NIST’in en son raporu, “Donanım Güvenliği Arıza Senaryoları: Potansiyel Donanım Zayıflıkları” (NIST IR 8517), genellikle yazılımdan daha güvenli olduğu düşünülen bir alan olan bilgisayar donanımındaki gizli güvenlik açıklarını araştırıyor.
Rapor, çip tasarımlarındaki donanım kusurlarının, üretim sonrası düzeltilmesi zor güvenlik risklerine nasıl yol açabileceğini vurguluyor.
Belgede, saldırganların donanım tasarımı ve uygulama zayıflıklarından yararlanabileceği çeşitli yollar ayrıntılarıyla anlatılarak 98 başarısızlık senaryosu özetleniyor. Uygunsuz erişim kontrolü, hatalı kodlama standartları ve yaşam döngüsü yönetimi hataları gibi konular tartışılan senaryolar arasında yer alıyor. Bu senaryolar, saldırganların güvenlik önlemlerini nasıl atlayabileceğini, hassas verilere nasıl erişebileceğini veya sistem operasyonlarını nasıl aksatabileceğini gösteriyor.
NIST, donanım hatalarının giderilmesinin yazılımdaki güvenlik açıklarından daha zor olması nedeniyle, donanım geliştirme sırasında güvenlik önlemlerinin erken entegrasyonunun gerekliliğini vurguluyor.
Raporda ayrıca, her ikisi de karmaşık kodlar içermesine rağmen yazılım sorunlarından temelde farklı olan donanım güvenlik kusurlarının benzersiz doğası da vurgulanıyor.