MITRE, diğer üç kuruluştan araştırmacılarla işbirliği içinde bu hafta, kritik altyapı ortamlarında kullanılan gömülü cihazların üreticileri için yeni bir tehdit modelleme çerçevesi taslağı yayınladı.
Yeni EMB3D Tehdit Modeli’nin amacı, cihaz üreticilerine saldırıların hedeflediği teknolojilerindeki güvenlik açıkları ve bu zayıflıkları gidermeye yönelik güvenlik mekanizmaları hakkında ortak bir anlayış kazandırmaktır.
EMB3D Tehdit Modeli
“EMB3D yardımcı olmayı amaçlamaktadır [embedded device] MITRE departman müdürü Marie Stanley Collins, “satıcılar/OEM’ler güvenliği inşa ediyor” diyor. “Azaltmalar, bir varlık sahibi tarafından onaylanmak yerine, cihazın tasarımı sırasında ne yapılması gerektiğine odaklanıyor.” Ancak varlık sahipleri ve güvenlik araştırmacıları Bunu, hangi tehditlerin mevcut olduğunu ve hangi hafifletici önlemlerin dahil edildiğini inceleyerek bir cihazın güvenliğini değerlendirmek için de kullanabileceğini söylüyor.
ICS ve OT ortamlarındaki gömülü cihazlar, göreceli olarak uygun güvenlik eksikliği ve zayıf noktalara yönelik yetersiz testler nedeniyle saldırganlar için çekici bir hedef oluşturuyor. Bunu araştır Nozomi Ağları Bu yılın başlarında yayınlanan rapor, tehdit aktörlerinin geçtiğimiz yıl içinde özellikle gıda ve tarım, kimya, su arıtma ve imalat gibi sektörlerde bu cihazları hedef alan saldırılarını artırdığını gösterdi. Geçtiğimiz yıl boyunca da istikrarlı bir artış yaşandı. tavsiyeler ve rehberlik ICS ve OT ortamlarına yönelik tehditlerle ilgili olarak ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan (CISA).
Collins, “Kritik altyapıyı desteklemek için kullanılan birçok gömülü cihazın güvenliği, gözlemlenen tehditlere ayak uyduramıyor” diyor. “Birçok varlık sahibi, genellikle bu riskleri yeterince azaltmak için cihazları hakkında yeterli bilgiye sahip değil.”
ATT&CK ve CWE’nin Gömülü Sistem Eşdeğeri mi?
EMB3D, ATT&CK ve Ortak Zayıflık Sayımı (CWE) kataloğu gibi yaygın olarak kullanılan diğer MITRE tehdit modelleri ve çerçevelerinin yerleşik sistem eşdeğeridir. ATT&CK’nin savunmacılara tehdit aktörü taktikleri, teknikleri ve prosedürleri için ortak bir kelime dağarcığı vermesi ve CWE’nin donanım ve yazılım güvenlik açıklarını kategorize etmek ve tanımlamak için standart bir yol sağlaması gibi, EMB3D de yerleşik cihazlara yönelik tehditlere ilişkin merkezi bir bilgi tabanı sağlar.
Collins, “EMB3D, bilinen tehditler, bu tehdide karşı savunmasız olan cihaz özellikleri ve bu riske karşı gerekli temel hafifletme önlemleri için tek bir depo sağlıyor” diyor. Bu tür bilgiler kritik öneme sahiptir çünkü yüksek düzeyde gömülü cihazlar, tipik BT tehditlerinden daha fazla donanım ve ürün yazılımı odaklı tehditlere sahiptir. Collins ayrıca programlanabilir mantık kontrolörleri gibi özel mantık yürütmeye yönelik benzersiz teknolojilere de sahip olduklarını belirtiyor.
Gömülü cihaz satıcıları genellikle bir cihazdaki güvenlik mekanizmalarını tanımlamak için bir yöntem olarak tehdit modellemeyi uygularken, daha fazla saldırı ve güvenlik açığı araştırması ortaya çıktıkça cihazlara yönelik tehditlerin sürekli olarak geliştiğini söylüyor. Collins, “Bir ürün güvenliği ekibinin tüm bu tehditleri takip etmesi ve bunlara karşı koruma sağlamak için hangi önlemlerin gerekli olduğunu belirlemesi zor” diye ekliyor. EMB3D, gömülü bir cihazdaki tehditleri ve ilgili güvenlik mekanizmalarını izlemek ve iletmek için tek tip bir mekanizma sağlar.
MITRE ve EMB3D’yi geliştiren ONE Gas, Red Balon Güvenliği ve Narf Industries’den araştırmacılar, ATT&CK teknikleri, araştırmalar, kavram kanıtlama gösterimi ve gömülü cihazlarda keşfedilen güvenlik açıkları da dahil olmak üzere çok sayıda kaynağı inceleyerek gömülü sistemlere yönelik tehditleri belirlediler. ATT&CK ve CWE’de olduğu gibi, EMB3D’nin geliştiricileri de ortaya çıktıkça bilgi tabanına yeni tehditler ve hafifletici önlemler eklemeye devam edecekler. MITRE’ye göre, önceki tehdit modellerinde olduğu gibi EMB3D de güvenlik paydaşlarının ekleme ve revizyonlara katkıda bulunabileceği halka açık bir topluluk kaynağı olacak.
MITRE, “Bu duyuruyla birlikte, ilgilenen satıcılara, varlık sahiplerine, araştırmacılara ve akademisyenlere, bu çerçeveyi 2024’ün başlarında resmi olarak kamuya açıklanmadan önce gözden geçirmeleri için bir eylem çağrısı geliyor.” dedi.
Gömülü Güvenlik İçin Büyük Fırsat
Nozomi Networks’ün siber güvenlik stratejisi direktörü Chris Grove, EMB3D’nin gömülü cihaz güvenliği için MITRE ATT&CK benzeri bir oyun değiştirici olabileceğini söylüyor. Grove, “EMB3D’nin heyecan verici yanı, mevcut çerçevelerin en iyi kısımlarını alıp bunları gömülü sistemler dünyasına nasıl uygulayacağıdır” diyor. “Bu, gömülü sistemlerin BT’den oldukça farklı ama yine de daha kritik olan kendine özgü zorlukları olduğu günümüzde siber güvenlik açısından büyük bir mesele.”
Grove, EMB3D’yi, tehditlerle tek başına mücadele edecek kaynaklara her zaman sahip olamayan küçük varlık sahipleri için yararlı bir kaynak olarak görüyor. EMB3D, siber güvenlikte gezinmeyi çok daha basit hale getiren bir yol haritası gibidir. Kendisi, özel yapım güvenlik araçları lüksüne sahip olmayan küçük şirketlerin bunu özellikle faydalı bulacağını öngörüyor.
Aynı zamanda, daha büyük şirketler de bundan faydalanabilir çünkü bu, onları kendi güvenlik ölçümlerini ve önlemlerini geliştirme zahmetinden ve masrafından kurtarabilir. Grove şöyle diyor: “EMB3D, siber güvenlik risklerini ele almak için standartlaştırılmış, etkili bir yol sunuyor. Bu sadece sorunları bulmakla ilgili değil; güvenliği baştan itibaren cihazlara entegre etmekle ilgili.”