Sektörden Haberler

MITRE, Kritik Altyapılarda Kullanılan Gömülü Cihazlar için EMB3D Tehdit Modelini Açıkladı

18 Aralık 2023

MITRE, kritik altyapıda kullanılan gömülü cihazlar için özel olarak tasarlanmış bir tehdit modeli olan EMB3D'yi oluşturmak için siber güvenlik topluluğu ve sanayi sektörü ile işbirliği yaptı.

EMB3D, MITRE, Red Balloon Security, Narf Industries ve ONE Gas'dan Niyo 'Little Thunder' Pearson'ın çalışmasıdır.

Amacı, kuruluşların gömülü cihazlarını hedef alan tehditler ve bu tehditlerin nasıl azaltılabileceği konusunda ortak bir anlayışa sahip olmalarını sağlayan işbirliğine dayalı bir framework sağlamaktır.

Üreticiler, satıcılar, varlık sahipleri, test uzmanları ve güvenlik araştırmacıları için önerilen yeni tehdit modeli, gömülü cihazlara odaklanarak ATT&CK, CVE ve CWE gibi kaynakları genişletiyor. Vahşi doğada görülenler ve teorik araştırma ve kavram kanıtları yoluyla gösterilenler de dahil olmak üzere bir tehdit bilgi tabanı sağlıyor.

Kullanıcıların tehdit modellerini oluşturmalarına ve belirli cihazlara uyarlamalarına yardımcı olmak için tehditler, cihaz özellikleriyle eşleştirilir. EMB3D tarafından önerilen hafifletmeler, yalnızca cihaz satıcıları tarafından uygulanabilecek teknik mekanizmalara odaklanmaktadır.

Pearson, "EMB3D modeli, ICS cihaz üreticilerine tasarım döngüsünde daha erken evrede gelişen tehdit manzarasını anlama ve potansiyel olarak kullanılabilir önlemleri anlama imkanı sağlayacak. Bu, güvenliği sonradan eklemenin gerekliliğini ortadan kaldırarak, daha doğuştan güvenli cihazlar ve azaltılmış güvenlik maliyetleri ile sonuçlanacak olanaklar sunacaktır.” dedi.

Framework, tehdit aktörleri, güvenlik açıkları ve savunmalarla ilgili yeni bilgilerle bakımcıları ve siber güvenlik topluluğu tarafından sürekli olarak güncellenecektir.

EMB3D, cihaz satıcıları, varlık sahipleri, akademisyenler ve araştırmacıların 2024 yılı başlarında planlanan resmi lansmanından önce framework’ü incelemeye teşvik edildiği bir ön sürüm inceleme dönemindedir.

 

Kaynak: https://www.securityweek.com/mitre-unveils-emb3d-threat-model-for-embedded-devices-used-in-critical-infrastructure/