הסרת הצפנת זיכרון ממעבדי Ryzen: שינוי שנעשה ללא שקיפות
AMD הסירה בשקט את תכונת הצפנת הזיכרון ממעבדי Ryzen הצרכניים שלה, לאחר עדכון קושחת AGESA. השינוי לא תועד בצורה ברורה ב-Changelog, ומהנדסי AMD לא נתנו הסברים כאשר נשאלו ישירות על כך. המשמעות המיידית: משתמשים וארגונים שהסתמכו על הצפנת הזיכרון כשכבת הגנה נשארו חשופים, מבלי שידעו זאת.
מה היא הצפנת זיכרון ולמה היא חשובה
הצפנת זיכרון (Memory Encryption) היא מנגנון חומרתי המגן על נתונים הנמצאים ב-RAM, כך שגם במקרה של גישה פיזית לציוד, התוקף אינו יכול לקרוא את תוכן הזיכרון בטקסט גלוי. בסביבות עם דרישות אבטחה גבוהות, כמו תחנות עבודה בארגוני פיננסים, בריאות או ממשל, מנגנון זה מהווה קו הגנה משמעותי.
הסרת התכונה לא הופכת בהכרח כל מחשב לפגיע באופן מיידי, אולם היא מצמצמת את עומק ההגנה ומבטלת הנחת יסוד אבטחתית שניהול הסיכונים הארגוני התבסס עליה.
הבעיה האמיתית: חוסר שקיפות בשרשרת האספקה הטכנולוגית
מניסיון R.A.S Group בעבודה עם ארגונים על מערכות ליבה, אנו רואים שוב ושוב תבנית בעייתית: ארגונים בונים מדיניות אבטחה על בסיס יכולות חומרה ותוכנה שמספקים צדדים שלישיים, מבלי שמונחת בפניהם מחויבות לעדכן אותם כאשר אותן יכולות משתנות. המקרה של AMD ממחיש זאת בצורה חדה.
שינוי קושחה שמבטל תכונת אבטחה, ללא תיעוד גלוי וללא הודעה יזומה, יוצר פער ישיר בין ה-Threat Model של הארגון לבין המציאות בשטח. פערים כאלה נוטים להתגלות מאוחר, לעיתים רק לאחר אירוע.
צעדים שארגונים צריכים לנקוט עכשיו
- מיפוי תלויות חומרה: בדקו אילו יכולות אבטחה חומרתיות מפורטות במדיניות האבטחה שלכם ואמתו שהן אכן פעילות במערכות הקיימות.
- עדכון מדיניות עדכוני קושחה: קבעו תהליך מובנה לסקירת שינויים בקושחה לפני פריסה ארגונית, לא רק אחריה.
- תיעוד ה-Baseline האבטחתי: הגדירו מה הן ההנחות החומרתיות שעליהן מסתמכת מדיניות האבטחה, ועדכנו אותן כאשר הספק משנה יכולות.
- פנייה ישירה לספק: ארגונים עם חוזי תמיכה ארגונית מול AMD או שותפי הפצה צריכים לדרוש הבהרה רשמית על הסרת התכונה.
הגנת מידע ארגונית אינה יכולה להסתמך על כך שספקי חומרה ישמרו על עקביות בשקט. ניהול נכון של סיכוני שרשרת אספקה טכנולוגית דורש תהליכים שמוודאים את ה-Baseline בפועל, ולא רק מניחים אותו כנתון.