Best Practices für Cybersicherheit
Von Kevin L. Brinkman und Barry Blackaby | Weiterbildung | 1. April 2020
21 Minuten zum Lesen
Die Best Practices für Cybersicherheit in der Aufzugs- und Fahrtreppenindustrie des NEII bieten einen international entwickelten Schnellstartleitfaden, der Herstellern hilft, netzwerkbasierte Cyberangriffe abzuwehren. Der Fokus liegt dabei auf Schnittstellen zum Internet, Gebäudenetzwerken und nicht vertrauenswürdigen Systemen, einschließlich Service-Tools für Techniker. Der Leitfaden basiert auf einem siebenstufigen Cybersicherheits-Lebenszyklus, der Schulung, Anforderungs- und Risikoanalyse, Design, Implementierung, Verifizierung, Freigabe und Betrieb umfasst. Er betont die Prinzipien der mehrschichtigen Verteidigung, der minimalen Rechtevergabe, der Lieferantensicherung, der sicheren Programmierung, des dynamischen und Fuzzing-Testings sowie des Penetrationstests. Dokumentation, Reaktion auf Sicherheitsvorfälle, Bestandsaufnahme von Anlagen und sichere Stilllegung sind erforderlich. Service-Tools und PCs müssen durch starke Authentifizierung geschützt werden. Die Sicherheitsstufen SL0 bis SL4 sind definiert, mit empfohlenen Kontrollmaßnahmen für SL1 und SL2. Die ISO-Zertifizierung wurde initiiert.
Eine Zusammenfassung der NEII-Richtlinie für die Branche zur Eindämmung und Bekämpfung immer relevanterer Cyberangriffe
von Kevin L. Brinkman und Barry Blackaby
Die National Elevator Industry, Inc. (NEII) veröffentlicht Best Practices für Cybersicherheit in der Aufzugs- und Fahrtreppenbranche, eine Richtlinie für die Branche, die 2019 von Cybersicherheits- und Codeexperten von NEII-Mitgliedsunternehmen und internationalen Industriepartnern entwickelt wurde Praxisbeispiele war entscheidend, da der Bau von Verkehrssystemen mit mehreren Controllern und Prozessoren, Überwachungssysteme mit Internetzugriff und Wi-Fi-fähige Kommunikationssysteme zu einem integralen Bestandteil komplexer, moderner Gebäude geworden sind.
| Lernziele |
| Nachdem Sie diesen Artikel gelesen haben, sollten Sie Folgendes erfahren haben: ♦ Warum und wie der Leitfaden erstellt wurde ♦ Was die Richtlinie beinhaltet ♦ Was gilt in einem Netzwerk als vertrauenswürdig oder nicht vertrauenswürdig ♦ Der Lebenszyklus des Cybersicherheitsprozesses ♦ Sicherheitsstufen und Maßnahmen ♦ Sicherheitsbedenken in Bezug auf Werkzeuge zur Wartung von Aufzügen und Fahrtreppen |
Praxisbeispiele bietet einen Weg, um Hersteller von Aufzügen und Fahrtreppen bei der Entwicklung von Systemen zu unterstützen, die einen angemessenen Schutz bieten und gegen netzwerkbasierte Cyberangriffe verwalten. Praxisbeispiele konzentriert sich auf die Schnittstellen zwischen dem Aufzugs- oder Fahrtreppensystem und dem Internet, Gebäudenetzen und nicht vertrauenswürdigen Systemen. Wartungs- und Servicetools, die von Technikern verwendet werden, sind eingeschlossen und werden als nicht vertrauenswürdige Systeme behandelt.
Praxisbeispiele wurde mit erfahrenen Cybersicherheitsexperten aus Europa, der Pacific Asia Lift and Escalator Association (PALEA) und der China Elevator Association (CEA) entwickelt. Während einer 18-monatigen Zusammenarbeit entwickelten diese Experten Modelle, die auf verschiedenen Gebäudenetzwerken und Aufzugsausrüstungsdesigns basieren.
Praxisbeispiele beschreibt den Risikobewertungsprozess, die Dokumentation, die Schulung, die Anforderungen, das Design, die Implementierung, die Verifizierung, die Freigabe und den Betrieb eines soliden Cybersicherheitsprogramms. Es bietet eine Grundlage für die Entwicklung eines Cybersicherheitsstandards durch die International Organization for Standardization (ISO).
Die grundsätzliche Empfehlung von Praxisbeispiele ist ein starker Lebenszyklus von Cybersicherheitsprozessen. Dieser Lebenszyklus muss eine Verpflichtung zu angemessenen Schulungen, Tools, Ressourcen und Prozessen beinhalten, um Aufzugs- und Fahrtreppensysteme zu stärken und vor Cyberangriffen zu schützen. Der Lebenszyklusansatz ist auch eine grundlegende Prämisse von Best Practices für alle Cybersicherheitsstandards und -ansätze.
