Was es ist:
Hardware, Software und Firmware sind die drei Kernkomponenten der heutigen Computer und Systeme. Hardware umfasst die physischen Komponenten eines Computersystems, die sich im Laufe der Zeit abnutzen und ausgetauscht werden müssen. Software enthält Sätze von Anweisungen, die eine Vielzahl von Eingaben vom Benutzer ermöglichen., Firmware ist eine bestimmte Art (oder Teilmenge) von Software, die als Vermittler zwischen Software und Hardware oder für den Betrieb von eingebetteten Einzwecksystemen wie Druckern oder Routern ausgelegt ist. Endbenutzer haben in der Regel eine begrenzte Interaktion mit der Firmware und diese wird selten geändert. Beispiele für diese Kernkomponenten sind:
Warum spielt es eine Rolle:
Hardware, Software und Firmware spielen jeweils eine Rolle in der Informationstechnologie (IT), die Wahlbeamte verwenden., In einem Wahl-Ökosystem ist die physische Wahlmaschine die Hardware, die Wahlprogrammieranwendung die Software und Barcodeleser laufen wahrscheinlich auf Firmware. Dies ist aus Beschaffungsperspektive wichtig zu verstehen, da die Wahlbeamten versuchen, neue Geräte zu erhalten. Verschiedene Komponenten können von einer Vielzahl von Anbietern entwickelt und hergestellt und dann von einem einzigen Anbieter verpackt werden. Dies hat Auswirkungen auf die Notwendigkeit eines angemessenen Risikomanagements in der Lieferkette.,
Die Unterschiede zwischen Hardware, Software und Firmware sind wichtig für das Patchen und Vulnerability Management. Als physische Komponente sind Hardware-Schwachstellen ohne vollständigen Austausch schwer zu beheben, obwohl einige durch Firmware-Updates gemildert werden können. In der Vergangenheit war es schwierig, die Firmware zu aktualisieren, da sie sich normalerweise im schreibgeschützten Speicher befand. Während Updates jetzt häufiger sind, haben sie ein relativ hohes Risiko, die Funktionalität zu beeinträchtigen, so dass Hersteller zögern, sie häufig bereitzustellen., Software-Schwachstellen sind in der Regel am einfachsten zu beheben, traditionell durch regelmäßige Sicherheitsupdates. Software-Schwachstellen bleiben die primären Vektor – Cyber-Bedrohung Akteure verwenden, um Systeme auszunutzen, so dass die Software die wichtigste Systemkomponente zu überwachen und zu aktualisieren mit Routine und Ad-hoc-Sicherheits-Patches.
Schließlich wirkt sich das Supportende des Anbieters unterschiedlich auf Hardware, Software und Firmware aus. In einigen Fällen kann die End-of-Support-Software aufgrund anderer Abhängigkeiten unbrauchbar werden, während die End-of-Support-Firmware wahrscheinlich weiterhin wie vorgesehen funktioniert., Selbst nachdem Schwachstellen identifiziert wurden, gibt der Anbieter keinen Sicherheitshinweis oder Patch aus, aber physische und Softwareminderungen sind manchmal verfügbar, um Software und Firmware am Ende des Supports zu sichern. Während sich die Hardware dem Ende des Supports nähert, haben Ersatzteile eine begrenzte Verfügbarkeit. Für alle Komponenten wird der Support oder die Fehlerbehebung am Ende des Supports nicht mehr bereitgestellt.
Was Sie tun können:
Unterschiede zwischen Hardware, Software und Firmware erfordern, dass Wahlbeamte die Sicherheit ganzheitlich betrachten. Die Beamten müssen Updates und Obsoleszenz planen., Bevor Abschwächungen vorgenommen werden können, müssen die Wahlbüros eine Bestandsaufnahme aller Hardware-und Software-Assets durchführen, für die sie gemäß den CIS-Kontrollen 1 und 2 verantwortlich sind. CIS ermutigt Wahlbüros, ihr IT-Personal routinemäßig ihren Bestand überprüfen und überprüfen zu lassen und sicherzustellen, dass Software und Firmware mit den neuesten Sicherheitspatches aktualisiert werden und dass die Hardware ordnungsgemäß funktioniert., Die monatliche Cybersecurity Advisory Summary von EI-ISAC hebt kritische Sicherheitspatches für häufig verwendete Software im Vormonat hervor und kann als Checkliste verwendet werden, um sicherzustellen, dass Systeme gepatcht werden.
Bei der Beschaffung neuer Geräte sollten Wahlbeamte die Notwendigkeit berücksichtigen, die Lieferkette sowohl für das gesamte Gerät als auch für jede Komponente zu bewerten, um sicherzustellen, dass unerwartete Schwachstellen und Änderungen nicht eingeführt werden., Best Practice 23 aus dem „Leitfaden zur Gewährleistung der Sicherheit bei der Beschaffung neuer Technologien“ von CIS bietet wertvolle Hinweise für die Bewältigung von Bedenken in der Lieferkette. Darüber hinaus sollten Wahlbeamte die „13 Elemente eines effektiven SCRM-Programms“ des National Counterintelligence and Security Center überprüfen, das Empfehlungen zur Prozessprüfbarkeit, zu Sicherheitsanforderungen und zur Risikominderung enthält.
Der EI-ISAC Cybersecurity Spotlight ist eine praktische Erklärung eines gemeinsamen Cybersecurity-Konzepts, – Ereignisses oder-vorgehens und seiner Anwendung auf die Verbesserung der Infrastruktursicherheit., Es soll EI-ISAC-Mitgliedern ein funktionierendes Verständnis für gemeinsame technische Themen in der Cybersicherheitsbranche vermitteln. Wenn Sie einen bestimmten Begriff oder eine bestimmte Praxis anfordern möchten, die für die Wahlgemeinschaft von Interesse sein könnte, wenden Sie sich bitte an [email protected].