home Herstellungstechnologie Produktionsanlagen
Industrielle Fertigung
Industrielles Internet der Dinge | Industrielle Materialien | Gerätewartung und Reparatur | Industrielle Programmierung |
home  MfgRobots >> Industrielle Fertigung >  >> Industrial Internet of Things >> Internet der Dinge-Technologie

Wenn ein Angriff erfolgreich monetarisiert wird, erwarten Sie ähnliche Angriffe:Einige präventive Sicherheitsschritte

Ted Harrington von Independent Security Evaluators

Gegner entwickeln sich ständig weiter. Erfolg erzeugt Nachahmer. Und Sicherheit hat viele Facetten. Dies sind einige der wichtigsten Lehren, die Jeremy Cowan aus dem Gespräch mit Ted Harrington, Executive Partner, Unabhängige Sicherheitsbewerter zieht. .

IoT Now:Wo liegt die größte Bedrohung für die Datensicherheit von Unternehmen? Ist es eine Bedrohung für Daten  während der Übertragung oder in gespeicherten Datenassets?

Ted Harrington: Das hängt vom Bedrohungsmodell für ein bestimmtes Unternehmen ab. Bedrohungsmodellierung ist eine Übung, bei der eine Organisation die Vermögenswerte identifiziert, die sie schützen möchte, die Gegner, gegen die sie sich verteidigen möchte, und die Sammlung von Angriffsflächen, gegen die diese Gegner Kampagnen starten. Die größte Bedrohung für eine Organisation kann für eine andere Organisation nicht dieselbe sein; Bedrohungsmodellierung hilft bei der Beantwortung dieser Frage.

IoT Now:Soweit ich weiß, hat ISE in einer Studie 21 Websites für Finanz-, Gesundheits-, Versicherungs- und Versorgungskonten identifiziert (70 % der getesteten Websites), die Browsern nicht verbieten, zwischengespeicherte Inhalte auf der Festplatte zu speichern. Nach dem Besuch dieser Websites bleiben also unverschlüsselte sensible Inhalte auf den Computern der Endbenutzer zurück. Beweist das  t War gute Verfahren und Schulungen sind genauso wichtig wie aktuelle Software? Wie überzeugen Sie digitale Dienstleister, Schulungen und Prozessen Priorität einzuräumen?

TH: In erster Linie beweist diese Studie, dass Unternehmen aller Art effektiv verstehen müssen, wie Angreifer Systeme knacken. Nur wenn Sie den Angreifer verstehen, können Sie hoffen, sich gegen ihn zu verteidigen. Was diese Studie gezeigt hat, ist, dass selbst gut gemeinte Entwicklungsbemühungen, die versuchen, die Sicherheit zu berücksichtigen, immer zu kurz kommen, wenn diese Bemühungen nicht berücksichtigen, wie man ein System bricht. Es gibt verschiedene Strategien, mit denen wir versuchen, Unternehmen davon zu überzeugen, wirksamere Sicherheitsansätze zu verfolgen. Dazu gehören:

Ausbildung für Führungskräfte . Wir glauben, dass eine besser informierte Führungskraft bessere Sicherheitsentscheidungen treffen wird. Ein Nebenprodukt all unserer Sicherheitsforschung sind daher nicht nur die technischen Ergebnisse, sondern auch die Umsetzung dieser Ergebnisse auf eine für Führungskräfte sinnvolle und umsetzbare Weise.

Exploit-Demonstration . Es gibt viele natürliche Vorurteile, die der menschlichen Natur innewohnen, die dazu führen, dass Menschen ihre eigenen Fähigkeiten überschätzen und entweder die Fähigkeiten der Gegner oder die Wahrscheinlichkeit eines Kompromisses unterschätzen. Indem wir Forschung betreiben, die das Immaterielle greifbar macht, tragen wir dazu bei, solche Vorurteile zu untergraben, was wiederum hoffentlich zu sinnvollen Maßnahmen führt.

Empathie . Allzu oft wird die Sicherheitsgemeinschaft als im Widerspruch zu denen gehalten, die Dinge bauen; Ein gängiger Refrain unter Entwicklern ist, dass Sicherheit „uns verlangsamt“, und unter User Experience-Experten, dass Sicherheit „die Dinge schwierig macht“. Obwohl wir mit solchen Positionen nicht einverstanden sind, verwerfen wir sie nicht gleich; Stattdessen achten wir immer darauf, zuzuhören und zu verstehen, was unsere Kunden beunruhigt. Indem wir ihr Geschäft am besten verstehen und uns in ihre Probleme einfühlen, sind wir in der Lage, Gegenmaßnahmen zu entwickeln, die im realen Kontext, in dem ihr Unternehmen tätig ist, wirksam sind.

IoT jetzt: Im Januar wurde berichtet, dass Hacker ihren dritten Angriff auf das Romantik Seehotel Jägerwirt in Österreich durchgeführt hatten und 1.600 US-Dollar in Bitcoins verlangten, um die Kontrolle über die Türschlösser des Hotels an das Management zurückzugeben. Da das Hotel ausgebucht war, entschied sich der Hotelier leider, dem zu entsprechen und das Lösegeld zu zahlen. Welche Lehren können daraus für das Gastgewerbe und andere Sektoren gezogen werden?

TH: Daraus lassen sich mehrere Lehren ziehen.

Gegner entwickeln sich ständig weiter . Ransomware selbst ist eine relativ neue Variante eines alten Angriffstools, und ihre Verwendung zur Erzwingung von Zahlungen durch Untergraben des Gasterlebnisses ist eine wirklich bemerkenswerte Innovation. Indem Unternehmen sich nur auf die Verteidigungsparadigmen von gestern konzentrieren, werden sie nie in der Lage sein, sich gegen moderne Angreifer zu verteidigen, geschweige denn gegen zukünftige Angreifer.