Einführung
Der Schutz der Cybersicherheit für Aufzüge und Fahrtreppen ist zu einer Notwendigkeit geworden. Diese Systeme – einst isolierte Gebäudetransportmittel – sind zu einem integralen Bestandteil komplexer moderner Gebäudesysteme geworden. Vertikale Transportsysteme (VT) verfügen über mehrere Controller und Prozessoren, Überwachungssysteme, die auf das Internet zugreifen, Wi-Fi-fähige Kommunikation mit PCs und mobilgerätebasierte Servicetools. Aufzüge sind auch in Notfallsituationen mit Sprach-, Echtzeit- und Videoanzeigen im Fahrzeug und komplexer Interaktion mit Feuer- und Lebenssicherheitssystemen während der Gebäudeevakuierung zu einer Schlüsselkomponente geworden. Die Möglichkeit, Echtzeitdaten elektronisch an das Servicepersonal zu liefern, sowie Software-Updates bei Bedarf, ist die Norm. Während die Konnektivität Aufzüge und Fahrtreppen auf ein neues Niveau der Verfügbarkeit, Effizienz und allgemeinen Gebäudesicherheit bringt, ist sie auch Cyberbedrohungen wie Denial-of-Service ausgesetzt. Die Besorgnis sowohl der Gerichtsbarkeiten als auch der Kunden ist so weit gewachsen, dass Staaten und Kunden ihre eigenen Cybersicherheitsanforderungen und -beschränkungen für VT-Systeme durchsetzen.
Das erste Treffen für Cybersicherheit sollte aus Vertretern nordamerikanischer NEII-Unternehmen bestehen. Es endete mit Cybersicherheitsexperten großer Hersteller aus Finnland, Deutschland und Nordamerika. Später schlossen sich PALEA und CEA dem Team an, was es zu einer wahrhaft internationalen Anstrengung machte. Aus Zeitgründen wurde vereinbart, rechtzeitig zur ISO-Plenartagung im Frühjahr 2019 einen beschleunigten Leitfaden für Best Practices fertigzustellen, der als Ausgangsdokument für die Initiierung eines internationalen, konsensbasierten Standards dienen könnte.
Bei der ersten Sitzung wurde festgestellt, dass:
- Cybersicherheit ist ein Sicherheitsproblem.
- Es besteht Bedarf an einem weltweiten Standard für die Aufzugsindustrie.
- Der Bedarf ist aufgrund des Drucks von Gerichtsbarkeiten und Kunden unmittelbar.
- Bis ein Standard verfügbar ist, ist ein Leitfaden für bewährte Verfahren erforderlich.
Praxisbeispiele wurde rechtzeitig abgeschlossen und ein neues Arbeitselement wurde von der ISO initiiert, um einen Cybersicherheitsstandard für die VT-Branche zu erstellen. Es wurde darauf geachtet Praxisbeispiele Anforderungen wegzulassen, die einen ISO-Standard einschränken können.
Aufgrund von Längen- und Zeitbeschränkungen bietet dieser Artikel eine komprimierte Beschreibung von Best Practices. Für weitere Details wird den Lesern empfohlen, die Leitlinie im öffentlichen Teil der NEIi-Website (nationalelevatorindustry.org) zu lesen. Praxisbeispiele basiert lose auf dem ISA/IEC 62443 Standard für weltweite Anwendbarkeit.
Geltungsbereich
Die Richtlinie bietet einen Weg, um Hersteller von Aufzügen und Fahrtreppen bei der Entwicklung von Systemen zu unterstützen, die einen angemessenen Schutz vor und Management gegen netzwerkbasierte Cyberangriffe bieten. Der Leitfaden konzentriert sich auf die Schnittstellen zwischen dem Aufzugs- oder Fahrtreppensystem und dem Internet, Gebäudenetzen und nicht vertrauenswürdigen Systemen. Wartungs- und Servicetools, die von Technikern verwendet werden, sind eingeschlossen und werden als nicht vertrauenswürdige Systeme behandelt. Der Ansatz bestand darin, die Best Practices der Branche als Leitfaden zu verwenden, bis ein umfassender Cybersicherheitsstandard für Aufzüge und Fahrtreppen verfügbar ist.
Berücksichtigte Architekturen
Die Richtlinie zielt primär auf Schnittstellen ab, an denen das Aufzugs- oder Rolltreppensystem mit nicht vertrauenswürdigen Systemen kommuniziert. Obwohl der Fokus auf Schnittstellen zu anderen Systemen und Netzwerken liegt, werden auch Service-Tools – ob kabelgebunden oder drahtlos – berücksichtigt. Abbildung 1 zeigt die Architektur eines Aufzugsystems und die gefährdeten Systemteile. Dieses Beispiel gilt gleichermaßen für Rolltreppensteuerungssysteme.
Da es sich um ein Beispiel handelt, variieren die tatsächlichen Implementierungen. Der Leitfaden zeigt mehrere Beispiele. Der Kürze halber wird in diesem Artikel nur einer gezeigt. Die im Umfang enthaltenen Schnittstellen sind:
- Verbindungspunkte, die entweder physisch oder drahtlos mit dem Internet verbunden sind
- Verbindungspunkte, die mit einem physischen oder drahtlosen Gebäudenetzwerk verbunden sind
- Serielle Kommunikationsschnittstelle mit einem Feuer- und Rettungssystem (physikalisch isolierte Kabelschnittstellen sind ausgenommen.)
