ClickCease Erfüllen Sie die Bedingungen des IoT Cybersecurity Improvement Act mit KernelCare - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Erfüllen Sie die Bedingungen des IoT Cybersecurity Improvement Act mit KernelCare

18. Dezember 2020. TuxCare PR Team

Erfüllen Sie die Anforderungen des IoT Cybersecurity Improvement Act mit KernelCareLetzte Woche unterzeichnete der US-Kongress offiziell ein überparteiliches Gesetz, Das Gesetz zur Verbesserung der Cybersicherheit im Internet der Dinge von 2020oder das IoT Cybersecurity Improvement Act of 2020. Gesponsert von Reps. Will Hurd (R-Tex) und Robin Kelly (D-Ill). Das Gesetz soll sicherstellen, dass die Regierung nur sichere Geräte kauft und bestehende Sicherheitslücken schließt. Das Gesetz betrifft in erster Linie Anwendungen der US-Bundesregierung, Lieferantenpartner, Gerätehersteller und Akteure, die mit der Regierung zu tun haben. Dieses Gesetz hat jedoch das Potenzial, Auswirkungen zu haben, die über die Sicherheitsvorkehrungen für Regierungsstellen hinausgehen, da die Privatwirtschaft und die Verbraucher höchstwahrscheinlich ebenfalls von den neuen Standards für vernetzte Geräte profitieren werden.

Inhalte:

  1. Bedrohungen der Cybersicherheit und Datenschutzverletzungen bei Behörden
  2. Neue gesetzliche Anforderungen in Bezug auf IoT-Patching
  3. Was bedeutet das für die Regierung?
  4. Wie kann KernelCare für IoT die IoT-Sicherheit im Unternehmen unterstützen?
  5. Rechtzeitiges Patching ist der Schlüssel zur Konformität
  6. Schlussfolgerung

 

 

Bedrohungen der Cybersicherheit und Datenschutzverletzungen bei Behörden

Bedrohungen der Cybersicherheit und Datenschutzverletzungen bei Behörden

Einem aktuellen Accenture-Bericht zufolge haben Angreifer nicht nur das Ziel, Daten zu stehlen, sondern sie auch zu zerstören. Die Zerstörung von Daten durch Malware wie Ransomware könnte potenziell größere Auswirkungen auf die Zuverlässigkeit, Produktivität und Datenintegrität haben. Die Umfrage ergab, dass die Angriffe in den letzten 5 Jahren um 72 % zugenommen haben und die Kosten für eine Sicherheitsverletzung von 11,7 Millionen Dollar auf 13 Millionen Dollar gestiegen sind. Die Ponemon-Studie "Cost of a Data Breach " zeigt, dass es im Durchschnitt 280 Tage dauert, um eine Sicherheitsverletzung zu erkennen und einzudämmen - was bedeutet, dass Angreifer fast ein Jahr lang Zugang zu den Daten haben, bevor das Unternehmen reagiert und die Sicherheitsverletzung behebt.

ABI Research prognostiziert, dass die Zahl der IoT-Verbindungen in allen wichtigen IoT-Märkten bis 2026 23 Milliarden übersteigen wird und dass sie mit ständigen und sich ständig weiterentwickelnden Cyber-Bedrohungen konfrontiert sind. Diese Bedrohungen zwingen Implementierer und IoT-Anbieter dazu, neue digitale Sicherheitsoptionen zu nutzen und Investitionen in sichere Geräteauthentifizierungsdienste voranzutreiben, wobei dieser Markt bis 2026 einen Umsatz von 8,4 Milliarden US-Dollar erreichen soll. Der "2020 Threat Intelligence Report" von Nokia hat ergeben, dass das IoT für 32,72 % aller in mobilen Netzwerken beobachteten Infektionen verantwortlich ist, gegenüber 16,17 % im Jahr 2019.

