home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Manufacturing Technology >> Industriële technologie

Wat de SolarWinds-hack ons ​​vertelt over IoT en beveiliging van de toeleveringsketen

Ongeacht de branche, cybersecurity-inbreuken lijken in omvang en schaal te escaleren.

De uitgebreide hackcampagne die Rusland drie maanden geleden lanceerde en die maar liefst 18.000 klanten van de in Texas gevestigde softwaremaker SolarWinds Corp. trof, is een flagrant voorbeeld van het verre bereik van een potentiële supply chain-aanval.

De term "supply-chain risk" is een grote paraplu die veel beveiligingsbedreigingen en kwetsbaarheden dekt. In de SolarWinds-zaak hebben de dreigingsactoren, waarvan wordt aangenomen dat ze namens een buitenlandse regering werkten, de software-updates voor een populaire tool SolarWinds Orion getrojaniseerd. De aanval liet potentiële achterdeurtoegangspunten over aan honderden bedrijven en negen federale agentschappen. En dat is alleen wat we weten:we zullen waarschijnlijk de komende jaren de gevolgen van deze inbreuk ontdekken.

Andere supply chain-risico's kunnen zich manifesteren als beveiligingsfouten die in elektronische apparaten zijn ingebakken. Fabrikanten van smartphones, printers, routers, internet-of-things-apparaten en kritieke infrastructuursystemen kopen componenten van derden. Deze componenten worden geleverd met ingebouwde firmware die mogelijk bestaande beveiligingsfouten bevat. Bovendien is een deel van die firmware niet door de fabrikant geschreven, maar afkomstig van open-sourcecode die wordt onderhouden door vrijwilligers in de IT. gemeenschap.

Dit is wat de bredere supply chain-industrie moet weten over cyberaanvallen.

Versluierde software

Er is een groeiende beweging van kopers die uitgebreide lijsten van de software in een apparaat eisen, maar voorlopig is het zeldzaam dat fabrikanten deze leveren. Die lijst, bekend als een software stuklijst (SBOM), is de sleutel tot beveiliging van de toeleveringsketen, maar het is belangrijk op te merken dat het geen wondermiddel is. Een SBOM zou bijvoorbeeld de achterdeur van SolarWinds niet hebben gepakt. Wat nodig was, was dat een lid van het beveiligingsteam de definitieve softwarebestanden zelf analyseerde, voordat deze aan klanten werden vrijgegeven.

Een achterbank

Softwareontwikkelaars en apparaatfabrikanten zijn overgestapt op snelle ontwikkelingsprocessen. Wat de software betreft, pusht dit flexibele ontwikkelingsraamwerk talloze en snelle updates, soms om nieuwe functies toe te voegen, soms om beveiligingsfouten te verhelpen. Er is een vergelijkbare push aan de apparaatkant van de vergelijking - en dit geldt met name voor IoT-apparaten die als basisproducten in bulk worden verkocht.

In beide gevallen komt de beveiliging vaak op de achtergrond. Het is aan de leiding van een organisatie om het risico te herkennen als er geen prioriteit wordt gegeven aan beveiliging, en het is aan ontwikkelingsteams om proactief te zijn in het beperken van die risico's voordat ze kunnen worden uitgebuit. De realiteit is dat aanvallers de industrie ver vooruit zijn. Dat heeft organisaties in een reactieve houding gebracht en heeft geleid tot tal van regels en normen. Het is belangrijker dan ooit voor bedrijven, fabrikanten en kopers om proactief te werk te gaan.

Potentieel voor toegang

Wereldwijde toeleveringsketens zijn bijzonder aantrekkelijke doelwitten geworden vanwege hun grotendeels verbonden en vaak slecht beveiligde systemen. Het is gebruikelijk om software op meer dan één apparaat te dupliceren. Als een hacker een kwetsbaarheid in een deurbelcamera vindt, kan het ook mogelijk zijn om een ​​ander merk deurbel, een smart-tv, een aangesloten koelkast of een huisthermostaat te misbruiken.

Voor hackers is een kwetsbaarheid die een enkel apparaat treft onbeduidend, omdat het moeilijk is om geld te verdienen met dit soort hacks, maar alomtegenwoordige kwetsbaarheden in de toeleveringsketen kunnen veel waardevoller zijn. Voor leidinggevenden in de toeleveringsketen is het belangrijk om na te denken over alle apparaten in uw bedrijf die scharnieren naar andere systemen mogelijk kunnen maken.

De inbreuk op SolarWinds was een wake-up call voor velen binnen en buiten de cyberbeveiligingsgemeenschap. Voor anderen was het een bevestiging van wat we al wisten en waar we zo hard aan hebben gewerkt om het te voorkomen.

Het belangrijkste voordeel van deze aanval is dat we het vertrouwen dat we stellen in leveranciers, software en apparaten opnieuw moeten evalueren. Ongeacht waar u zich in de toeleveringsketen bevindt, van een zakelijke gebruiker van software tot een OEM tot een softwareleverancier, u stelt waarschijnlijk ongelooflijk veel vertrouwen in uw leveranciers en hun producten. We moeten heroverwegen hoe we die vertrouwensrelaties beoordelen, en belangrijker nog, we moeten begrijpen hoe we de veiligheid van deze software, firmware en hardware gedurende de hele levenscyclus kunnen verifiëren.

Matt Wyckhouse is oprichter en CEO van Finite State.


Industriële technologie

  • Productieproces
  • 3d printen
  • Automatisering Besturingssysteem
  • Industriële technologie
    1. IoT uitpakken, een serie:de beveiligingsuitdaging en wat u eraan kunt doen
    2. Het overlijden van de onderhoudsafdeling en wat we eraan kunnen doen
    3. Cyberbeveiliging en het internet der dingen:toekomstbestendige IoT-beveiliging
    4. Wat u moet weten over IoT en cyberbeveiliging
    5. Het belang van $ 6 biljoen van beveiligingsstandaarden en -regelgeving in het IoT-tijdperk
    6. 5G, IoT en de nieuwe supply-chain-uitdagingen
    7. Wat de marine me heeft geleerd over het beheren van toeleveringsketens en logistiek
    8. Wat is IoT-beveiliging?
    9. Industriële IoT-beveiliging:uitdagingen en oplossingen
    10. Wat is CMMS-software? Een blik op CMMS-software, de voordelen ervan en hoe u het beste CMMS-softwareprogramma kiest
    11. EAM versus CMMS:wat is het verschil?