文章核心观点 - HP公司发布报告强调设备生命周期各阶段的安全性问题，指出硬件和固件安全常被忽视，导致长期网络安全风险 [1][2] 行业现状 - 81%的IT和安全决策者认为硬件和固件安全应成为优先事项，但68%表示在设备总拥有成本中，硬件和固件安全投资常被忽视 [2] - 34%的供应商在过去五年中未能通过网络安全审计，18%的严重失败导致合同终止 [3] - 53%的IT和安全决策者表示BIOS密码共享或不够强大，53%很少更改BIOS密码 [3] - 60%的IT和安全决策者不及时更新固件，57%对固件更新感到恐惧 [3] - 每年丢失和被盗设备给组织造成约86亿美元损失，20%的远程工作者丢失或被盗设备，平均25小时后通知IT [3] - 47%的IT和安全决策者认为数据安全问题是重新使用、转售或回收PC或笔记本电脑的主要障碍，39%认为对打印机也是如此 [3] 供应商选择 - 60%的IT和安全决策者表示，设备采购过程中缺乏IT和安全参与，增加了组织风险 [3] - 52%的IT和安全决策者表示采购团队很少与IT和安全合作验证供应商的硬件和固件安全声明 [5] - 45%的IT和安全决策者承认他们不得不相信供应商的陈述，因为他们没有手段验证硬件和固件安全声明 [5] - 48%的IT和安全决策者甚至表示采购团队像“待宰的羔羊”，因为他们会相信供应商的任何说法 [5] 设备管理 - 78%的IT和安全决策者希望通过云实现零接触 onboarding，包括硬件和固件安全配置以提高安全性 [7] - 57%的IT和安全决策者对无法通过云 onboarding 和配置设备感到沮丧 [7] - 48%的远程工作者抱怨设备 onboarding 和配置过程具有破坏性 [7] - 71%的IT和安全决策者表示，远程工作模式的增加使得管理平台安全更加困难，影响工作效率并创造风险行为 [9] - 25%的员工宁愿忍受性能不佳的笔记本电脑，也不愿要求IT修复或更换，因为他们无法承受停机时间 [9] - 49%的员工将笔记本电脑送去维修，平均需要2.5天以上修复或更换设备，迫使许多人使用个人笔记本电脑或从家人朋友处借用 [9] - 12%的员工让未经授权的第三方提供商维修工作设备，可能危及平台安全和IT对设备完整性的视图 [9] 监控与修复 - 79%的IT和安全决策者表示，他们对硬件和固件安全的理解落后于对软件安全的理解 [10] - 63%的IT和安全决策者表示，他们在设备硬件和固件漏洞及配置错误方面面临多个盲点 [10] - 57%的IT和安全决策者无法分析过去安全事件对硬件和固件的影响，以评估风险设备 [10] - 60%的IT和安全决策者表示，检测和缓解硬件或固件攻击是不可能的，认为事后修复是唯一途径 [10] 设备再利用与报废 - 59%的IT和安全决策者表示，由于数据安全问题，他们很难让设备“重生”，因此通常会销毁设备 [12] - 69%的IT和安全决策者表示，他们拥有大量可以重新利用或捐赠的设备，如果能够安全擦除数据 [12] - 60%的IT和安全决策者承认，他们未能回收和重新使用完好无损的笔记本电脑，导致电子垃圾问题 [12] - 70%的远程工作者在家中或办公室工作空间至少有一台旧工作PC/笔记本电脑 [14] - 12%的远程工作者离职后未立即归还设备，近一半表示从未归还 [15] 行业建议 - 确保IT、安全和采购团队合作，建立新设备的安全和韧性要求，验证供应商安全声明并审计供应商制造安全治理 [18] - 投资于支持安全零接触 onboarding 的解决方案，以及不依赖弱认证（如BIOS密码）的固件设置安全管理 [18] - 识别有助于IT远程监控和更新设备配置的工具，并快速部署固件更新以减少攻击面 [18] - 确保IT和安全团队能够远程查找、锁定和擦除设备数据，即使设备已关闭，以减少丢失和被盗设备的风险 [18] - 通过监控设备审计日志，识别平台安全风险，如检测未经授权的硬件和固件更改及利用迹象，提高韧性 [18] - 优先考虑能够安全擦除敏感硬件和固件数据的设备，以实现安全报废 [18] - 在重新部署设备之前，审计其生命周期服务历史，以验证链