IoT-Datenverletzungen

Allein in den letzten 10 Jahren wurden durch die 10 größten Datenschutzverletzungen bei Behörden 348 Millionen persönliche Daten von Amerikanern kompromittiert, darunter Sozialversicherungsnummern, Geburtsdaten, Führerscheinnummern, Kredit- und Debitkartennummern, Privatadressen, Telefonnummern, Informationen über Wählerregistrierung und Parteizugehörigkeit sowie Patientenakten und Rezepte. Einige dieser Datenschutzverletzungen waren auf menschliches Versagen zurückzuführen, andere wiederum auf die Speicherung der Daten auf einem öffentlichen Server, auf defekte Festplatten, unverschlüsselte Daten und auf die Verletzung einer staatlichen Gesundheitswebsite.

Diese Daten sind ein weiterer Beweis dafür, dass die Sicherheit von IoT-Geräten immer wichtiger wird, um den Behörden, Unternehmen und Endnutzern, die mit IoT-Geräten interagieren, zu versichern, dass ihre persönlichen und Unternehmensdaten vollständig geschützt sind. Weltweit fordern und überprüfen Regulierungsbehörden zunehmend, dass die Geräte vor und nach der Produktfreigabe so sicher wie möglich sind. In den Vereinigten Staaten hat beispielsweise die Food and Drug Administration (FDA) Richtlinien veröffentlicht, die Anforderungen für medizinische Geräte enthalten und viele Aspekte der Geräteentwicklung und -wartung vorschreiben.

 

 

Neue gesetzliche Anforderungen in Bezug auf IoT-Patching

Neue gesetzliche Anforderungen in Bezug auf IoT-Patching

Die Bundesregierung hat am 4. Dezember 2020 den IoT Cybersecurity Improvement Act offiziell in Kraft gesetzt. Dieses Gesetz soll sicherstellen, dass nur sichere Geräte von der US-Regierung gekauft werden, und schließt bestehende Schwachstellen. Das Gesetz wurde mit der Absicht in Kraft gesetzt, die IoT-Infrastruktur der Regierung sicherer zu machen, könnte aber auch Auswirkungen auf die Privatwirtschaft und die Verbraucher haben, die höhere Sicherheitsstandards für Geräte benötigen.

Der Cybersecurity Improvement Act legt die Sicherheitsstandards nicht fest, sondern beauftragt das National Institute of Standards and Technology (NIST) damit. Die Sicherheitsstandards wurden zwar noch nicht erstellt oder veröffentlicht, aber was auch immer festgelegt wird, wird einen tiefgreifenden Einfluss auf den privaten Sektor und die Verbraucher haben.

Das NIST hat ab der Unterzeichnung des Gesetzes 90 Tage Zeit, um Standards und Richtlinien für die Sicherheit von IoT-Geräten zu entwickeln, die von einer Bundesbehörde kontrolliert werden oder sich in deren Besitz befinden, und muss mit seinen anderen Bemühungen für IoT-Geräte übereinstimmen, insbesondere mit der Entwicklung und dem Identitäts-, Patching- und Konfigurationsmanagement.

Der Zeitstrahl

Nach der Unterzeichnung des Gesetzes hat das NIST 180 Tage Zeit, um Richtlinien für die Meldung, Veröffentlichung, Koordinierung und Entgegennahme von Informationen über Sicherheitsschwachstellen in Bundesbehörden zu erstellen, die auch für Auftragnehmer und Lieferanten der Bundesregierung gelten.

Das Office of Management and Budget (OMB) wurde mit der Entwicklung und Überwachung der Umsetzung von Richtlinien, Grundsätzen, Standards oder Leitlinien beauftragt, die zur Behebung von Sicherheitslücken in Informationssystemen erforderlich sind und vom NIST bereitgestellt werden.

Der Gesetzentwurf sieht auch vor, dass das NIST die Standards und Richtlinien alle fünf Jahre überprüft und gegebenenfalls überarbeitet, und das OMB sollte seine Politik oder Grundsätze aktualisieren, damit sie mit den Überarbeitungen des NIST übereinstimmen.

