ANPACKEN SORISIKEN IN DER SOFTWARELIEFERKETTE MIT IEC 62443 UND SBOM

Dieses Whitepaper richtet sich an Sicherheitsteams von Anlagenbesitzern und Produktlieferanten industrieller Automatisierungs- und Steuerungssysteme (IACS).

BEKÄMPFUNG VON SOFTWARE-LIEFERKETTENRISIKEN MIT IEC 62443 UND SBOM

Sind Sie bereit, die Cybersicherheit und Compliance Ihrer Produkte zu automatisieren?

Machen Sie Cybersicherheit und Compliance mit ONEKEY effizient und effektiv.

Eine Demo buchen
Ressourcen
>
Whitepapers
>
BEKÄMPFUNG VON SOFTWARE-LIEFERKETTENRISIKEN MIT IEC 62443 UND SBOM
Inhaltsverzeichnisliste

Zusammenfassung

Produktsicherheitslebenszyklus für industrielle Automatisierungs- und Steuerungssysteme

Die Minderung von Lieferkettenrisiken ist eine Kernanforderung von IEC 62443

Integrieren Sie automatisierte SBOM in Prozesse, automatisieren Sie die SBOM-Generierung und verknüpfen Sie sie mit bekannten Sicherheitslücken

Keine Abkürzung zur IEC 62443-Konformität!

ONEKEY 360: Beratung und Automatisierung

Wichtige Erkenntnisse

ZUSAMMENFASSUNG

Komponenten, die in einer IACS-Umgebung verwendet werden, müssen erhöhte Sicherheitsanforderungen erfüllen und gleichzeitig wichtige Funktionen und Dienste beibehalten. Die Normenreihe IEC 62443 bietet mit Teil 4-1 einen umfassenden Rahmen für Produktlieferanten, um einen sicheren Produktentwicklungszyklus aufzubauen. Der in diesem Framework enthaltene Defense-in-Depth-Ansatz kann zwar die Auswirkungen von Sicherheitslücken abschwächen, einige Sicherheitslücken müssen jedoch während des gesamten Produktlebenszyklus behoben werden.

SBOMs tragen dazu bei, die Sichtbarkeit der gesamten Lieferkette zu erhöhen und die Sicherheitslage der IACS-Lieferanten und -Betreiber zu stärken, indem sie eine risikobasierte Patch-Strategie ermöglichen, wenn neue Sicherheitslücken auftauchen. In dem Whitepaper wird erörtert, wie die IEC 62443-4-x zur Minderung dieser Risiken vorschlägt und wie der Softwareentwicklungsprozess ausgereift werden muss, um diese Schutzmaßnahmen zu berücksichtigen. Schließlich ist zur Reduzierung der Markteinführungszeit, der Kosten und der Ressourcen aufgrund des manuellen Aufwands ein hohes Maß an Automatisierung bei der Generierung von SBOMs und der Durchführung von Sicherheitsanalysen zur Bewältigung sicherheitsrelevanter Probleme gemäß IEC 62443-4-1 erforderlich.

ANGRIFFE AUF IACS NEHMEN ZU

Cyberangriffe auf industrielle Automatisierungs- und Steuerungssysteme (IACS) nehmen zu.1 In der Vergangenheit waren IT- und IoT-Systeme überwiegend das Ziel von Cyberkriminellen. Dieselben Bedrohungen, wie Ransomware-Angriffe und die Zusammenführung von Geräten zu riesigen Botnetzen, betreffen jedoch zunehmend auch IACS und OT. Der Grund dafür ist einfach: Bevor IACS intelligent und vernetzt wurden, wurden sie meist in Air-Gap-Umgebungen betrieben, waren nicht mit dem Internet verbunden und meistens nicht einmal mit lokalen Unternehmensnetzwerken verbunden.

DIE VERNETZUNG DER IACS NIMMT ZU, EBENSO WIE IHRE CYBER-RESILIENZ

Um IACS-Komponenten zu steuern oder Änderungen an ihrer Konfiguration vorzunehmen, müsste ein Techniker physisch mit der Maschine interagieren. Mit der zunehmenden Digitalisierung ändert sich dies rasant. IACS-Umgebungen sind mit internen Netzwerken und dem Internet verbunden, um Daten in andere Geschäftsprozesse einzuspeisen und die Konfiguration und Verwaltung aus der Ferne zu ermöglichen.

Während eine verbesserte Konnektivität im Allgemeinen die Produktivität erhöht und die Verwaltung von IACS-Umgebungen erleichtert, gehen diese Fortschritte mit einem erhöhten Cyberrisiko einher: Die Bedrohungslandschaft verändert sich. Es ist nicht mehr möglich, sich ausschließlich auf die Sicherheitskontrollen der Umgebung und des Perimeters zu verlassen.

Daher müssen dieselben Sicherheitsprinzipien, die für IT-Systeme gelten, an die industrielle Welt angepasst werden. Tiefgreifende Verteidigung, Sicherheit durch Design und Zero-Trust müssen angewendet werden, um die Widerstandsfähigkeit der IACS gegenüber Cyberangriffen zu erhöhen und gleichzeitig wichtige Funktionen und Dienste aufrechtzuerhalten. Während sich herkömmliche IT-Sicherheit hauptsächlich mit der Vertraulichkeit von Daten befasst, muss eine IACS-Sicherheitslösung die Integrität und Verfügbarkeit der physischen Ressourcen schützen, die für den kontrollierten Prozess unerlässlich sind.

Teilen

Produktsicherheitslebenszyklus für industrielle Automatisierungs- und Steuerungssysteme

IEC 62443 BIETET ANLEITUNGEN ZUR ERSTELLUNG VON CYBERRESISTENTEN IACS

Diese erhöhte Risikosituation führt zu erhöhten Sicherheitsanforderungen für Anlagenbesitzer und Betreiber von IACS. Um den gestiegenen Sicherheitsanforderungen im Zusammenhang mit IACS gerecht zu werden, arbeitete die International Electrotechnical Commission (IEC) seit 2009 an einer Reihe von Standards, die sich mit der Cybersicherheit der Betriebstechnologie in Automatisierungs- und Steuerungssystemen befassen: der IEC 62443. Wie in Abbildung 1 dargestellt (Geltungsbereich der IEC 62443). IEC 62443 besteht aus 13 Teilen und richtet sich an alle Rollen komplexer Industrieumgebungen: Anlagenbesitzer, Systemintegrator und Produktlieferant (die Anbieter von IACS-Komponenten, die seien eingebettete Geräte, Netzwerkkomponenten und Host-Geräte). Im Mittelpunkt aller Teile steht die Unterstützung tiefgreifender Verteidigungsstrategien sowie der Prinzipien von Security by Design für industrielle Umgebungen. Durch die Einhaltung umfassender Schutzmaßnahmen ist das Vertrauen in die Netzwerk- und Perimetersicherheit unzureichend. Die Geräte selbst müssen Cyberangriffen standhalten.

Die Teile IEC 62443-4-1 und IEC 62443-4-2 befassen sich mit Sicherheitsanforderungen für Geräte. Während sich IEC 62443-4-2 auf die Produktsicherheit selbst konzentriert, definiert IEC 62443-4-1 Anforderungen an die Lebenszyklusprozesse der Produktentwicklung. Dies stellt sicher, dass ein sicheres Produkt nicht das Ergebnis glücklicher Umstände ist, sondern wiederholbar, transparent und messbar ist, wenn angemessene Sicherheitskontrollen vorhanden sind.

Bereit zur automatisierung ihrer Cybersicherheit & Compliance?

Machen Sie Cybersicherheit und Compliance mit ONEKEY effizient und effektiv.