DHS kündigt Programm zur Entschärfung von Sicherheitslücken unterhalb des Betriebssystems an

Cyber Security News

Ein Techniker entfernt vorhandene Steuerdrähte in einem SCADA-Schrank zur Vorbereitung eines Umzugs. Beamte der CISA kündigten eine neue Initiative zur Bekämpfung von Firmware-Schwachstellen an, die unter der Oberfläche des Betriebssystems liegen. (MTA Capital Construction Mega Projects/CC BY 2.0/https://creativecommons.org/licenses/by/2.0/deed.en)

Beamte der Cybersecurity and Infrastructure Security Agency kündigten am Mittwochnachmittag auf der RSA Conference eine neue Initiative zur Bekämpfung von Firmware-Schwachstellen an.

Jahrelang hat sich das Sicherheitspersonal damit begnügt, die Schrecken, die unter der Oberfläche des Betriebssystems liegen, weitgehend zu ignorieren, da Firmware-basierte Angriffe als exotisch und High-End angesehen wurden. Doch Firmware-Angriffe sind auf dem Vormarsch. Eine Microsoft-Studie ergab, dass nur 29 % der Unternehmen ein Budget für die Abwehr von Firmware-Angriffen haben, obwohl 80 % im letzten Jahr einen solchen Angriff erlebten.

Thomas Ruoff und Boyden Rohner, Leiter der Methodologieabteilung bzw. stellvertretender Direktor der CISA, kündigten eine Kampagne der Agentur an, um das zu entschärfen, was sie “Schwachstellen unterhalb des Betriebssystems” oder VBOS nennen.

“In der Cybersicherheit verbringen wir die meiste Zeit damit, Schwachstellen in Betriebssystemen und auf der Anwendungsebene zu beobachten, zu analysieren und darauf zu reagieren”, sagte Rohner. “Und doch gibt es Kategorien von Schwachstellen, die unter der sprichwörtlichen Oberfläche lauern, mit denen wir uns durch unsere Schwachstellenforschung und unsere Incident-Response-Aktivitäten nicht beschäftigen.”

Die beiden präsentierten auf der RSA ein Diagramm, das zeigt, dass die letzten fünf Jahre die einzigen fünf Jahre in der Geschichte waren, in denen neue Firmware-Schwachstellen mehr als 2,5 % der National Vulnerability Database ausmachten.

Klicken Sie hier für weitere Berichte über die RSA-Konferenz 2021.

Der Anstieg der Schwachstellen kommt zu einer Zeit, in der immer mehr Kriminelle Zugriff auf den Firmware-Bereich und insbesondere auf das Unified Extensible Firmware Interface – oder UEFI – haben, so Ruoff.

“Was früher in den Bereich der nationalstaatlichen Akteure fiel, ist jetzt in den Bereich der kommerziellen Akteure übergegangen, und als Folge davon sehen wir jetzt einen Aufschwung”, sagte er.

Um Schwachstellen im UEFI-Bereich zu beheben, schlug das Duo ein mehrstufiges Idealszenario vor, auf das man hinarbeiten sollte: Förderung von Software-Stücklisten (SBOMS), die bis zur Firmware-Ebene reichen Hersteller sollen die Absicht der Komponenten des Systems angeben Analyse des Codes erstellen Öffentliches Risiko-Scoring bereitstellen Reduzieren Sie den Kauf von Produkten, die sich schlecht formen lassen

Software-Stücklisten listen alle Komponenten eines Produkts auf und führen die Software-Abhängigkeiten der Komponenten auf. So lässt sich leichter beurteilen, welche angekündigten Schwachstellen welche Geräte und Programme betreffen.

Ruoff und Rohner würden diese Kontrollen gerne mit der kürzlich von Biden erlassenen Executive Order zur Cybersicherheit verknüpfen, die SBOMs für die Beschaffung auf Bundesebene vorschreibt. Die Regierung hofft, dass die Kaufkraft der Regierung den Markt in Richtung sicherer Produkte bewegen wird.

Aber die beiden wissen, dass sie diesen idealen Endzustand nicht über Nacht erreichen werden.

“Wir sind realistisch, wir verstehen, dass nicht jeder Code im Detail untersucht werden kann. Das ist wirklich hart”, sagte Ruoff. “Und so sind wir nicht fragen, um den Ozean zu kochen. Wir denken, was ist die erste Reihe von Teetassen, die wir mit einem Bic-Feuerzeug beginnen können?”

Ruoff schlug vor, dass der anfängliche Fokus der Schwachstellen unterhalb der Betriebssystem-Kampagne auf zweckgebundene, in sich geschlossene Produkte wie speicherprogrammierbare Steuerungen liegen würde.

Um diese Ziele zu erreichen, so Ruoff und Rohner, wird die CISA damit beginnen, Interessengruppen einzuberufen, um Firmware-Risiken in den verschiedenen Sektoren kritischer Infrastrukturen zu erörtern, Infrastruktur-Gruppen verstärkt über potenzielle Gefahren zu informieren und Fortschritte bei der automatischen Code-Evaluierung zu fördern.

In der Zwischenzeit, so sagen sie, sollten Käufer versuchen, die gleichen Informationen auf eigene Faust zu erhalten.

“Wenn Sie ohne diese Informationen eine Entscheidung treffen”, sagte Rohner, “dann treffen Sie wahrscheinlich eine auf Vertrauen basierende Entscheidung und keine risikobasierte.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com