YORUM
Operasyonel dayanıklılık, BT ve iş liderlerinin bir sloganı haline geliyor ve bunun iyi bir nedeni var. Küresel BT altyapısı artık oldukça birbirine bağlı ve birbirine bağımlı ve her türlü tehdide karşı dayanıklı olmalı. Ancak en çok göz ardı edilen siber güvenlik risklerinden biri ve yakın zamanda yapılan bir araştırmada vurgulanan bir kör nokta HP Wolf Güvenlik anketi — donanım ve donanım yazılımı tehditlerini azaltma zorluğudur. Donanım tedarik zinciri güvenliği, cihazların teslim edilmesiyle sona ermez. Altyapıda kullanılan cihazların tüm ömrü boyunca ve hatta bir sahibinden diğerine yeniden kullanıldığında daha da uzun süre devam eder.
Donanım tedarik zincirindeki kesintiler birçok şekilde olabilir: fidye yazılımı grupları tarafından fiziksel tedarik zinciri kesintilerinden, cihazın ömrünün herhangi bir aşamasında gizli ve kalıcı kötü amaçlı implantlar dağıtmak için donanım veya donanım yazılımına müdahale etmeye kadar. Bu saldırılar, tüm yazılımların çalıştığı cihazların donanım ve donanım yazılımı temellerini zayıflatır ve bu da kuruluşların bu tür tehditlere karşı dirençli olacak şekilde baştan sona tasarlanmış uç noktalarla donatılmasını kritik hale getirir.
Hükümetler tedarik zinciri güvenliğini güçlendirmek için harekete geçmeye başladı. 2021’de, ABD Yürütme Emri 14028 hükümet tedarikleri için yazılım tedarik zinciri güvenlik gereksinimlerinin geliştirilmesini hızlandırdı, açıkça kapsam dahilinde ürün yazılımı ile. Avrupa Birliği (AB), yazılım ve hizmetlerle başlayarak tedarik zincirinin her aşamasında yeni siber güvenlik gereksinimleri getiriyor, Ağ ve Bilgi Sistemleri (NIS2) yönergesive cihazların kendilerine kadar uzanıyor Siber Dayanıklılık Yasası daha güvenli donanım ve yazılım sağlamak için. Bu alanda faaliyet gösteren birçok başka ülke var, örneğin Birleşik Krallık yeni Nesnelerin İnterneti (IoT) siber güvenlik düzenlemelerive Siber Güvenlik ve Dayanıklılık Yasa Tasarısı “Daha fazla dijital hizmeti ve tedarik zincirini korumak için düzenlemenin kapsamını genişletmek.”
Bu arada kuruluşlar donanım ve donanım yazılımlarından kaynaklanan tehditlerle boğuşuyor. Kuruluşların yüzde otuz beşi kendilerinin veya tanıdıkları diğer kişilerin, kötü amaçlı donanım veya aygıt yazılımının PC’lere veya yazıcılara yerleştirilmesine çalışan devlet destekli aktörlerden etkilendiğini söylüyorlar. Bu düzenleyici arka plan ve tedarik zinciri saldırıları konusundaki artan endişeler arasında, kuruluşlar fiziksel cihaz güvenliğine yönelik yeni bir yaklaşımı değerlendirmelidir.
Donanım ve Ürün Yazılımı Bütünlüğüne Yönelik Saldırıların Etkisi
Uç nokta donanımını ve aygıt yazılımı bütünlüğünü korumada başarısız olmanın sonuçları ciddidir. Aygıt yazılımı veya donanım katmanında cihazları başarıyla tehlikeye atan saldırganlar benzersiz bir görünürlük ve kontrol elde edebilir. Teknoloji yığınının alt katmanları tarafından açığa çıkarılan saldırı yüzeyi, işletim sisteminin altında gizli bir dayanak noktası sağladıkları için ulus devletler gibi yetenekli ve iyi kaynaklara sahip tehdit aktörleri için bir süredir hedef olmuştur. Bu saldırgan yetenekler hızla diğer kötü aktörlerin eline geçebilir. Donanım veya aygıt yazılımı düzeyindeki tehlikeye atmalar kalıcıdır ve saldırganlara sistemdeki her şey üzerinde yüksek düzeyde kontrol sağlar. Genellikle işletim sistemi ve yazılım katmanlarına odaklanan mevcut güvenlik araçlarıyla tespit edilmeleri ve düzeltilmeleri zordur.