Erfolg macht Nachahmer . Da es diesem Angreifer gelungen ist, seine Bemühungen zu monetarisieren, kann das Gastgewerbe vernünftigerweise davon ausgehen, dass ähnliche Angriffe folgen werden. Angreifer treffen oft ergebnisbasierte Entscheidungen wie alle anderen auch; wo sie Chancen sehen, die sich in früheren Erfolgen gezeigt haben, werden sie nachgehen.

Sicherheit hat viele Facetten . Wenn es um Sicherheit geht, hat sich das Gastgewerbe hauptsächlich auf die PCI-Compliance und den Schutz persönlich identifizierbarer Informationen (PII) über Gäste konzentriert. Dieser Fall zeigte jedoch einen Kompromiss anderer sehr wertvoller Vermögenswerte – Markenruf, Gästesicherheit und Gästeerfahrung. Überlegungen zu PCI und PII allein reichen nicht aus, um auch den Markenruf, die Gästesicherheit und das Gästeerlebnis zu schützen.

IoT Now:Welche Rolle hat ISE bei der Überwindung dieser Bedrohung gespielt?

TH :Wir beschäftigen uns seit mehreren Jahren sehr stark mit der Hotellerie. Zusammen mit meinem Kollegen von Hyatt Hotels , haben wir die Door Lock Security Working Group für den Branchenverband Hospitality Technology Next Generation ins Leben gerufen und gemeinsam den Vorsitz geführt.

Als Ergebnis dieser mehr als zweijährigen Bemühungen haben wir mehrere wertvolle Ergebnisse für die Branche geschaffen, darunter ein abstrahiertes Bedrohungsmodell für Türschließsysteme und eine Reihe von Best Practices für die Entwicklung neuer Schließsysteme wie RFID, Online-Schließsysteme und Mobilgeräte Schlüssel.

Ich habe vor kurzem zusammen mit Interel eine Führungsrolle übernommen , einem führenden Innovator von vernetzten Geräten für Hoteliers, zum Co-Vorsitz der IoT-Arbeitsgruppe für denselben Handelsverband. Die Gruppe ist derzeit im Gange und wir begleiten sie, um der Branche zu helfen, über die Einführung vernetzter Geräte nachzudenken und sicherzustellen, dass sie auf sichere Weise entwickelt und bereitgestellt werden.

IoT Now:Schenken US-Gesundheitsdienstleister dem Schutz von Patientendaten genügend Aufmerksamkeit? Oder sind sie eher darauf ausgerichtet, die Anforderungen des HIPAA (Health Insurance Portability &Accountability Act (USA, 1997)) zu erfüllen?

TH :Diese sind im Wesentlichen gleich, da HIPAA das Gesundheitswesen dazu zwingt, sich auf Patientendaten zu konzentrieren. Das eigentliche Problem der Gesundheitssicherheit ist stattdessen das, was sie nicht sind  Schwerpunkt:Schutz der Patientengesundheit. Wir haben vor kurzem eine umfangreiche Studie veröffentlicht, die im Laufe von 2 Jahren und in Zusammenarbeit mit 12 Krankenhäusern und vielen ihrer unterstützenden medizinischen Geräte und anderen Technologien erstellt wurde.

In dieser Studie wurde untersucht, wie Hacker im Gesundheitswesen Patienten Schaden oder Tod zufügen können. Wir haben bewiesen, dass dies nicht nur sehr gut möglich ist, sondern auch, dass es in vielen Fällen einfach ist. Grundsätzlich reichen Bemühungen, nur Patientendaten zu schützen, nicht aus, um auch die Gesundheit der Patienten zu schützen. Auf die Gefahr hin, das Offensichtliche zu übertreiben, könnte dies derzeit das bedeutendste Sicherheitsproblem sein.

IoT Now:Was sind die drei wichtigsten Maßnahmen, die IoT-Dienstleister jetzt ergreifen sollten  sicherstellen, dass die Daten und Identitäten ihrer Kunden sicher sind?

TH : Sicherheit einbeziehen. Vom Moment der Erfassung der Anforderungen bis weit nach der Bereitstellung sollte Sicherheit in jeder Phase des Entwicklungsprozesses oberste Priorität haben. Dies führt offensichtlich zu effektiverer Sicherheit, aber überraschenderweise führt es auch zu weniger kostspieliger und weniger ressourcenintensiver Sicherheit.

Ted Harrington, Executive Partner von Independent Security Evaluators aus Baltimore, wurde von Redaktionsleiter Jeremy Cowan interviewt.


Internet der Dinge-Technologie

  • Eingebettet
  • Sensor
  • Cloud Computing
  • Internet der Dinge-Technologie
    1. Firmware-Sicherheit neu definieren
    2. Verwalten der IIoT-Sicherheit
    3. SolarWinds-Angriff unterstreicht Notwendigkeit einer Cybersicherheitsentscheidung auf Vorstandsebene
    4. Fünf Schritte zur Einrichtung eines effektiven vorbeugenden Wartungsprogramms
    5. 3 Schritte für eine bessere Zusammenarbeit zwischen Netzwerk- und Sicherheitsexperten
    6. Sicherung des IoT gegen Cyberangriffe
    7. Vier Schritte zur Einstellung des besten CISO in einer IoT-Welt
    8. Sechs Schritte zur Sicherung eingebetteter Systeme im IoT
    9. Drei Schritte für globale IoT-Sicherheit
    10. ICS-Sicherheitsangriff ermöglicht die Fernsteuerung von Gebäuden