- Anbindung an intelligente Servicetools, kabelgebunden oder drahtlos
- Intelligente Servicetools (z. B. PCs)
- Eingeklemmte Fahrgastalarmsysteme, wenn sie heruntergeladene Software oder Aufzugsinteraktionen akzeptieren können
- Kommunikationsverbindungen, die sich außerhalb des Aufzugs- und Fahrtreppensystems/-bereiches verbinden
Die sicheren/vertrauenswürdigen Teile der Systeme werden in der Richtlinie nicht berücksichtigt; sie sind von den halbtransparenten Grünflächen bedeckt in Abbildung 1. Während eine Best Practice für eine Cybersicherheitsarchitektur einen mehrschichtigen Ansatz berücksichtigen sollte in den sicheren/vertrauenswürdigen Zonen wurde dieses Thema auf einen umfassenderen Standard verschoben. Es sollte auch beachtet werden, dass die meisten Systeme mehrere vertrauenswürdige Zonen enthalten. Abbildung 1 zeigt eine komplexe Installation, bei der die Ziel- und Verwaltungssysteme über ein Netzwerk über ein Gateway kommunizieren, das mit einer Cloud interagiert.
Prozesslebenszyklus der Cybersicherheit
Die grundlegende Grundlage von Praxisbeispiele ist ein starker Lebenszyklus von Cybersicherheitsprozessen. Dieser Lebenszyklus erfordert angemessene Schulungen, Tools, Ressourcen und Prozesse, um das Aufzugs- und Fahrtreppensystem zu härten und vor Cyberangriffen zu schützen. Der Lebenszyklusansatz ist auch eine grundlegende Prämisse der Best Practices, die für die meisten Cybersicherheitsstandards und -ansätze verwendet werden.
Der empfohlene Lebenszyklusansatz umfasst sieben verschiedene Funktionen, die in den folgenden Abschnitten näher beschrieben werden. Der wichtige Punkt ist, dass die beschriebenen Funktionen als Grundlage eines Cybersicherheitsplans gelten, unabhängig davon, wie viele Schritte eine Organisation insgesamt hat.
Training
Um ein angemessenes Sicherheitsniveau für eine Aufzugs- oder Fahrtreppeninstallation zu gewährleisten, benötigt jeder Mitarbeiter, der am Cybersicherheitslebenszyklus teilnimmt, eine angemessene Schulung, die auf seine besondere Rolle zugeschnitten ist. Dazu gehören unter anderem Entwickler, Linien- und oberes Management, Wartungspersonal und Beschaffungsspezialisten. Alle Mitarbeiter, die am Cybersicherheitslebenszyklus teilnehmen, müssen im Allgemeinen verstehen, worum es bei Cybersicherheit geht, die aktuellen Best Practices und deren Anwendung, das zu sichernde System und die Risiken, die durch Cybersicherheitsbedrohungen verursacht werden. Es wird empfohlen, dass das Schulungsteam Cybersicherheitsspezialisten umfasst. Neben der allgemeinen Cybersicherheitsschulung ist es wichtig, dass das Team, das die Risiko- oder Bedrohungsanalyse durchführt, über aktuelles Wissen über relevante Standards wie ISO 14798 verfügt und nach relevanten Best Practices arbeiten kann.
Voraussetzungen:
Der Prozess des Managements der Cybersicherheitsanforderungen eines Aufzugs- oder Fahrtreppensystems ist effektiv ein Prozess des Risikomanagements. Um ein Produkt mit einem akzeptablen Sicherheitsniveau zu erhalten, ist es notwendig, eine Reihe sinnvoller Maßnahmen und Kontrollen zu schaffen, die die verschiedenen Risikoereignisse, die das System bedrohen, mindern.
Da die Identifizierung von Assets und das Sammeln möglicher Sicherheitsrisiken ein kreativer und kooperativer Prozess ist, kann die Suche nach professioneller externer Unterstützung (z. B. zur Moderation von Workshops) eine wertvolle Ergänzung sein, wenn kein internes Fachwissen verfügbar ist.
Prozess
Zur Ermittlung der Sicherheitsanforderungen sollte folgender Prozess befolgt werden:
- Identifizieren Sie Vermögenswerte und das tolerierbare Risiko.
- Führen Sie eine erste Risikobewertung durch: Identifizieren Sie Bedrohungen und Risiken für die Assets, bestimmen Sie die Wahrscheinlichkeit und Auswirkungen von Risikoereignissen, bestimmen Sie das uneingeschränkte Cybersicherheitsrisiko und definieren Sie das Sicherheitsniveau für das System.
- Erstellen Sie Sicherheitsanforderungen.
- Weitere Iteration der Risikobewertung: Bewerten Sie vorhandene Gegenmaßnahmen, bewerten Sie die Wahrscheinlichkeit und Auswirkung von Risikoereignissen neu und bestimmen Sie das Restrisiko.
- Dokumentieren Sie Cybersicherheitsanforderungen, Annahmen und Einschränkungen.
Die Risikobewertung sollte auf Testergebnissen basieren und jedes Mal aktualisiert werden, wenn Änderungen am System vorgenommen werden oder wenn sich die Bedrohungslandschaft erheblich ändert (z. B. wenn neue Softwareschwachstellen veröffentlicht werden).
