Eclypsium 
韌體安全的捍衛者 

韌體是一種用於控制硬體設備的軟體。它通常儲存在設備的永久記憶體中，用於控制硬體的功能。韌體是一種底層軟體，與設備硬體緊密整合，並為其運作提供必要的指令。 韌體不同於其他類型的軟體，通常由設備製造商編寫，不易更改或更新。使用韌體的設備範例包括路由器、印表機、數位相機等。總之，韌體是許多硬體設備的關鍵組件，提供必要的指令和控制以確保設備能如預期運作。

筆電中會有各種不同用途的韌體組件，常見的包含：BIOS/UEFI、嵌入式控制器韌體、觸控板韌體、鍵盤韌體、無線網路卡韌體、顯示卡韌體等等，實際韌體組件的數量會依據筆電的型號與製造商而有所不同。

韌體攻擊有多種形式，包括篡改韌體以插入惡意程式碼、利用韌體中的漏洞進行未經授權的存取，或破壞供應鏈以將惡意韌體植入設備。這些攻擊可能造成嚴重後果，包括資料竊取、智慧財產權損失和營運中斷。由於韌體在作業系統之下運作，通常無法被端點的安全防護（如EDR）偵測到。

Eclypsium 可識別伺服器、筆電、網通設備、OT/IoT 等多類裝置。不僅深入 BIOS、UEFI、BMC 等韌體元件，還能協助您從元件層級建立元件物料清單、執行完整性比對與版本控管，全面監控韌體風險。

韌體漏洞只能由原廠或 OEM 廠商修補。若元件存在風險，不僅危害用戶，還會損害 OEM 品牌的聲譽。OEM 應從源頭落實安全開發，建立漏洞應變機制，才能確保產品與供應鏈的可信度。

Eclypsium 具備豐富的安全開發經驗，提供從開發到維護階段的韌體安全協助，包括元件安全評估、更新驗證與漏洞回報機制。現已與 Intel、Lenovo、Dell、HP 等廠商合作多年，協助從源頭強化供應鏈安全。

2020年最知名的SolarWinds 供應鏈攻擊就是韌體攻擊的案例，攻擊者破壞了 SolarWinds 軟體更新機制的韌體，從而可以向全球使用受影響軟體的企業和組織的系統發送惡意負載。後續也導致了一系列全球知名企業的資安事件。