In diesem neuen Gesetz heißt es: "Einer Behörde ist es untersagt, ein IoT-Gerät zu beschaffen, zu erhalten oder zu verwenden, wenn die Behörde bei der Überprüfung eines Vertrags feststellt, dass die Verwendung eines solchen Geräts die Einhaltung der Normen und Richtlinien verhindert, vorbehaltlich einer Ausnahmeregelung, wenn dies für die nationale Sicherheit oder für Forschungszwecke erforderlich ist oder wenn ein solches Gerät durch alternative wirksame Methoden gesichert wird."

Der Abgeordnete Will Hurd (R-Tex), der den Internet of Things Cybersecurity Improvement Act of 2020 unterstützt hat, sagte in einer Erklärung: "Wenn man ein neues Widget mit bekannten Schwachstellen in die Bundesinfrastruktur einführt, sollten diese Schwachstellen behoben werden."

 

Was bedeutet das für die Regierung?

Was bedeutet das für die Regierung?

Die Regierung der Vereinigten Staaten hat sich über die Sicherheitsschwachstellen der Systeme, Anbieter, Gerätehersteller und Beteiligten, mit denen sie zusammenarbeiten, informiert. Neben dem Internet of Things Cybersecurity Act of 2020 hat die Regierung weitere Gesetze erlassen, die zur Bekämpfung potenzieller Hacking-Versuche beitragen.

Eine der Methoden, mit denen sie in dieser technologischen Welt ihre Systeme und Informationen schützen, besteht darin, dass sie von ihren Anbietern verlangen, FedRAMP-konform zu werden. FedRAMP ist das Federal Risk and Authorization Management Program. Dieses Regierungsprogramm "bietet einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten. FedRAMP befähigt Behörden, moderne Cloud-Technologien zu nutzen, wobei der Schwerpunkt auf der Sicherheit und dem Schutz von Bundesdaten liegt, und trägt dazu bei, die Einführung sicherer Cloud-Lösungen zu beschleunigen."

Die Regierung hat 2018 ihre Nationale Cyberstrategie veröffentlicht und erklärt: "Neue Bedrohungen und eine neue Ära des strategischen Wettbewerbs erfordern eine neue Cyber-Strategie, die auf neue Realitäten reagiert, Schwachstellen reduziert, Gegner abschreckt und Chancen für das amerikanische Volk sichert, sich zu entfalten. Die Sicherung des Cyberspace ist von grundlegender Bedeutung für unsere Strategie und erfordert technische Fortschritte und administrative Effizienz in der gesamten Bundesregierung und im Privatsektor. Die Regierung ist sich auch darüber im Klaren, dass ein rein technokratischer Ansatz für den Cyberspace nicht ausreicht, um die Art der neuen Probleme, mit denen wir konfrontiert sind, zu lösen. Die Vereinigten Staaten müssen auch politische Entscheidungen treffen, um Kosten aufzuerlegen, wenn sie böswillige Cyber-Akteure abschrecken und eine weitere Eskalation verhindern wollen." Die Nationale Cyberstrategie der Regierung stellt sicher, dass dies der Fall ist:

  • Sicherung von Bundesnetzen und Informationen
  • Sicherung kritischer Infrastrukturen
  • Bekämpfung der Computerkriminalität und Verbesserung der Berichterstattung über Vorfälle
  • Förderung einer dynamischen und widerstandsfähigen digitalen Wirtschaft
  • Förderung und Schutz des Erfindungsreichtums der Vereinigten Staaten
  • Entwicklung eines überragenden Personals im Bereich der Cybersicherheit
  • Stärkung der Cyber-Stabilität durch Normen für verantwortungsvolles staatliches Verhalten
  • Zuweisung und Abschreckung von inakzeptablem Verhalten im Cyberspace
  • Förderung eines offenen, interoperablen, zuverlässigen und sicheren Internets
  • Aufbau internationaler Cyber-Kapazitäten

 

 

 

Wie kann KernelCare für IoT die IoT-Sicherheit in Unternehmen unterstützen?
Wie kann KernelCare für IoT die IoT-Sicherheit in Unternehmen unterstützen?