Richtlinien für den Anforderungsprozess
Identifikation von Asset und System in Erwägung
Bisher waren die wichtigsten Sicherheitsanforderungen an VT-Systeme die physische Sicherheit von Personen und in zweiter Linie von Geräten. Um diese Anforderungen zu erfüllen, hat sich ASME A17.1 auf physische Geräte und Sicherheitskettenkomponenten verlassen. Da die meisten Systeme außerhalb von Maschinenräumen nicht kommunizierten, war Datenschutz nie ein wichtiges Thema. Datenprobleme waren meist dort, wo die Software für sicherheitsrelevante Funktionen (Feuerwehr) geändert/aktualisiert wurde und sich jetzt ohne Rückverfolgbarkeit anders verhält. Durch die Einführung von Internetverbindungen, WLAN und softwarebasierten (Safety Integrity Level) Sicherheitssystemen können Daten nun integraler Bestandteil einer Sicherheitsfunktion sein und einen kodifizierten Schutz erfordern. Die Richtlinie bietet einen detaillierten Prozess für die Anforderungen, die Risikotoleranz und das Ausmaß der Risikominderung.
Anfängliche Risikobewertung
Die initiale Risikobewertung identifiziert die Ereignisse/Risiken, die das System bedrohen. Die Bedrohungen reichen von softwarebasierten Viren, Würmern, Malware und Ransomware bis hin zu physischem, unbefugtem Zugriff, unbeabsichtigten Aktionen und Sabotage. Um die Wahrscheinlichkeit des Auftretens von Bedrohungen zu bewerten, sollte die Bewertung die Fähigkeit des Gegners (Fähigkeit und Ressourcen) sowie die Schwachstellen und den Zugriff auf das System berücksichtigen. Diese Form der Sicherheitsrisikobewertung ist komplexer als die Sicherheitsrisikobewertung. Es ist schwierig, die Motivation für einen Angriff auf einen Aufzug im Vergleich zu den Fähigkeiten und Ressourcen des Angreifers einzuschätzen. Die Fähigkeit, eine mit hoher Geschwindigkeit in ein Terminal einfahrende Aufzugskabine zu beurteilen, ist einfacher zu quantifizieren.
Das Risikobewertungssystem konzentriert sich auf ISO 14798:2009, eine speziell zugeschnittene Risikobewertungsnorm für die Aufzugsindustrie. Es zeigt, wie diese Methode an den Umgang mit Cyberbedrohungen und -angriffen angepasst werden kann. Andere Risikobewertungsstandards sind IEC 62443-3-2, ISO 27005 und NIST SP 800-30 Leitfaden zur Durchführung von Risikobewertungen. Praxisbeispiele verbietet keine Standards zur Risikobewertung, da alle praktikabel sind und jede Einschränkung eines Standards der ISO zur Festlegung überlassen wurde. Weitere Informationen zu möglichen Bedrohungen finden sich beispielsweise in NIST SP800-30, BSI Group (ehemals Engineering Standards Committee) Top 10, Open Web Application Security Project (OWASP) Top 10, Common Attack Pattern Enumeration and Classification (CAPEC) oder andere Bedrohungskataloge, die aktuell gehalten und von mehreren relevanten Organisationen verteilt werden.
Auswahl der Sicherheitsanforderungen
Nach der anfänglichen Risikobewertung müssen sinnvolle Gegenmaßnahmen gewählt werden, um die bewerteten Risiken zu mindern, die das zuvor definierte akzeptable Risikoniveau überschreiten. Die beste Vorgehensweise bei der Erstellung/Auswahl von Gegenmaßnahmen ist der „Defense in Depth“-Ansatz. Gegenmaßnahmen sollten sich nicht auf eine einzige Verteidigungslinie stützen, sondern mehrere Schutzebenen nutzen. Wenn eine Verteidigungslinie unterbrochen wird, wird das Asset immer noch von mindestens einer anderen Schicht verteidigt. Kompensierende Gegenmaßnahmen, wie z. B. physische Zugangskontrollen oder Detektivkontrollen, können ebenfalls verwendet werden, um eine oder mehrere Sicherheitsanforderungen zu erfüllen.
Parallel zur Entwicklung der Systemarchitektur und der Zuweisung ihrer Funktionalität ist es bewährte Praxis, die Basisbedrohungsmodellierung zu überprüfen und zu aktualisieren. Mehrere Ansätze sind praktikabel, wie beispielsweise STRIDE von Microsoft. Diese Methodik beantwortet die Frage „Was kann mit meinem System schief gehen?“ durch systematische Überprüfung jeder Komponente Ihres Systems auf die Möglichkeit von Spoofing (unter Verwendung einer falschen Identität), Manipulation (unerlaubte Änderung von Daten oder eines Systems), Zurückweisung (Verschleierung der Verantwortung für eine Handlung), Offenlegung von Informationen (unerlaubte Offenlegung wertvoller Daten), Denial-of-Service (Verringerung der Verfügbarkeit eines Dienstes auf möglicherweise null) und Erhöhung von Berechtigungen (Erlangung höherer Berechtigungen als beabsichtigt durch Ausnutzung eines Designfehlers oder einer Schwachstelle).
Wenn das Bedrohungsmodell mit der sich entwickelnden Architektur des Systems auf dem neuesten Stand gehalten wird, steht ein umfassender Katalog möglicher Bedrohungen zur Verfügung. Diese Bedrohungen können dann durch die Auswahl geeigneter Gegenmaßnahmen gemildert werden, die in die nächste Iteration der Systemarchitektur integriert werden können.
Dokumentation von Cybersicherheitsanforderungen, -annahmen und -beschränkungen
Wie bei allen Anforderungen müssen Cybersicherheitsanforderungen und -annahmen dokumentiert, durch den Designprozess geleitet und in den Systemtestplan aufgenommen werden.
Extern entwickelte Komponentensicherheit
Die oben beschriebenen Methoden sollten auf Komponenten ausgeweitet werden, die von externen Quellen entwickelt wurden, seien es kommerzielle, Standard-Software, Open-Source-Software oder speziell für das Unternehmen entwickelt. Eine noch so gründliche Risikobewertung (einschließlich der Auswahl der Gegenmaßnahmen und des Sicherheitskonzepts) kann durch unsichere Elemente zwischen extern entwickelten Komponenten gefährdet werden.
Praxisbeispiele beinhaltet Audits von Lieferanten, Anleitungen, nur bei zuverlässigen Lieferanten einzukaufen und nur an vertrauenswürdige Dienstleister auszulagern und die vertragliche Sicherstellung der einzuhaltenden Prozesse zu fordern. Weitere Informationen finden Sie in ISO/IEC 27036-3 und IEC 62443-2-4. Der Leitfaden gibt Anregungen, was Sie aus Sicherheitssicht von Ihren Lieferanten/Dienstleistern verlangen können.
Technologie
Ziel der Designphase ist die Entwicklung der Systemarchitektur. In dieser Phase werden alle Entscheidungen bezüglich der übergeordneten Designentscheidungen und der verwendeten Schlüsselkomponenten getroffen. Darüber hinaus sollte während der Architekturentwicklung die vollständige Funktionalität des Produkts in dem Maße skizziert werden, das erforderlich ist, um eine Architektur zu erreichen, die der erforderlichen Funktionalität entspricht. Diese Gliederung könnte beispielsweise aus den beteiligten Entitäten, dem resultierenden Datenfluss und bereits zuordenbaren wichtigen Sicherheits- oder Nicht-Sicherheitseigenschaften bestehen.
Aufgrund der weitreichenden Auswirkungen von Entscheidungen während der Designphase ist diese Phase besonders anfällig für die Einführung von Sicherheitslücken. Fehler in der entwickelten Architektur können direkt oder indirekt zu Schwachstellen führen, die auf dieser übergeordneten Stufe schwer zu identifizieren sind, da sie möglicherweise sehr spezifisch oder nur auf einer viel niedrigeren Ebene erkennbar sind. Die Behebung dieser Sicherheitsprobleme ist am effizientesten, wenn sie so früh wie möglich identifiziert werden, vorzugsweise während der Designphase. Werden Sicherheitslücken erst in späteren Phasen entdeckt, etwa beim Testen oder im Betrieb, wird deren Behebung immer aufwändiger und teurer. Daher ist es sehr wichtig zu versuchen, Schwachstellen während der Designphase zu erkennen und branchenübliche Best Practices zu verwenden, um die Gefährdung zu reduzieren.
Zu den Best Practices gehören:
- Das Prinzip der geringsten Rechte, d. h. ein Prozess oder ein Benutzer sollte konstruktionsbedingt keine höheren Rechte haben, als für die Erfüllung seiner Aufgabe erforderlich sind
- Identifizierung und Minimierung von Angriffsflächen
- Modulare Designmethodik zur Reduzierung der Auswirkungen von Sicherheitsbedrohungen
- Defense-in-Depth, d. h. kein Risiko sollte durch eine einzelne Maßnahme gemindert werden, sondern durch eine Reihe von mehrschichtigen Maßnahmen, die auch dann wirksam sind, wenn eine der Einzelmaßnahmen versagt (auch in der Anforderungsphase beschrieben)
- Einschränkung des Zugriffs eines Benutzers, eines Schnittstellensystems oder einer Aufgabe, um die für die jeweilige Funktionalität erforderlichen Daten anzupassen
- Bevorzugung einfacher, bewährter, im Einsatz befindlicher Konzepte oder Komponenten gegenüber unnötig komplexen, proprietären oder unzureichend getesteten
- Regelmäßige Durchführung von Sicherheitsdesign-Reviews, um Sicherheitsanforderungen zu erkennen, die im aktuellen Design noch nicht berücksichtigt sind, und Überprüfung, ob die aktuelle Architektur des Systems den Best Practices entspricht
Weitere Informationen zu Best Practices für die Sicherheit in der Designphase finden Sie in IEC 62443-4-1 Practice 3, NIST SP 800-82, Kapitel 5 und BSI ICS Security Compendium Kapitel 5.6.
Umsetzung
Es sollten mindestens die folgenden Hauptattribute im Zusammenhang mit einer sicheren Implementierung beachtet werden:
- Verwendung sicherer Codierungsrichtlinien
- Einsatz von statischen Analysetools
- Unit-Tests kritischer Funktionen
- Analyse von Drittanbieter- und Open-Source-Software
- Die Verwendung von sicheren Codierungsrichtlinien
Richtlinien für sichere Codierung sollten potenziell ausnutzbare Codierungskonstrukte oder -designs auflisten, die nicht verwendet werden sollten. Diese sollten aus realen Beispielen stammen. In der Regel sollten sie auch eine Liste der verbotenen/veralteten Funktionen enthalten. Eine bewährte Methode besteht darin, während der Entwicklung eine kontinuierliche Quellcodeanalyse durchzuführen. Wenn Entwickler den Code einchecken, sollte der Code automatisch auf mögliche Sicherheitsprobleme analysiert werden.
