Informationssicherheit des Internets der Dinge: Wer ist das Ding und wer ist der Besitzer?


    Quelle

    Es ist für niemanden ein Geheimnis, dass im Bereich des Internets der Dinge (Internet der Dinge, Internet der Dinge, Internet der Dinge, Internet der Dinge, IoT) möglicherweise die geringste Reihenfolge in Bezug auf die Gewährleistung der Informationssicherheit (IB) besteht. Heute erleben wir eine sich entwickelnde Technologie, eine sich ständig verändernde Landschaft der Branche, Prognosen, die manchmal von der Realität wegführen, Dutzende von Organisationen, die versuchen, sich selbst für eine Stunde in einem bestimmten Bereich zu einem Gesetzgeber zu erklären. Die Dringlichkeit des Problems wird durch epische Vorfälle unterstrichen. Industroyer, BrickerBot, Mirai - und das ist nur die Spitze des Eisbergs, und was bereitet uns der nächste Tag vor? Wenn Sie mit dem Fluss fortfahren, werden die Besitzer des Internets der Dinge Botnets und andere "Malware" sein. Und Dinge mit einem schlecht konzipierten funktionalen Willen setzen sich vor denen durch, die versuchen, ihr Meister zu werden.

    November 2018Die ENISA (Agentur der Europäischen Union für Netze und Informationssicherheit) hat ein Dokument mit dem Titel "Best Practices für Cybersecurity für das industrielle Internet der Dinge" herausgegeben, in dem etwa hundert Dokumente mit den Besten analysiert wurden Praktizierende in diesem Bereich. Was ist "unter der Haube" dieses Versuchs, das Unermessliche zu erfassen? Der Artikel gibt einen Überblick über den Inhalt.

    Das industrielle Internet der Dinge (Industrial Internet of Things, IIoT), zu dem unter anderem Objekte der kritischen Informationsinfrastruktur (CII) gehören, unterscheidet sich etwas vom klassischen IoT. Die Betreiber von IIoT-Systemen sind es gewohnt, ausgereifte technische Lösungen mit einem Betriebshorizont in Jahrzehnten zu implementieren. Die Einführung von Upgrades und Innovationen mit IIoT-Lösungen wird daher durch die Dynamik des Marktes behindert, da kein allgemein anerkanntes System von Standards und allgemein anerkannte Lizenzierungssysteme vorhanden ist.

    Eine andere Frage: Was ist mit dem Informationsmeer zu tun, das in den letzten drei bis vier Jahren im Bereich Informationssicherheits-IoT gesammelt wurde? Was sollte als Grundlage genommen werden und was ist zweitrangig? Und wenn in verschiedenen Dokumenten widersprüchliche Informationen vorhanden sind, was ist wichtiger? Eine der Antworten könnte das Studium analytischer Berichte sein, in denen die gesammelten Erfahrungen zusammengefasst und harmonisiert werden, wobei die maximale Anzahl verfügbarer Quellen berücksichtigt wird.

    Die ENISA bietet also eine Zusammenfassung der Erfahrungen auf der Grundlage bewährter Verfahren. Um zu zeigen, dass dieser Ansatz nicht der einzige ist, erwägen Sie eine andere Möglichkeit, nämlich die Erstellung einer Sammlung verschiedener Standards.

    Ein Dokument ist auf der Website des National Institute of Standards und Technology (NIST) zu finden."Entwurf NISTIR 8200. Internationale Cybersecurity-Standardisierung für das Internet der Dinge (IoT) . " Die Version ist vom Februar 2018 datiert und hat noch den Status eines Entwurfs. Es analysiert die bestehenden Standards, verteilt auf die folgenden 11 Bereiche: Kryptografietechniken, Cyber ​​Incident Management, Hardware Assurance, Identitäts- und Zugriffsmanagement, Informationssicherheits-Managementsysteme (ISMS), IT-Systemsicherheitsbewertung, Netzwerksicherheit, Sicherheitsautomatisierung und kontinuierliches Monitoring (SACM). ), Software Assurance, Supply Chain Risk Management (SCRM), Systemsicherheitstechnik.

    Die Normenliste umfasst mehr als hundert Seiten! Dies bedeutet, dass es Hunderte von Titeln gibt, Zehntausende von Seiten, deren Untersuchung Jahre dauern kann, außerdem werden viele Dokumente bezahlt. Dadurch wurden mehrere Lücken in der Standardisierung der Industrie festgestellt, die offensichtlich geschlossen werden.

