Kâr amacı gütmeyen kuruluş MITRE, ABD’nin kritik altyapılarını ve savunma teknolojilerini ayakta tutan gömülü sistemleri (embedded systems) korumaya yönelik bir siber güvenlik çerçevesi olan Embedded Systems Threat Matrix (ESTM) 3.0’ı tanıttı. Bu çerçeve, gömülü sistemlere yönelik güvenlik açıklarını ele almak için amaca özel bir yaklaşım sunarak, bu sistemleri hedef alan olası saldırgan davranışlarının analiz edilmesi ve anlaşılması için yapılandırılmış bir yöntem sağlıyor.
ESTM 3.0, ilk sürümünden bu yana önemli ölçüde gelişti. İlk iterasyon, gömülü ortamlardaki saldırgan davranışları ve tekniklerini yakalamaya odaklanırken, yeni sürüm görev ortaklarıyla yürütülen kapsamlı iş birlikleri sayesinde olgunlaştırıldı.
Hava Kuvvetleri Cyber Resiliency Office for Weapon Systems (CROWS) ile iş birliği içinde geliştirilen ESTM, kuruluşların bu hayati sistemleri hedef alan siber tehditleri daha iyi anlamalarına ve savunmalarına yardımcı oluyor. Yapı, araştırmacılar, tedarikçiler ve güvenlik profesyonelleri için güvenlik açıklarını tespit etmeye ve daha dayanıklı gömülü sistemler inşa etmeye yönelik pratik araçlar sunuyor. ESTM; ulaşım, enerji, sağlık, endüstriyel kontrol sistemleri ve robotik dâhil olmak üzere birçok sektörde kullanılabiliyor.
MITRE Ulusal Güvenlik Kıdemli Başkan Yardımcısı Keoki Jackson, Salı günü yaptığı açıklamada şunları söyledi:
“Gömülü sistemler, kritik altyapımızın ve savunma kabiliyetlerimizin temelini oluşturuyor; ancak karmaşık ve giderek artan siber risklerle karşı karşıyalar. ESTM, savunuculara bu temel sistemlere yönelik siber tehditleri tespit etmek ve durdurmak için net ve uygulanabilir bilgiler sunarak önemli bir boşluğu dolduruyor.”
ESTM 3.0 sürümü, üç temel gelişim alanına öncelik veriyor. İlk olarak, kamu, ticari ve uzmanlaşmış alanlar dâhil olmak üzere farklı sektörlerde uygulanabilirliği sağlamak amacıyla sistemden bağımsız (system-agnostic) taktik ve tekniklere vurgu yapıyor. İkinci olarak, Structured Threat Information Expression (STIX) 2.1 ile yapısal uyum sağlanarak birlikte çalışabilirlik artırılıyor ve makine tarafından okunabilir tehdit istihbaratı mümkün hâle getiriliyor. Son olarak ise, gömülü sistemlere özgü saldırı kalıplarının geliştirilmesi ve doğrulanmasına odaklanılarak savunuculara güvenlik duruşlarını güçlendirecek somut içgörüler sunuluyor.
ESTM, güvenli sistem tasarımı için MITRE EMB3D Threat Model ile birlikte çalışarak bütüncül bir kaynak sunuyor. MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) çerçevesinden ilham alan ESTM, gömülü sistemlere özgü saldırgan taktik ve tekniklerini sınıflandırarak kuruluşların tehdit analizi yapmalarına, gerçekçi değerlendirmeler gerçekleştirmelerine ve kapsamlı savunma stratejileri geliştirmelerine olanak tanıyor. Ayrıca bu çerçeve; siber tehdit modelleme ve attack path analysis gibi birçok uygulamada değerini kanıtlamış olup, mevcut siber güvenlik uygulamalarıyla sorunsuz entegrasyon sağlayacak şekilde tasarlandı.
ESTM’nin geliştirilmesi, farklı sektörlerdeki gömülü sistemler için siber güvenliğin güçlendirilmesine yönelik kritik bir ihtiyaçtan doğdu. 2020 yılında, gömülü teknolojiler içeren karmaşık sistemlerin zafiyet değerlendirmelerine özel bir çerçeve oluşturma çalışmaları, özellikle aviyonik ortamlar için mevcut kaynaklarda ciddi bir boşluk olduğunu ortaya koydu. Mevcut çerçeveler değerli içgörüler sunsa da, gömülü sistemlerin doğasına özgü güvenlik açıklarını ele almak için gerekli ayrıntılı bakış açısını sağlayamıyordu.
Geçtiğimiz Ekim ayında MITRE, ATT&CK for ICS çerçevesini, endüstriyel ekipmanları ve saldırı senaryolarını daha geniş kapsayacak şekilde yeni ve güncellenmiş Asset nesneleriyle genişletti. Bu güncelleme, Related Assets kavramının eklenmesiyle sektöre özgü terminolojiyle uyumu da artırdı. Bu Asset’ler, endüstriyel kontrol ortamlarında yaygın olarak kullanılan cihaz ve sistemleri temsil ediyor ve her bir varlık, işlevi ve yeteneklerine göre hedef alınabilecek saldırgan tekniklerle eşleştiriliyor. Söz konusu güncelleme, ATT&CK v18 sürümünün yayımlanması ve ATT&CK Advisory Council’ın kurulmasıyla birlikte duyuruldu.