Verifizierung, ein geplanter Ansatz
Zusätzlich zu den normalen Test- und Validierungsprozessen, die Teil der Produktentwicklung sind, sollten die Verifizierung und Testpläne der Cybersicherheit Teil eines formalisierten Prozesses in der Systemverifizierungsphase sein. Die folgenden Schlüsselaktivitäten im Zusammenhang mit der Sicherheit sind wichtig.
Dynamische Analyse
Die dynamische Analyse identifiziert Speicherbeschädigungen, Racebedingungen, Probleme mit Benutzerrechten und andere kritische Sicherheitsprobleme.
Fuzz-Tests
Fuzz-Tests sollten an allen Komponenten durchgeführt werden, die Daten verarbeiten, die von außerhalb der Sicherheitszone oder Komponente stammen. Es sollte ein Fuzz-Testing-Plan erstellt werden, der die durchzuführenden Tests dokumentiert. Der Plan sollte eine Liste aller Komponenten enthalten, die mit Fuzzing behandelt werden, eine Beschreibung, wie das Fuzzing durchgeführt wird, ob Smart Fuzzing oder Dumb Fuzzing durchgeführt wird und die Pass/Fail-Kriterien für die Tests.
Penetrationstests
Neben dem Einsatz von Fuzz-Testing-Tools werden beim Testen verschiedene Penetration-Testing-Tools empfohlen. Der Testplan sollte spezifische Positionen in Bezug auf die Verwendung von Penetrationstest-Tools enthalten. Unabhängige Risikoanalysen (Drittanbieter) und Penetrationstests sollten regelmäßig in Erwägung gezogen werden.
Loslassen
Es wird empfohlen, die unten aufgeführte Dokumentation und die Risikoakzeptanz vor der Produktfreigabe auszufüllen.
Dokumentation
♦ Bedrohungsmodellierung und Risikobewertung (Bedrohungsmodell mit identifizierten Restrisiken)
- Sicherheitsanforderung und sicheres Design
- Sicherheitstestplan
- Analyseberichte
- Testberichte
- Fuzz-Testbericht
- Interner Penetrationstestbericht
- Externer Penetrationstestbericht
Bedienungsanleitung
Die Administratorführung sollte alle Administratorverantwortungen umfassen, die für den sicheren Betrieb des Produkts erforderlich sind, Verfahren zum Melden von Sicherheitslücken und alle obligatorischen oder optionalen Sicherheitsprotokolle.
Installationsrichtlinien für ein sicheres System
Die Installationsrichtlinien sollten alle im System vorhandenen Sicherheitskonfigurationsoptionen auflisten und erklären und ihre Standard- und optionalen Einstellungen notieren. Die Standardkonfiguration sollte sicher sein. Darüber hinaus sollte das Installationshandbuch alle Feld-/externen Testanforderungen enthalten, die vor der Inbetriebnahme durchgeführt werden müssen, um eine sichere Installation zu erstellen.
Incident-Reaktionsplan
Für eine strukturierte Reaktion im Falle eines Vorfalls sollten dokumentierte Verfahren erstellt werden, einschließlich einer verantwortlichen, rechenschaftspflichtigen, konsultierten und informierten Matrix mit Kontaktdaten.
Einkauf & Prozesse
Wenn der Service aufrechterhalten wird, muss eine Bestandsaufnahme (einschließlich Versionskontrolle von Hardware/Software) aufgezeichnet werden. Wenn eine Schwachstelle in Hardware- oder Software-Assets erkannt wird, muss analysiert und festgestellt werden, ob die Schwachstelle Auswirkungen auf das Asset hat.
Reaktionsplan
Es sollten schriftliche Verfahren zur Verfügung stehen, um im Falle eines Vorfalls die notwendigen nächsten Schritte auszuführen (Vorfallreaktionsplan). Der Reaktionsplan sollte die notwendigen Informationen enthalten, um mit allen denkbaren Vorfällen umzugehen und ist stark von bestimmten Vermögenswerten abhängig.
Das Unternehmen sollte auch überlegen, wie es mit der Außerbetriebnahme eines Aufzugs- oder Fahrtreppensystems umzugehen hat, da auf einigen Komponenten sensible Informationen gespeichert sein können (IDs, Anmeldeinformationen, Parametersätze usw.), die bei Offenlegung in böswilliger Absicht verwendet werden oder Erkenntnisse liefern können in das Asset und andere verknüpfte Assets. Das Löschen der Informationen oder die physische Zerstörung des Assets kann erforderlich sein. Die Stilllegung einer Anlage sollte sich im Anlageninventar widerspiegeln.
Sicherheitsstufen
Wie in Abschnitt 4.2 des Leitfadens beschrieben, sollte das Sicherheitsniveau-Ziel des Systems oder der Komponente (Zone) während der Risikobewertung definiert und das erreichte Sicherheitsniveau des Systems oder der Komponente (Zone) durch Tests überprüft werden.
Eine Überprüfung zur Überprüfung der Sicherheitsstufe sollte auch während des Lebenszyklus des Systems wiederholt werden, wenn einer der folgenden Fälle eintritt:
- Es werden Änderungen am System vorgenommen
- Neue systemrelevante Schwachstellen werden erkannt
- Neue Sicherheitspatches für Systemkomponenten werden von Anbietern oder der Open-Source-Community veröffentlicht
- In regelmäßigen Abständen, wie in den Richtlinien der Organisation festgelegt
SL 0
Sicherheitsstufen (SLs) können als das Können und die Motivation des Angreifers beschrieben werden. In SL 0 sind keine besonderen Anforderungen oder Sicherheitsmaßnahmen erforderlich. Durch die Risikobewertung wurde festgestellt, dass das System keine besonderen Sicherheitsanforderungen erfordert, beispielsweise weil die Folgen eines Missbrauchs als vernachlässigbar eingestuft werden. Bei der Bewertung, ob ein Sicherheitsniveau erreicht wurde, kann SL 0 anzeigen, dass eine Teilmenge von Gegenmaßnahmen für SL 1 implementiert wurde, aber SL 1 nicht vollständig erfüllt ist.
SL 1
Schutz vor zufälligen oder zufälligen Verletzungen ist erforderlich. Das System sollte gegen Gelegenheitsangriffe mit geringen Fähigkeiten oder unbeabsichtigten Missbrauch geschützt werden. Der Schutz erfordert ein grundlegendes Maß an Sicherheitskontrollen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten und die Authentifizierung, Autorisierung und Abrechnung des Zugriffs durchzusetzen. Sicherheitskontrollen nach SL 1 erfordern beispielsweise keine eindeutige Authentifizierung von Benutzern und Geräten. Ein empfohlener Kontrollsatz für SL 1 ist im ISA/IEC 62443-3-3 Standard enthalten, auf den in der Leitlinie verwiesen wird.
SL 2
Es ist ein Schutz vor vorsätzlichen Verstößen mit einfachen Mitteln mit geringen Ressourcen, allgemeinen Fähigkeiten und geringer Motivation erforderlich. Das System sollte vor Angreifern geschützt werden, die über die Werkzeuge und Fähigkeiten verfügen, um generische Informationstechnologiesysteme wie webbasierte Anwendungen zu missbrauchen, aber keine spezifischen Kenntnisse über Aufzugs- und Fahrtreppensysteme haben und nicht speziell auf diese Systeme abzielen. Die Motivation der Angreifer kann beispielsweise monetärer Gewinn (durch Ransomware) oder Reputationsgewinn sein. Im Gegensatz zu SL 1 erfordert der Schutz nach SL 2 granularere Sicherheitskontrollen. Beispielsweise sollten Benutzer und Geräte eindeutig authentifiziert werden.
SL 3
Ein Schutz vor vorsätzlichen Verstößen durch ausgeklügelte Mittel mit mäßigen Ressourcen, Aufzugs- und Fahrtreppensystem-spezifischen Fähigkeiten und mäßiger Motivation ist wahrscheinlich. Das System sollte vor hochqualifizierten Angreifern geschützt werden, die sich mit Sicherheits- und Aufzugs- oder Fahrtreppensystemen auskennen und diese Systeme gezielt angreifen. Ein Angreifer
Wenn Sie nach einem SL 3-System suchen, werden wahrscheinlich Angriffsvektoren verwendet, die für das spezifische, anvisierte System angepasst wurden. Die Motivation der Angreifer kann Erpressung, Rache (verärgerter ehemaliger Mitarbeiter) oder Sabotage (industrieller Konkurrent) sein. Kontrollen für SL 3 liegen außerhalb des Anwendungsbereichs der Richtlinie.
SL 4
Schutz vor vorsätzlichen Verstößen durch ausgeklügelte Mittel mit erweiterten Ressourcen, Aufzugs- und Fahrtreppensystem-spezifischen Fähigkeiten und hoher Motivation ist wahrscheinlich. Das System sollte vor hochqualifizierten Angreifern geschützt werden, die sich mit Sicherheits- und Aufzugs- oder Fahrtreppensystemen auskennen und die speziell auf Systeme mit erweiterten Ressourcen und hoher Motivation abzielen. Dies ist ähnlich wie bei SL 3, aber mit SL 4 ist der Angreifer noch motivierter und bereit, längere Zeit und Ressourcen für die Planung und Ausführung des Angriffs aufzuwenden. Bedienelemente für SL 4 liegen außerhalb des Anwendungsbereichs dieser Richtlinie. Eine genauere Beschreibung des SL-Prozesses findet sich in IEC 62443-3-3.
Sicherheitsmaßnahmen
Dieser Abschnitt empfiehlt die Verwendung von Sicherheitsmaßnahmen für SL 1 und 2 basierend auf den Systemanforderungen, die in Tabelle 6 (a) des Standards ISA/IEC 62443-3-3 definiert sind. Eine detaillierte Beschreibung der Anforderungen findet sich in dieser Norm.
Sicherheit von Servicetools
Werkzeuge, die für die Wartung von Aufzügen oder Fahrtreppen verwendet werden, sollten wirksame Sicherheitsmaßnahmen ergreifen. Servicetools lassen sich grob in drei Kategorien einteilen:
- Diejenigen, die von überall im Internet mit dem Aufzug und der Rolltreppe kommunizieren können
- Jene, die auf Proximity-Wireless-Technologien mit niedriger/mittlerer Reichweite wie Wi-Fi und Bluetooth basieren
- Diejenigen, die eine physische Nähe zu den Geräten erfordern und ein Kabel/Draht angeschlossen werden müssen, z. B. ein USB- oder serielles Kabel Gute Cybersicherheitspraktiken erfordern eine eingehende Strategie
die mehrere Sicherheitsmaßnahmen basierend auf der Zugänglichkeit des Geräts und den Auswirkungen auf das System bei einer Kompromittierung implementiert. In dieser Hinsicht würde die Zugänglichkeit in den oben genannten drei Fällen unterschiedliche Arten von Sicherheitskontrollen erfordern, abhängig vom Umfang der Systemkontrolle, die durch die Servicetools möglich ist. Wenn das Service-Tool beispielsweise in der Lage ist, Konfigurationsänderungen aus der Ferne aus dem Internet zu schreiben, wird eine Multifaktor-Authentifizierung empfohlen. Dies kann eine Kombination aus Geräteauthentifizierung mit Zertifikaten oder vorab geteilten eindeutigen Schlüsseln, Passwörtern und Whitelisting umfassen. Zumindest ist ein eindeutiges kennwortbasiertes Schema erforderlich, selbst wenn ein physischer Zugriff erforderlich ist.
PC-Härtung
Neben Sicherheitskontrollen zur Authentifizierung und Verschlüsselung ist eine ausreichende Härtung der Maschine (PC/Mobilgerät), auf der das Tool läuft, eine wichtige Anforderung an Service-Tools und eine entsprechende Zugriffskontrolle. Verwendung starker Passwörter für alle Benutzerkonten,
Aufrechterhaltung einer guten Antiviren- und Anti-Spyware-Software,
Das rechtzeitige Anwenden von Patches, das Aktivieren von Software-Firewall-Optionen und das Einschränken der Nutzung des Computers auf die beabsichtigte Funktion sind einige der Schlüsselelemente in einem Hardening-Leitfaden.
Solche Härtungsrichtlinien werden vom National Institute of Standards and Technology (NIST) und anderen Organisationen veröffentlicht und werden allen Dritten empfohlen, die an der Verwendung von Servicewerkzeugen oder der Wartung des Aufzugs beteiligt sind.
Zusammenfassung
Praxisbeispiele war eine Kooperation unter dem NEII-Banner zwischen großen Herstellern unter Beteiligung verschiedener Designzentren auf der ganzen Welt. Bei der ersten Sitzung wurde das Ziel gesetzt, in etwa einem Jahr im Schnellverfahren eine Leitlinie zu erstellen, rechtzeitig für die ISO-Plenarsitzung, um einen Arbeitsgegenstand zu initiieren, der die Cybersicherheitsprobleme der Aufzugs- / Fahrtreppen- / Fahrsteigindustrie anspricht. Aufgrund der Kritikalität stimmte der Plenarausschuss dafür, ein zweijähriges Arbeitselement zum Thema Cybersicherheit einzuleiten.
Bei der Entwicklung der Richtlinie wurde darauf geachtet, ein Dokument zu erstellen, das weltweit gültig ist und genügend Anleitungen und Referenzen enthält, um es allen Anbietern zu ermöglichen, ein Cybersicherheitsprogramm zu erstellen, unabhängig von ihrem aktuellen Reifegrad zu diesem Thema. Da es hinreichend sicher ist, dass das ISO-Team viele der gleichen Mitarbeiter umfasst, die an der Leitlinie teilgenommen haben, besteht die Wahrscheinlichkeit, dass die Leitlinie und alle erstellten Standards übereinstimmen.
Obwohl die rechtzeitige Erstellung einer Norm von entscheidender Bedeutung ist, müssen in der Norm mehrere schwierige Überlegungen berücksichtigt werden, die in der Norm nicht berücksichtigt werden Praxisbeispiele:
- Bestimmen Sie, ob ein branchenspezifischer Standard erforderlich ist.
- Erstellen Sie eine Klassifizierung von Cyberbedrohungen für Aufzugssysteme, Geräte und Netzwerke.
- Definieren Sie Sicherheitsstufen nach Aufzugsfunktionen.
- Beheben Sie die begrenzte Auswahl an anwendbaren Tools zur Analyse von Cyberrisiken.
- Bestimmen Sie, welche Teile des Cybersicherheitslebenszyklus erforderlich und nicht empfohlen sind.
- Etablieren Sie einen Test-/Zertifizierungsprozess für die Cybersicherheit.
- Bestimmen Sie, wie oft Feld-Upgrades und Wartungen erforderlich sind.
Auch wenn die Bedenken hinsichtlich des Zeitdrucks von Gerichtsbarkeiten und Kunden verstanden werden, wird es eine Herausforderung sein, diese Probleme auf weltweiter Basis zu lösen.
| Fragen zur Lernverstärkung |
| Verwenden Sie die unten stehenden Fragen zur Lernverstärkung, um für die Weiterbildungsbewertungsprüfung zu lernen online verfügbar unter www.elevatorbooks.com oder auf S. 127 dieser Ausgabe. ♦ Warum ist ein starker Lebenszyklus von Cybersicherheitsprozessen eine grundlegende Grundlage von Best Practices? ♦ Was sollte in der Produktdokumentation enthalten sein? ♦ Was sollte ein Vorfallreaktionsplan beinhalten? ♦ Was sind die Best Practices-Empfehlungen für den Einsatz von Sicherheitsmaßnahmen für SL 1 und 2? ♦ Wie können Servicetools kategorisiert werden? |