Viele Geräte, die industrielle Automatisierungssysteme antreiben, müssen 24x7x365 in Betrieb sein, und Unternehmen sollten IoT-Geräte immer aktualisieren, um die Cybersicherheit zu verbessern. Bei Millionen von Geräten wird dies jedoch zu einer schwierigen Aufgabe. IoT-Geräte, die auf dem Linux-Kernel laufen, brauchen eine hieb- und stichfeste Sicherheit. Sie sollten alle aktualisierbar sein. Und ebenso wichtig ist, dass Unternehmen in der Lage sein müssen, sie so schnell wie möglich zu patchen.

Ein Neustart ist die Methode, mit der die meisten Unternehmen Sicherheitsupdates einspielen. Da ein Neustart jedoch mühsam ist, verzögert sich das Kernel-Patching immer, und zwar um Wochen oder sogar Monate. Wenn die Regierung oder das Unternehmen das Gerät neu starten, um die Sicherheitslücke im Linux-Kernel des IoT-Geräts zu schließen, sind sie nicht annähernd so sicher, wie sie sein könnten.

KernelCare für IoT bietet Live-Patching für Linux-Kernel in IoT-Geräten ohne Unterbrechung der laufenden Prozesse und Abläufe.

KernelCare IoT wurde für stromsparende, leichtgewichtige, arm-basierte Chipsatzgeräte entwickelt, kann aber auch auf Intel-basierten Geräten wie Edge-Gateways eingesetzt werden. Die neuen Patches werden vom KernelCare-Team entwickelt, kompiliert und getestet. Sie werden in der Regel innerhalb weniger Tage nach dem Bekanntwerden neuer Sicherheitslücken veröffentlicht, sodass Ihre Geräte sicher sind. Ein winziges Kernelmodul auf dem IoT-Gerät lädt den neuen sicheren Code in eine Partition, friert alle Prozesse ein, während der neue Code in den Speicher geschoben wird, und hebt dann das Einfrieren aller Prozesse auf, so dass das Gerät weiter funktioniert. Dies alles geschieht innerhalb von Nanosekunden, so dass keine Unterbrechung des Dienstes oder ein Failover-Zustand verursacht wird. Die Patches können je nach Bedarf aus der IoT-Netzwerkinfrastruktur heraus bereitgestellt werden - über ein privates Netzwerk, over the air (OTA) oder über das öffentliche Internet von einem Cloud-Server aus, wenn die Geräte Zugang haben.

Atomare binäre Patches von KernelCare

Es ist auch wichtig zu wissen, dass jeder neue Patch, den wir erstellen, eine atomare Binärdatei ist. Das bedeutet, dass jeder neue Patch alle vorherigen Schwachstellen für die jeweilige Kernel-Version, für die er erstellt wurde, entschärft. Diese Methode ist viel sicherer und stabiler als das Aufspielen neuer Patches auf alte Patches und hat es vielen KernelCare-Kunden ermöglicht, Geräte über 6 Jahre lang ohne Neustart zu betreiben. Mehr als 2.200 aufeinanderfolgende Betriebstage, alle Schwachstellen wurden in dieser Zeit gepatcht, und es gab keine Ausfallzeiten. Heute arbeiten diese Kunden weiterhin auf diese Weise und werden dies auch in den kommenden Jahren tun. Dies ist besonders wichtig, da viele IoT-Systemspezifikationen eine Betriebsdauer von mehr als 20 Jahren vorsehen.