    Ich denke, der Leser hat bereits verstanden, auf welche Weise sich der gesunde Menschenverstand und die Sympathien des Autors befinden. Zurück zu den Best Practices von ENISA. Sie basieren auf einer Analyse von etwa hundert bereits veröffentlichten Dokumenten. Wir müssen jedoch nicht alle diese Dokumente lesen, da ENISA-Experten bereits alle wichtigen Dinge in ihrem Bericht gesammelt haben.

    Die folgende Abbildung zeigt die Struktur des Dokuments. Wir werden es uns nun genauer ansehen.



    Abbildung 1. Dokumentenstruktur"Die guten Praktiken für die Sicherheit des Internets im Internet im Kontext von Smart Manufacturing"

    Der erste Teil ist eine Einführung.

    Der zweite Teil führt zunächst die grundlegende Terminologie (2.1) und dann die Sicherheitsanrufe (2.2) ein. Dazu gehören:

    • Gefährdete Komponenten
    • Mängel im Prozessmanagement (Management von Prozessen);
    • eine zunehmende Anzahl von Kommunikationsverbindungen (erhöhte Konnektivität);
    • Interaktion von Betriebs- und Informationstechnologien (IT / OT-Konvergenz);
    • Vererbung von Problemen automatisierter Prozesssteuerungssysteme (Legacy Industrial Control Systems);
    • Unsichere Protokolle
    • menschliche Faktoren;
    • übermäßige Funktionalität (ungenutzte Funktionen);
    • die Notwendigkeit, Aspekte der funktionalen Sicherheit zu berücksichtigen (Sicherheitsaspekte);
    • Implementierung von sicherheitsrelevanten Updates (Sicherheitsupdates);
    • Realisierung des Lebenszyklus der Informationssicherheit (Secure Product Lifecycle).

    In Abschnitt 2.3 wird unter Bezugnahme auf ISA die Referenzarchitektur angegeben, die jedoch der allgemein akzeptierten ISA-Architektur (Purdu) etwas widerspricht, da RTU und PLC der 2. und nicht der 1. Ebene (wie in der Praxis geübt) zugeordnet sind ISA).


    Abbildung 2. Referenzarchitektur IIoT Die

    Referenzarchitektur ist eine Eingabe für die Bildung einer Taxonomie von Vermögenswerten, die in Abschnitt 2.4 implementiert wird. Basierend auf Expertendaten wird die Kritikalität von Assets hinsichtlich ihrer Auswirkungen auf die Informationssicherheit geschätzt. Wir sprechen nicht über Repräsentativität (im Bericht heißt es, dass Experten von 42 verschiedenen Organisationen teilgenommen haben), und diese Statistik kann als „eine Meinung“ betrachtet werden. Prozentsätze in der Grafik geben den Prozentsatz der Experten an, die ein Asset als kritisch eingestuft haben.



    Abbildung 3. Ergebnisse der Expertenbewertung der Kritikalität von IIoT-Assets

    In Abschnitt 3.1 wird eine Klassifizierung und Beschreibung möglicher Bedrohungen für den IIoT-Bereich vorgenommen. Darüber hinaus werden jeder Bedrohung Assetklassen zugeordnet, die möglicherweise betroffen sind. Die wichtigsten Bedrohungsklassen werden hervorgehoben:

    • Schändliche Aktivitäten / Missbrauch (unfaire Aktivitäten und Missbrauch) - verschiedene Arten von Manipulationen mit Daten und Geräten;
    • Abhören / Abhören / Hijacking (Abhören / Abhören / Hacken) - Sammeln von Informationen und Hacken des Systems;
    • Unbeabsichtigte Schäden (versehentlich) - unbeabsichtigte Konfigurations-, Verwaltungs- und Anwendungsfehler;
    • Ausfälle (Ausfälle) - Arbeitsunterbrechungen im Zusammenhang mit dem Ausfall der Stromversorgung, der Kommunikation oder der Dienste;
    • Katastrophen (Katastrophen) - zerstörerische äußere Auswirkungen natürlicher und vom Menschen verursachter Natur;
    • Körperliche Angriffe (physische Angriffe) - Diebstahl, Vandalismus und Sabotage (Deaktivierung) direkt am Gerät;
    • Ausfälle / Fehlfunktionen (Ausfälle und Fehlfunktionen) - können aufgrund versehentlicher Hardwareausfälle, aufgrund von Dienstanbieterfehlern sowie aufgrund von Problemen bei der Softwareentwicklung auftreten und zu Schwachstellen führen.
    • Recht (rechtliche Fragen) - Abweichungen von den gesetzlichen und vertraglichen Anforderungen.


    Abbildung 3. Bedrohungstaxonomie In

    Abschnitt 3.2 werden typische Beispiele für Angriffe auf IIoT-Systemkomponenten beschrieben.

    Der wichtigste Abschnitt des Dokuments ist der vierte, in dem bewährte Verfahren zum Schutz von IIoT-Komponenten erörtert werden. Praktiken umfassen drei Kategorien: Richtlinien, organisatorische Praktiken und technische Praktiken.


    Abbildung 4. Struktur der Best Practices für die Bereitstellung von Informationssicherheit IIoT Der

    grundlegende Unterschied zwischen Richtlinien und Organisationspraktiken wird nicht erläutert. In beiden Fällen ist die Verfahrensstufe vorhanden. Zum Beispiel fiel das Risiko- und Bedrohungsmanagement in die Politik und das Vulnerability-Management in die betriebliche Praxis. Der einzige Unterschied ist, dass die Richtlinien hauptsächlich für Entwickler und Organisationspraktiken angewendet werden - für die operativen Organisationen.

    Die Zusammensetzung der Richtlinien (4.2) beschreibt 4 Kategorien und 24 Praktiken. Der organisatorische Abschnitt (4.3) beschreibt 27 Praktiken, die in 6 Kategorien unterteilt sind, und die technischen (4.4) - 59 Praktiken, die in 10 Kategorien unterteilt sind.

    In Anhang A wird darauf hingewiesen, dass dieses Dokument ENISA die im Jahr 2017 in dem Dokument "Grundlegende Sicherheitsempfehlungen für IoT im Zusammenhang mit Infrastruktur für kritische Informationen" erklärte Forschung fortsetzt . Natürlich ist IoT ein breiteres Konzept als IIoT, und aus dieser Sicht wäre es möglich, das letztjährige Dokument als Grundlage für diese Überprüfung heranzuziehen, jedoch möchten Sie sich immer mit neuerem Material beschäftigen.

    Anhang B - Dies ist der hauptsächliche semantische Teil des Dokuments. Die Liste der Vorgehensweisen aus Abschnitt 4 wird in Form von Tabellen präsentiert, in denen auf Gruppen von Bedrohungen Bezug genommen wird, und es wird auf Dokumente verwiesen, die die Verwendung einer bestimmten Praxis unterstützen, leider ohne Angabe einer bestimmten Seite oder eines bestimmten Absatzes. Hier beziehen sich beispielsweise einige Punkte auf die Sicherheit von Cloud-Diensten.


    Abbildung 5. Ein Ausschnitt aus der Beschreibung bewährter Verfahren für die Bereitstellung von Informationssicherheit IIoT

    Anhang C enthält eine Liste der zitierten Dokumente (von denen es etwa 100 gibt), die erarbeitet wurden und die Grundlage der entwickelten bewährten Verfahren bildeten.

    Anhang D listet die wichtigsten Vorfälle auf, die auf Verstöße gegen die Informationssicherheit in industriellen Anwendungen zurückzuführen sind.

    Schlussfolgerungen


    „Good Practices for Internet Security of Things“ , entwickelt im November 2018, ist mit Abstand eines der detailliertesten Dokumente auf dem Gebiet der Informationssicherheit des Internets der Dinge. Es gibt keine detaillierten technischen Informationen zur Umsetzung der 110 beschriebenen Praktiken, es gibt jedoch eine Ansammlung von Wissen, das aus der Analyse von Hunderten von Dokumenten führender Expertenorganisationen im Bereich des Internet der Dinge gewonnen wurde.

    Das Dokument konzentriert sich auf IIoT, berücksichtigt die Industriearchitektur und die damit verbundenen Aktiva, Bedrohungen und Szenarien möglicher Angriffe. Häufiger für das IoT ist das ENISA-Vorgänger-Dokument "Grundlegende Sicherheitsempfehlungen für das IoT im Kontext kritischer Informationsinfrastrukturen" , das 2017 veröffentlicht wurde.

    "Räuberische Dinge des Jahrhunderts"und die für uns nicht wahrnehmbare Tendenz, die Macht der Dinge über die Menschen zu erlangen, wird derzeit nur durch einen isolierten Widerstand gegen Informationssicherheitsmaßnahmen behindert. Wie effektiv die IS-Maßnahmen sind, hängt in vielerlei Hinsicht von unserer Zukunft ab.

    Jetzt auch beliebt: