MITRE, gömülü cihazlara yönelik bir siber güvenlik tehdit modeli olan EMB3D’yi piyasaya sürdü. Model, gömülü cihazlara yönelik siber tehditlere ilişkin gelişmiş bir bilgi tabanı sağlayarak, bu tehditlerin azaltılması için gereken güvenlik mekanizmalarıyla birlikte ortak bir anlayış sağlar. Model, MITRE, Niyo Little Thunder Pearson, Red Balon Güvenliği ve Narf Industries’in ortak çalışmasının sonucudur.
EMB3D modeli, altyapı endüstrilerinden gelen emsal incelemelerle güçlendirildi
Modelin çeşitli sektörlerde akran değerlendirmesi için büyük ilgi görmesinin ardından çok sayıda kuruluş tehdit modelini pilot olarak uygulayarak paha biçilemez geri bildirimler sundu. EMB3D ekibi, enerji, su, üretim, havacılık, sağlık ve otomotivin yanı sıra araştırmacılar ve tehdit aracı satıcıları da dahil olmak üzere birçok sektördeki satıcı ve entegratörlerin ilgi ve geri bildirimlerini takdir ediyor.
Devam eden bu işbirlikçi çaba, modelin içeriğini ve kullanılabilirliğini iyileştirmede ve geliştirmede etkili oldu. Ekip, modelin “tasarım gereği güvenli” olma özelliğini güçlendirmek için işbirliğinin devamını sabırsızlıkla bekliyor.
MITRE Vatan Güvenliği Merkezi Başkan Yardımcısı ve Direktörü Yosry Barsoum, “Çerçevemizin gücü, sektörler arası işbirliğine dayalı çabalarda ve titiz inceleme sürecinde yatmaktadır” dedi. “Paylaşılan farklı bakış açıları ve paha biçilmez içgörüler, yaklaşımımızı güçlendirerek yerleşik cihaz güvenliğinde gelişen zorluklara yönelik sağlam ve etkili bir çözüm sağladı.”
Yerleşik cihaz güvenliğini güçlendirmek için yerleşik modellerden yararlanma
EMB3D, Ortak Zayıflık Sayımı, MITRE ATT&CK ve Ortak Güvenlik Açıkları ve Etkilenmeler de dahil olmak üzere mevcut birçok modelle uyum sağlar ve bunları genişletir, ancak belirli bir yerleşik cihaz odağına sahiptir. EMB3D’de tanımlanan tehditler, tehdit aktörlerinin kullanım gözlemlerine, kavram kanıtı ve teorik/kavramsal güvenlik araştırması yayınlarına ve cihazdaki güvenlik açığı ve zayıflık raporlarına dayanmaktadır.
Bu tehditler, kullanıcıların belirli yerleşik cihazlar için doğru tehdit modelleri geliştirmesine ve uyarlamasına yardımcı olmak amacıyla cihaz özellikleriyle eşleştirilir. EMB3D, her tehdit için satıcıların söz konusu tehdidi azaltmak amacıyla cihaza yerleştirmeleri gereken teknik mekanizmaları önerir. EMB3D, tüm güvenlik ekosistemi (cihaz satıcıları, varlık sahipleri, güvenlik araştırmacıları ve test kuruluşları) için kapsamlı bir çerçevedir.
Dinamik bir tehdit ortamı için gelişen bir çerçeve
EMB3D’nin, yeni tehdit aktörleri ortaya çıktıkça ve güvenlik araştırmacıları yeni güvenlik açıkları, tehditler ve güvenlik savunması kategorilerini keşfettikçe yeni tehditlerin ve hafifletici önlemlerin eklendiği ve güncellendiği yaşayan bir çerçeve olması amaçlanıyor. EMB3D, tüm bilgilerin açıkça mevcut olduğu ve güvenlik topluluğunun eklemeler ve revizyonlar sunabileceği halka açık bir topluluk kaynağıdır.