Unsere KernelCare IoT-Ingenieure arbeiten mit jedem Kunden zusammen, um die besten Möglichkeiten für den Empfang, die Speicherung und die Bereitstellung von Patches auf der Grundlage der individuellen Umgebung des Kunden zu konfigurieren. Das Beste daran ist, dass KernelCare IoT auch auf bereits in Betrieb befindlichen Geräten ohne Unterbrechungen oder Neustarts bereitgestellt werden kann. Die Nachrüstung bestehender Netzwerke und die Aktualisierung von Geräten, die möglicherweise schon seit Jahren ohne Patches laufen, kann also sehr schnell und einfach durchgeführt werden.

 

Rechtzeitiges Patching ist der Schlüssel zur Einhaltung des Internet of Things Cybersecurity Improvement Act of 2020 und zur Sicherheit von Behörden und Unternehmen
Rechtzeitiges Patching ist der Schlüssel zur Einhaltung des Internet of Things Cybersecurity Improvement Act of 2020 und zur Sicherheit von Behörden und Unternehmen

Immer mehr Unternehmen gehen dazu über, Cloud-basierte Plattformen für die Speicherung, Vernetzung und Verarbeitung von Daten zu nutzen, aber das birgt die Gefahr, dass sie anfällig für Schwachstellen sind, wenn ihre Plattformen nicht gewartet werden. IoT-Geräte und -Infrastrukturen sind besonders anfällig, da sie außerhalb des Hauptnetzwerks stehen und nicht auf Sicherheit ausgelegt sind, was es Hackern leicht macht, Zugang zu sensiblen Daten zu erhalten. Diese IoT-Schwachstellen können zu einer Gefährdung führen für:

  • Betriebssysteme - Jeder offene Port und jedes verfügbare Protokoll eines Betriebssystems bietet eine Angriffsfläche. Der Code auf IoT-Mikrocontroller-Einheiten (MCUs) läuft auf einer "Bare-Metal"-Basis, ohne unterstützendes Betriebssystem. Sie können standardmäßig viele Ports geöffnet haben.
  • Anwendungen - Auf einem IoT-System auf einem Chip (SOC) können mehrere Anwendungsprogramme laufen, von denen jedes das Potenzial für ausnutzbare Schwachstellen hat.
  • Abhängigkeiten - Anwendungen und Betriebssysteme in IoT-Geräten können externe Abhängigkeiten und Bibliotheken haben.
  • Kommunikation - Das IoT ist anfällig für kommunikationsbasierte Angriffe wie "Man-in-the-Middle"- und "Replay"-Angriffe.
  • Cloud-Hosting - Die unterstützende Cloud-Infrastruktur des IoT mit ihren angeschlossenen Servern stellt ebenfalls eine Angriffsfläche dar.
  • Benutzerzugriff - Der Zugang zu Geräten ist eine große Schwachstelle, vor allem, wenn sich Angreifer als Benutzer ausgeben können, ohne das Unternehmensnetzwerk zu durchqueren.

Sie können diese Schwachstellen bekämpfen, indem Sie die besten Praktiken für die IoT-Compliance kennen und umsetzen, einschließlich Live-Patching. Mit Live-Patching können Sie Patches auf Ihren Linux-Kernel anwenden, was Ihre Sicherheit und Compliance verbessert, ohne dass es zu Ausfallzeiten kommt oder Sie Ihr System neu starten müssen.

 

Schlussfolgerung

Obwohl IoT-Geräte noch recht neu sind, können sie ein erhebliches Risiko darstellen, wenn sie nicht regelmäßig aktualisiert oder gepatcht werden. KernelCare for IoT sorgt dafür, dass IoT-Geräte stets den Anforderungen des IoT-Cybersicherheitsgesetzes entsprechen, auf dem neuesten Stand sind und vor möglichen Datenschutzverletzungen geschützt sind. Kontaktieren Sie uns noch heute oder testen Sie KernelCare for IoT kostenlos, um zu sehen, was wir für Sie tun können.

Erhalten Sie eine KOSTENLOSE 7-Tage-Testversion von KernelCare 

 

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter