BT güvenliği deyince çoğu kişinin aklına hemen yazılım tabanlı tehditlere karşı yazılım tabanlı korumalar gelir: fidye yazılımı, virüsler ve diğer kötü amaçlı yazılım biçimleri. Ancak, tüm yazılım güvenliğinin üzerine inşa edildiği donanım güvenliğinin öneminin anlaşılması da (neyse ki) artıyor.
Güvenli Önyükleme ve Güvenilir Platform Modülü (TPM) gibi yerleşik donanım güvenlik standartları, önyükleme sırasında bilgisayar sistemlerinin kurcalanmamasını veya güvenliğinin ihlal edilmemesini sağlar. Donanım tabanlı şifreleme, sabit sürücülerdeki ve ağlardaki verileri korumak için yaygın olarak kullanılır.
Ancak giderek karmaşıklaşan güvenlik tehditleriyle mücadele etmek için donanım düzeyinde daha gelişmiş güvenlik önlemlerinin ortaya çıkması bekleniyor. Sonuç olarak, kapsamlı stratejiler izleyen ve en son donanım ve yazılım korumalarını entegre eden kuruluşlar en iyi güvenlik duruşunu elde edeceklerdir. Açık kaynak, bu evrimde çok önemli bir rol oynamaya devam edecek.
Komut seti mimarileri (ISA’lar), güvenli yazılım davranışının temelini oluşturur
Yerleşik ve gelişmekte olan komut seti mimarileri, güçlü ve gelecek vaat eden donanım tabanlı güvenlik teknolojileri sunar.
Bazı ISA’lar, güvenlik açıklarını ve saldırıları azaltmak için donanım tabanlı şifreleme, bellek koruması ve veri yürütme engelleme gibi yerleşik güvenlik özellikleri içerir.
Birkaç popüler ISA bugün yaygın olarak kullanılmaktadır. x86 onlarca yıldır var ve x86 ISA’daki güvenlik özellikleri, bunu Intel tabanlı bir masaüstü veya dizüstü bilgisayarda okuyorsanız sizi koruyabilir. Arm ayrıca ISA düzeyinde güvenlik özelliklerine sahiptir, bu da onu mobil cihazlar için tercih edilen ISA yapar (ve bunu bir telefon veya tablette okuyorsanız muhtemelen perde arkasındadır). RISC-V, bir araştırma platformu olarak esnekliği ve yetenekleri nedeniyle oldukça hızlı bir şekilde benimsenen %100 ücretsiz ve açık kaynaklı bir seçenek olarak öne çıkan daha yeni bir ISA’dır.
Bir ISA seçen bir kuruluş, tutarlı bir güvenlik duruşu sağlamak için diğer güvenlik araçları ve yazılımlarıyla uyumluluğunu göz önünde bulundurmalıdır.
Açık kaynak CHERI ve bunun ISA’ların yüksek potansiyelini nasıl gösterdiği hakkında vızıltı
CHERI, Cambridge Üniversitesi ve SRI International tarafından ortaklaşa geliştirilen heyecan verici bir donanım tabanlı güvenlik projesi olarak ortaya çıkmıştır.
CHERI, CHERI MIPS ve CHERI Arm dahil olmak üzere birkaç ISA’yı kapsar. Açık kaynak araştırma projesi, bellek bölgelerine erişimi kontrol eden donanım tarafından uygulanan sınırlar ve izinler sunan benzersiz koruma modeliyle dikkat çekiyor. Açık FreeBSD’nin yetenek etkin bir uzantısı olan CheriBSD, CHERI ISA’nın bellek koruma ve yazılım bölümlendirme özelliklerini uygular.
CHERI hala Ar-Ge aşamasında, ancak mevcut prototipler umut vaat ediyor.
En gelişmiş CHERI prototipi olan Arm’ın Morello platformu, güçlü bir çip üzerinde sistem ve bir geliştirme kartı oluşturmak için CheriBSD’nin en son sürümünü yüksek performanslı bir çekirdekle birleştirir. Bu platform, yazılım geliştirme için bellek açısından güvenli bir masaüstü ortamı sunar. Açık kaynak RISC-V için FPGA uygulamaları mevcuttur ve CHERI’yi RISC-V için standartlaştırma çalışmaları ilerlemektedir. Google, Microsoft ve diğerleri dahil olmak üzere iş ortakları, CHERI-RISC-V ve Morello platformunu aktif ve hevesli bir şekilde araştırmaktadır.
CHERI ve benzeri projelerin ortaya çıkışı, BT güvenliğinde potansiyel bir devrimi temsil ediyor. CHERI’nin sunduğu bellek koruması ve veri erişim kontrolü, kuruluşlara saldırılara ve güvenlik açıklarına karşı geniş bir bağışıklık sağlayabilir. Arabellek taşmaları ve kullanımdan sonra ücretsiz istismarlar gibi bellek tabanlı saldırılar önlenebilir hale gelir. CHERI tipi projeler ayrıca, kuruluşların saldırganların hassas verilere erişmesini engelleme konusundaki kritik ihtiyacını ele alarak yüksek performanslı bölümlere ayırma sağlar.
Açık kaynak, donanım güvenliğinin gelişimini hızlandırır
Açık kaynak projelerine özgü işbirliği ve bilgi paylaşımı, yeni ve mevcut donanım güvenlik teknolojilerinin ne kadar iyi geliştiğini hızlandırır. Geliştiricilerin ve güvenlik uzmanlarının zayıflıkları gözden geçirmesi, test etmesi ve raporlaması ve yama ve iyileştirme için birlikte çalışması için açık kaynak kodu ve donanım tasarımları ile açık kaynaklı donanım tabanlı güvenlik yeniliği, kapalı kaynak geliştirmenin boy ölçüşemeyeceği düzeyde yaratıcı katkılar ve testler sunar. .
CheriBSD (FreeBSD İşletim Sisteminin bir uyarlaması) söz konusu olduğunda, açık kaynaklı Unix benzeri bir işletim sistemi üzerine inşa etme yeteneği, çözümün kaydettiği ilerlemede önemli bir rol oynamıştır.
Donanım güvenliğinin artan rolü
Güvenlik tehditlerinin karmaşıklığı ve oluşturdukları katıksız tehlike arttıkça, kuruluşların bu artan zorluğu yenmek için mevcut her türlü korumayı kullanması gerekir.
CHERI ve diğer yeni açık kaynak destekli ISA’lar gibi gelişmekte olan donanım tabanlı güvenlik çözümleri, bir kuruluşun kullanabileceği temel korumalarda ikna edici ilerlemeler sunar. Kapsamlı bir güvenlik stratejisinin bir parçası olarak konuşlandırılan bu araçlar, ileriye dönük kurumsal güvenlik duruşlarının gücünde ve olasılıklarında memnuniyetle karşılanan ve ihtiyaç duyulan büyük bir değişikliği temsil ediyor.