BT güvenlik iyileştirmelerini gelişen saldırgan istismarlarıyla karşı karşıya getiren ebedi kedi-fare oyunu, genellikle yazılım gelişmişliğinin artmasında bir silahlanma yarışı olarak çerçevelenir. Güvenlik ekipleri, fidye yazılımı kilitlenmelerini daha iyi etkisiz hale getirmek ve bu durumdan kurtulmak için güvenlik duvarı yazılımı, antivirüs koruması, veri şifreleme, çok faktörlü kimlik doğrulama, erişim kontrolleri, izinsiz giriş tespit ve azaltma araçları ve veri yedekleme sistemleri uygular. Bunun tersine, kötü adamlar, hedef odaklı kimlik avı saldırıları gibi daha aldatıcı kötü amaçlı yazılım planlarından, saldırmadan önce hava boşluklu yedekleme sistemlerine geçmek için bekleyen fidye yazılımlarına kadar, fark edilmeden geçebilecek daha incelikli istismarlar geliştirir.
Oyun ilerliyor ve tartışmanın çoğunda yazılım savaş alanıdır. Ancak bu sınırlı parametreler hızla gelen bir sinyali kaçırıyor. donanım güvenlik devrimi.
Donanım güvenliği alanında ortaya çıkan teknolojiler – yani gelişmiş komut seti mimarisi (ISA) uzantılar — BT güvenlik repertuarına oyunun kurallarını değiştiren katkılar sağlayacak şekilde konumlandırılmıştır. Tüm kötü amaçlı yazılımların ve yazılım tabanlı güvenliğin üzerinde çalıştığı temel olan donanım düzeyinde uygulanan güvenlik önlemleri, kötü amaçlı uygulamaların açıklardan yararlanmaya erişimini ve hatta ilk çalıştırma yeteneğini bile engelleyerek saldırı stratejilerini alt etme konusunda benzersiz bir güce sahiptir. yer.
ISA’lar BT Güvenliğinin Temelidir
Donanım tabanlı güvenlikteki belirli yeni gelişmeleri tartışmadan önce kısa bir tarih dersi verelim. Daha az tartışılsa da, defterin donanım tarafındaki güvenlik korumaları yaygındır ve uzun süredir BT güvenliğinin temelini oluşturmaktadır.
ISA’lar, bir CPU’nun yürütebileceği talimat dizisini belirterek, bilgisayar işlemcilerinin tasarımında temel oluşturur. Bazı ISA’lar şifreleme ve hafıza koruma talimatlarını yerine getirme yeteneğine sahiptir. Güvenlik uzmanları kesinlikle aşinadır donanım tabanlı şifreleme sabit sürücülere ve ağ verilerine yetkisiz erişimi önleyen yöntemler. Güvenilir Platform Modülü (TPM), önyükleme sırasında izinsiz müdahalelere ve risklerin aşılmasına karşı koruma sağlayan köklü bir donanım güvenlik standardıdır. Güvenli Önyükleme. Bu güvenlik önlemleri şu anda kullandığınız donanımı koruyabilir.
x86 BİR Intel tabanlı makinelerin güvenliğini sağlayan güvenlik ekipleri için güçlü bir müttefiktir. Kol, en çok kullanılanları sunuyor ISA ailesi küresel olarak düşük maliyetli işlemcilerinde ISA güvenlik özellikleri sunarak telefonları, tabletleri ve diğer mobil cihazları koruyan ISA’larda lider haline getirmiştir.
Daha yakın geçmişe baktığımızda RISC-V ücretsizdir. açık kaynak ISA 2015’te piyasaya sürüldü. Yeni uygulamalara ve araştırmalara olanak sağlamadaki esnekliği nedeniyle benimsenme oranı hızla arttı. RISC-V, açık kaynak yapısı ve aşırı büyümesi nedeniyle x86 ve Arm’ın hakimiyetine karşı en önemli rakip olarak görülüyor.
ISA’nın Geleceği Umut Veriyor
Açık kaynak teknolojilerinden yararlanan yeni ISA uzantıları, BT güvenlik uygulamalarında devrim yaratma ve geliştirici ekipler için oyunun kurallarını değiştiren güvenlik stratejilerini etkinleştirme konusunda heyecan verici bir potansiyel gösteriyor. Bunun bir örneği, Yetenek Donanımıyla Geliştirilmiş RISC Talimatlarıdır (SEVGİLİCHERI Arm ve CHERI RISC-V’yi içeren ISA’ları geliştiren donanım tabanlı bir güvenlik araştırma projesi. Cambridge Üniversitesi ve SRI International liderliğindeki CHERI ile geliştirilmiş ISA’lar, mevcut yazılımla uyumluluğu korurken, donanım tarafından uygulanan sınırlar ve izinler yoluyla bellek erişimini kontrol etme konusunda benzersiz bir yaklaşım benimsiyor. Proje aynı zamanda şunları sunuyor: CheriBSDaçık kaynaklı işletim sistemini uyarlayan ÜcretsizBSD Yazılım bölümlendirme ve bellek korumaları da dahil olmak üzere CHERI ISA güvenlik özelliklerini desteklemek.
CHERI’nin olanakları bugüne kadarki en gelişmiş prototipiyle en iyi şekilde gösterilmektedir: Morello platformu Arm’dan, CheriBSD ile yüksek performanslı çekirdeği birleştiren bir çip üzerinde sistem ve geliştirme kartı. Morello platformu, yazılım geliştiricilere tamamen bellek açısından güvenli bir masaüstü ortamı sağlayabilir. Açık kaynak RISC-V ISA için CHERI’yi standartlaştırma çabaları devam etmektedir ve RISC-V için mevcut FPGA uygulamalarından yararlanacaktır. CHERI odaklı donanım tabanlı güvenlik stratejilerinin büyük vaadinin bir işareti olarak, Google, Microsoft ve diğer büyük oyuncular projeyle ortaklık kurdular ve Morello platformu ve CHERI-RISC-V üzerindeki araştırmalara aktif olarak katkıda bulundular.
CHERI ve diğer yeni ortaya çıkan ISA çözümleri neden bu kadar potansiyel olarak devrim niteliğinde? Karşı koruma bellek güvenliği açıklarıC/C++ ile yazılmış sistem uygulamalarından log4j gibi . Milyonlarca uygulamayı yeniden yazmak çok maliyetlidir ve ihtiyaç duyulan şey, kullanıcıları korumanın daha iyi bir yoludur.
CHERI gibi yeni donanım tabanlı güvenlik mekanizmalarının devreye girdiği yer burasıdır. Bunlar, kuruluşları geniş kapsamlı saldırılara ve yazılım açıklarına karşı bağışık hale getirebilir. CHERI’den yararlanan sistemler, arabellek taşmaları ve serbest kullanım sonrası güvenlik açıkları gibi bellek istismarlarına odaklanan her türlü saldırıyı önleyebilir. Yeni ortaya çıkan ISA’ların sağladığı yüksek performanslı bölümlendirme, güvenlik ekiplerine hassas verilere erişimi güvence altına almak ve bunları saldırganlardan korumak için güçlü bir araç da sağlar. Ayrıca CHERI araştırmacıları, FreeBSD üzerine kurulu, yalnızca minimum düzeyde yazılım uyarlaması gerektiren, tamamen bellek korumalı bir masaüstü uygulama yığınını gösterdi.
Açık Kaynak BT Güvenliğini İleriye Taşıyor
Modern saldırı tekniklerinin artan karmaşıklığı ve karmaşıklığı, neredeyse BT güvenlik yeteneklerinde bir devrim gerektirmektedir. Gelişen teknolojiler bu fırsatı kapsamlı, dengeli yazılım ve donanım korumaları sağlayan yeni güvenlik stratejileri biçiminde sunuyor.
Açık kaynağın işbirlikçi gücü, bu devrimin arkasındaki önemli bir motordur ve BT ve güvenlik topluluğunun katkılarıyla projelerdeki ilerlemeyi hızlandırır. İleriye dönük olarak, gelişmiş ISA donanım tabanlı güvenlik ve uyumlu yazılım tabanlı güvenlik araçlarını dikkatli bir şekilde bir araya getirerek güvenlik duruşlarını güçlendiren kuruluşlar en iyi sonuçları elde edeceklerdir.