//php echo do_shortcode(‘[responsivevoice_button voice=»US English Male» buttontext=»Listen to Post»]’) ?>
Si tienes una alergia severa, no puedes comer cualquier alimento. Primero tienes que saber lo que hay en él. Si nadie puede decirte los ingredientes, probablemente no deberías comerlo.
Y, sin embargo, las personas y las empresas de todo el mundo están haciendo esencialmente lo mismo con los productos electrónicos. Consumen productos electrónicos que forman parte de automóviles, dispositivos médicos, infraestructura crítica y más. Sin embargo, pocos consumidores pueden brindarle detalles sobre los ingredientes de los productos que utilizan, y mucho menos si representan un riesgo para la seguridad.
Marc Andreessen fue uno de los primeros en darse cuenta de que “el software se come el mundo”, pero a menudo olvidamos que todo el software se ejecuta en el hardware. La complejidad del hardware está creciendo a un ritmo similar al tamaño del código de software. Los fabricantes de semiconductores ahora están desarrollando un número creciente de chips adaptados para aplicaciones específicas y cada vez más con soporte de seguridad de hardware integrado, creando más oportunidades para los riesgos de seguridad.
En última instancia, un producto es tan seguro como su componente más débil, y las empresas no pueden darse el lujo de incorporar tecnología sin conocer los detalles de sus ingredientes más allá de su función básica. Si bien estos ingredientes son inofensivos, también podrían dejar una puerta abierta a un atacante. Necesitamos hacer las mismas preguntas sobre cada producto electrónico que hacemos sobre nuestra comida. ¿Qué contiene y qué tan seguro es?
Qué hardware puede aprender del software
Cuando se trata de alimentos, nosotros, como consumidores, hemos sido capacitados para leer las etiquetas de ingredientes o preguntar qué hay en una comida. Ciertamente no es un mundo perfecto, pero la transparencia de las etiquetas de ingredientes dirige a los consumidores a los productos adecuados para ellos. La rendición de cuentas conduce a una mejor calidad.
De manera similar, en la fabricación, una «lista de materiales» (BOM) es un concepto bien entendido que contiene la lista y las cantidades de materias primas, componentes y piezas necesarias para construir un producto. La adición de detalles de seguridad a esta lista ha prevalecido en el lado del software como la «Lista de materiales del software» (SBOM).
A veces, el 90-95 % de una aplicación de software se crea a partir de componentes de código abierto que el usuario nunca conoce. Un SBOM no solo le dice qué componentes están incluidos en una aplicación de software, sino también si es la última versión y si alguno de ellos tiene una vulnerabilidad de seguridad conocida que potencialmente deja a toda la aplicación vulnerable a los ataques cibernéticos.
Los SBOM continuaron ganando terreno después de la orden ejecutiva del año pasado. Su objetivo es desenredar la cadena de suministro de software al exigir que todos los proveedores de software proporcionen al gobierno federal un SBOM para que las agencias gubernamentales sepan exactamente qué hay en el software que están utilizando. En el caso de un nuevo problema de seguridad, como una vulnerabilidad explotada de forma remota, SBOM permite que estas agencias respondan más rápidamente.
A diferencia del software, los problemas de seguridad del hardware han recibido una mayor atención recientemente tras el descubrimiento de las vulnerabilidades Spectre y Meltdown en 2017. Antes de eso, se creía ampliamente que un chip no podía ser pirateado sin acceso físico. Ahora sabemos que las fallas de diseño de seguridad en el hardware a veces se pueden explotar de forma remota.
Por ejemplo, una aplicación de software sin privilegios que se ejecuta de forma remota puede aprovechar las fugas de información específica del hardware para extraer secretos o tomar el control del sistema. Además, estos ataques pueden automatizarse y apuntar potencialmente a cualquier producto que contenga el hardware vulnerable, lo que hace que los ataques sean mucho más escalables e impactantes. Para empeorar las cosas, es imposible o muy difícil reparar las vulnerabilidades del hardware una vez que los chips están en su lugar.
Las vulnerabilidades de hardware explotables de forma remota han recibido más atención recientemente y no han recibido la misma atención que las vulnerabilidades de software. Todavía estamos en la fase de aclaración, ya que cada vez más empresas reconocen los riesgos.
Esta formación debe pasar a la acción. Una lista de materiales de hardware (HBOM), que detalla la seguridad de los componentes de hardware, incluida su validación de seguridad, complementaría una SBOM para mostrar el estado de seguridad de cualquier producto electrónico. La combinación de SBOM y HBOM puede proporcionar una visión holística del producto, permitir que una empresa realice un seguimiento de los ingredientes a lo largo de su ciclo de vida y respaldar una acción más rápida cuando se descubren vulnerabilidades en el hardware o el software.
Información de seguridad que necesitamos en una lista de materiales de hardware
La base para un HBOM sería introducir el equivalente del SBOM para documentar y rastrear vulnerabilidades de hardware como: B. la vulnerabilidad Augury recientemente descubierta en el chip Apple M1. Saber qué versiones de silicio son vulnerables y qué productos usan el chip afectado brinda una mejor orientación para evaluar el riesgo comercial y comprender qué productos requieren actualizaciones de seguridad.
Sin embargo, debemos profundizar más en el contenido de HBOM e incluir artefactos que muestren cómo se consideró la seguridad durante la planificación, el desarrollo y la validación de los componentes de hardware. Cuanta más información se divulgue, más valioso se vuelve el HBOM para evaluar la seguridad y el estilo de conducción de un producto cuando se encuentran vulnerabilidades. Ejemplos incluyen:
HBOM ciertamente no sería una panacea. Pero pueden proporcionar el tipo de visibilidad que permite tomar decisiones informadas durante el diseño, el soporte y el mantenimiento del producto, y la respuesta a incidentes de seguridad. Junto con la adopción de nuevos estándares de seguridad de productos, los HBOM pueden ayudarnos a lograr nuevos niveles de transparencia, seguridad y protección.
—Andreas Kuehlmann es director ejecutivo de Cycuity
