yakın zamanda yayınlandı Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) donanım malzeme listesi (HBOM) çerçevesi, yarı iletken çip güvenliğini sağlamaya yönelik çok ihtiyaç duyulan bir adımdır ancak yeterince ileri gitmez.
Çerçeve, satıcılar ve alıcıların, tedarik zinciri yönetimi ve risk değerlendirmesi için kritik olan donanım bileşenleri hakkında iletişim kurmaları için tutarlı ve tekrarlanabilir bir yol sunar. Ancak bir HBOM’un yarı iletken cihazların imalatının ötesine geçmesi gerekir. Yeni ortaya çıkan siber tehditlere karşı ihtiyacımız olan sağlam güvenliği sağlamak için çiplerin fabrikadan çıktıktan sonra son ürünlerdeki tüm yaşam döngüleri boyunca takip edilmesi gerekiyor.
Google araştırmacısı Daniel Moghimi’nin Ağustos ayında Downfall güvenlik açığını ortaya çıkarmasıyla bu seviyedeki dikkatin neden önemli olduğu bize hatırlatıldı. Geniş bir gelişmiş mikroişlemci ailesini etkileyen çöküş, saldırganların özel verilere erişmesine izin vermek için kullanılabilir. Ancak güvenlik açığından etkilenen ilk çipler 2015 yılında üretildi. Bu yarı iletkenleri içeren ilk cihazların pazara girmesinden bu yana sekiz yıl geçti.
CISA’nın HBOM çerçevesi o zamanlar yürürlükte olsa bile, bu yarı iletkenlerin nerede ve nasıl kullanıldığını takip etmediği için Downfall’a karşı hala etkisiz olacaktır. Bu nedenle, yeni bir güvenlik açığı ortaya çıktığında çipin güvenlik duruşunu desteklemek için ek yaşam döngüsü izlenebilirliğine sahip daha kapsamlı bir HBOM çerçevesine ihtiyacımız var.
Mevcut Çerçeve İyi Bir Başlangıç
Başlangıçtaki eksikliklerine rağmen, CISA, her ne kadar “gönüllü ve esnek” olarak tanımlansa da, bir HBOM çerçevesi getirdiği için takdir edilmelidir. Bu, hükümetin yarı iletken tedarik zincirindeki güvenlik risklerini ele almak için yaptığı anlamlı bir eylemdir.
Çerçeve, işletmeleri, tüm tedarikçilerin ve bileşenlerin bir listesi de dahil olmak üzere, yukarı yöndeki kaynak kullanımını detaylandırmaya teşvik ediyor. Aynı zamanda üretim süreci boyunca izlenebilirlik gerektirir ve tüm bileşen niteliklerini adlandırmanın tutarlı bir yolunun ana hatlarını çizer.
Bunların hepsi değerli koşullardır çünkü bir şirket bir çipin ne yapması gerektiğini bilse de çoğu zaman onun nasıl tasarlandığını bilmez. CISA, bunu açıklayarak, tedarik zincirini korumanın çip güvenliğini sağlamada oynadığı önemli rolü kabul ediyor. Bu artırılmış görünürlük, yüksek riskli satıcıları marjinalleştirmeyi ve üretim sırasında sahte veya kötü amaçlı parçaların ortaya çıkmasını en aza indirmeyi amaçlamaktadır.
Bu çerçeve, hükümetin tedarik zinciri şeffaflığını artırmaya yönelik yakın tarihli başka bir çabasını takip ediyor – ABD Başkanı Joe Biden’ın Mayıs 2021’i icra emri Bu, federal satıcılar için yazılım malzeme listelerini (SBOM’lar) zorunlu kılar. Bir SBOM, tüm yazılım bileşenlerini, sürümlerini ve güvenlik açıklarını envanterler, böylece kuruluşlar ortaya çıktıkça güvenlik sorunlarına hızlı bir şekilde yanıt verebilir. Birini HBOM ile eşleştirmek, elektronik ürünlerin geliştirilmesinden imhasına kadar tüm yaşam döngüsünün kapsamlı, entegre ve tamamlayıcı güvenlik takibini sağlayacaktır.
Ancak SBOM direktifinin aksine, CISA’nın HBOM çerçevesinin kapsamı, üretim tamamlandığında kesin olarak sona erer. Çipin nereye gittiğinin bir kaydı olmalı. Çipler fabrikadan çıktıktan sonra aynı düzeyde görünürlükten vazgeçildiğinde birçok güvenlik riski devam eder. Geleceğin Çöküşlerini belirledikten sonra harekete geçmemize yardımcı olacak, uçtan uca bakış açısına sahip bir HBOM’a ihtiyacımız var.
Çipler Yıllarca Savunmasız Kaldı
Downfall’ın gösterdiği gibi, donanım bileşenleri daha uzun ömürlü olabileceğinden ve modern güvenlik korumalarından yoksun olabileceğinden, güvenlik açıkları cihazların piyasaya sürülmesinden yıllar sonra ortaya çıkmayabilir. Yazılıma yama uygulanabilse de donanımdaki güvenlik açıkları, bir aygıt yazılımı güncellemesiyle giderilemediği sürece, fiziksel manipülasyon veya cihazın performansını azaltabilecek veya işlevselliği tamamen devre dışı bırakabilecek diğer düzeltmeler yoluyla giderilmelidir.
Daha kapsamlı bir HBOM’u önemli kılan da budur. Kuruluşların çipin güvenlik açıkları nedeniyle hangi tehditlerle karşı karşıya olduklarını, çipin üretimine ve tüm yaşam döngüsüne ilişkin tam görünürlük sağlayarak kavrayabilmeleri gerekir. Kusurlar kaçınılmaz olarak ortaya çıktığında proaktif izleme ve hızlı yanıt için gerekli zekayı yalnızca en yüksek düzeyde şeffaflık sağlayabilir. Daha azı kabul edilemez bir risktir.