[Webinar Recap] Zero Trust Manufacturing für Lieferketten nutzen

Bei so vielen Partnern in der Lieferkette kann man sich nicht darauf verlassen, dass die Sicherheit des Herstellungsprozesses gewährleistet, dass die hardware, die Firmware oder die Anmeldedaten des Geräts nicht verändert wurden.

In einem kürzlich abgehaltenen Webinar mit Kaeo Caindec, Principal Analyst bei der Farallon Technology Group, haben wir erörtert, wie Hersteller die Kontrolle über die Gerätesicherheit innerhalb ihrer komplexen Lieferkette erlangen können, und zwar durch einen Zero-Trust-Herstellungsansatz.

Sie können unsere heutige Diskussion verfolgen und einige der wichtigsten Erkenntnisse aus unserem jüngsten Webinar zum Thema Zero Trust Manufacturing nachlesen : Wie Sie IoT Gerätesicherheit in Ihre Lieferkette einbinden.

Beginnen wir mit dem Verständnis des Zero-Trust-Manufacturing"-Ansatzes und der Frage, wie dieser den Lebenszyklus Ihrer Gerätefertigung besser absichern kann.

Mit der zunehmenden Verbreitung von vernetzten Geräten und IoT gibt es Milliarden von Geräten, die im Umlauf sind. Und das sind nicht nur Haushaltsgeräte, sondern auch industrielle Steuergeräte, die Sicherheitsrisiken bergen. Wenn wir von "Zero Trust Manufacturing" sprechen, meinen wir eigentlich einen Ansatz für die Entwicklung und Herstellung, Prüfung und Lieferung vertrauenswürdiger Produkte.

Wenn man sich den Entwicklungsprozess und die Anzahl der beteiligten Unternehmen vor Augen führt, vom Entwurf im computergestützten Design (CAD) über die Einbettung von Chips, Geräten und Komponenten bis hin zu den software Entwicklern, die während des gesamten Prozesses beteiligt sind, und den Herausforderungen bei der sicheren Auslieferung des Produkts. An jedem Punkt gibt es viele Ansatzpunkte, um das Gerät zu kompromittieren.

Bei der Zero-Trust-Fertigung geht es darum, den gesamten Prozess von Anfang bis Ende zu betrachten, um sicherzustellen, dass wir vertrauenswürdige Geräte produzieren und ausliefern.

Im obigen Diagramm können Sie sehen, dass es an bestimmten Stellen Schlüssel und Ausweise gibt. Dieser Lieferzyklus zeigt die verschiedenen Schritte, um herauszufinden, welche Art von Schlüssel, Zertifikat oder Berechtigungsnachweis Sie platzieren müssen.

Ob irgendwo in einem sicheren Element, auf einer Seite von hardware , wo ein privater Schlüssel erstellt wird, oder in der Fabrik bei der Herstellung, Sie brauchen von Anfang an eine ganzheitliche Strategie.

So müssen Sie beispielsweise über einen autorisierten Arbeitsplatz verfügen, der die Schlüsselgenerierung, die Schlüsselinjektion und das Ende der Lebensdauer des Schlüssels durchführt, um sich vor Verstößen und Schwachstellen zu schützen.

Diese Angriffe folgen interessanterweise einem grundlegenden Muster:

1. Der Bedrohungsakteur oder der Bösewicht sendet entweder eine Phishing-E-Mail oder
2. Greift ein System direkt an.
3. Sie führen häufig entweder eine Erkundung durch, um Anmeldeinformationen zu stehlen und abzuhören, oder sie brechen in einen Prozess ein, um private Informationen über die Geräte selbst zu stehlen.
4. Sie können dies nutzen, um weiter einzudringen und ein Gerät zu kompromittieren. In diesem Fall könnte es sich um ein Gerät innerhalb eines industriellen OT-Netzwerks handeln. Von diesem Gerät aus können sie dann seitliche Angriffe starten, und dieses Muster wird für alles wiederholt verwendet.

Obwohl 80 % der Sicherheitsverletzungen mit Brute-Force-Methoden oder gestohlenen Zugangsdaten begangen wurden, geht es hier nicht nur um Informationen, Daten oder Datenschutz. Wir sprechen über Bedrohungsakteure, die Geräte kompromittieren, um die Kontrolle zu übernehmen.

Forrester hat vor einigen Jahren den Begriff "Zero Trust Networking" geprägt. Bei Zero Trust Networking geht es darum, dass Endbenutzer und Geräte sicher auf ein Netzwerk zugreifen können. Zu den grundlegenden Prinzipien einer Zero-Trust-Networking-Architektur gehört die Bereitstellung von Zugangskontrollen, die den Endbenutzer authentifizieren oder eine Zwei-Wege-Multifaktor-Authentifizierung durchführen können.

Dies bedeutet, dass Sicherheitsvorkehrungen getroffen werden müssen, um die Ausweitung von Privilegien zu verhindern, und dass Mikrosegmentierung, Firewalls für den Zugang zu allen privaten Back-End-IT-Systemen des Unternehmens bis hin zur öffentlichen Cloud und IoT Netzwerken und Geräten eingesetzt werden müssen.

Dieser Ansatz konzentriert sich auf Authentifizierung, Verschlüsselung, Anmeldung, Benutzer und passwortgeschützte Datenbanken. Diese Sichtweise beruht jedoch auf der Tatsache, dass Sie den Personen und ihren Anmeldedaten vertrauen und darauf vertrauen, dass sie sind, wer sie sind.

Zero-Trust-Networking kann scheitern, weil nicht definiert ist, wie sichergestellt werden kann, dass man den Anmeldeinformationen und Identitäten der Geräte, die im Netzwerk kommunizieren, vertrauen kann.

Mit der Zero-Trust-Fertigung stellen Sie die Integrität und Vertrauenswürdigkeit der Systeme und Geräte sicher, während das Zero-Trust-Networking für eine sichere Kommunikation sorgt.

Möchten Sie mehr über die Zero-Trust-Fertigung erfahren? Sehen Sie sich das On-Demand-Webinar an, um mehr darüber zu erfahren, was nötig ist, um einen Zero-Trust-Ansatz in der Fertigung umzusetzen. Sie erfahren mehr über die Komplexität und die Herausforderungen in der Lieferkette und wie Sie die Sicherheit von IoT in Ihre Lieferkette einbinden können.