Aygıt yazılımı tehditlerinin gizli doğası ve karmaşıklığı göz önüne alındığında, gerçek dünya örnekleri işletim sistemini hedef alan kötü amaçlı yazılımlar kadar sık değildir. 2018’de LoJax gibi örnekler, en son teknoloji korumaya sahip olmayan çoğu cihazda işletim sistemi yeniden yüklemeleri ve sabit disk değiştirmeleri sırasında hayatta kalmak için PC UEFI aygıt yazılımını hedef aldı. Daha yakın zamanda, BlackLotus UEFI önyükleme seti önyükleme güvenlik mekanizmalarını atlatmak ve saldırganlara işletim sistemi önyükleme süreci üzerinde tam kontrol sağlamak için tasarlanmıştır. Diğer UEFI CosmicStrand gibi kötü amaçlı yazılımlarişletim sistemi ve güvenlik savunmalarından önce başlatılabilir ve saldırganların kalıcılığını sürdürmesine ve enfekte bilgisayar üzerinde komuta ve kontrolü kolaylaştırmasına olanak tanır.
Kuruluşlar ayrıca, aktarım halindeki cihazlara müdahale girişimleri konusunda da endişe duyuyor; çoğu kuruluş bu tür tehditleri tespit edip durduracak donanıma sahip değil ve bilgisiz. Kuruluşların yüzde yetmiş yedisi Cihaz kurcalama tehdidini azaltmak için donanım bütünlüğünü doğrulamanın bir yoluna ihtiyaçları olduğunu söylüyorlar.
Uç Nokta Donanım ve Ürün Yazılımlarına Güvenlik Olgunluğunu Getirme
Bir topluluk olarak, bir cihazın ömrü boyunca yazılım güvenlik yapılandırmasını yönetmek ve izlemek için süreçlerimizi olgunlaştırdık ve yazılım kökenini ve tedarik zinciri güvencesini izleme yeteneğimizi geliştiriyoruz. Aynı olgunluk seviyelerini, uç nokta cihazlarının tüm ömrü boyunca donanım ve donanım yazılımı güvenliğinin yönetimi ve izlenmesine getirmenin zamanı geldi. Çünkü cihazlar, kullanımda oldukları sürece bir organizasyon için donanım tedarik zincirini oluştururlar.
Bunu cihazlar genelinde etkinleştirmek için gereken teknik yetenekler genel olarak mevcut değil, çünkü her şey donanımdan başlayarak tasarıma göre güvenlikle başlamalı. Bu, yirmi yıldan uzun süredir yatırım yaptığımız bir alan ve bugün temelleri atılmış durumda. Kuruluşlar, cihazların yaşam döngüsü boyunca donanım ve donanım yazılımı güvenlik yönetimini proaktif olarak kontrol altına almak için güvenlik ve dayanıklılık için üreticilerden ve cihazlardan edinilebilen yetenekleri aktif olarak benimsemeye başlamalıdır.
Kuruluşların cihaz donanım ve donanım güvenliğini proaktif bir şekilde yönetmek için atabileceği dört temel adım vardır:
-
Dijital sertifikalar ve açık anahtarlı şifreleme kullanarak bir cihazın yaşam döngüsü boyunca aygıt yazılımı yapılandırmasını güvenli bir şekilde yönetin. Bu, yöneticilerin aygıt yazılımını uzaktan yönetmesini ve zayıf parola tabanlı kimlik doğrulamasını ortadan kaldırmasını sağlar.
-
Sağlam donanım ve aygıt yazılımı güvenlik yapılandırmalarını doğrudan fabrikadan etkinleştirmek için tedarikçi fabrika hizmetlerinden yararlanın.
-
Cihazlar teslim edildikten sonra donanım ve donanım bütünlüğünü doğrulamak için platform sertifika teknolojisini benimseyin.
-
Cihaz filonuzdaki cihaz donanımı ve aygıt yazılımı yapılandırmasının sürekli uyumluluğunu izleyin; bu, cihazlar kuruluş tarafından kullanıldığı sürece uygulanması gereken sürekli bir süreçtir.
Sistem güvenliği, PC, yazıcı veya herhangi bir IoT biçimi olsun, cihazların amaçlanan bileşenlerle inşa edilip teslim edilmesiyle başlayan güçlü tedarik zinciri güvenliğine dayanır. Bu nedenle kuruluşlar, filolarındaki herhangi bir cihazın ömrü boyunca donanım ve ürün yazılımı güvenliğini yönetmelerini, izlemelerini ve düzeltmelerini sağlayan güvenli donanım ve ürün yazılımı temelleri geliştirmeye giderek daha fazla odaklanmalıdır.