMD),我想知道用于检测此类攻击的SIEM解决方案是什么。
更确切地说,我想知道如何检测已知的漏洞和已知的植入物,但如果可能的话,我也想要检测零天和新的植入软件。
回答 2
Security用户
发布于 2023-01-20 00:17:08
这些都是使用软件无法检测到的体系结构攻击。
在实践中,开发必须完美地模仿一个没有漏洞的系统,这是很难的。
一些想法:
- SMM模式rootkit可以通过来自远程主机的定时执行来检测。
- TPM可以实现验证固件内容/状态的远程认证。
- 带外管理芯片可以监听系统总线,并确认关键的系统内存没有改变。
有一些商业解决方案在做这些,但它们不会是现成的/非侵入性的。需要做一些系统管理员的工作。
Security用户
发布于 2023-01-20 12:27:04
嗅探SPI或将BIOS与已知的好BIOS进行比较。分析BIOS转储,以防有可疑之处。因为你也标记了“防御”:只要你有一个已知的良好的BIOS,确保它不能被覆盖。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/267844
复制相关文章
相似问题
腾讯云开发者
