Schutz von COVID-19-Impfstoffen mit SSI – Teil 1

Die Zukunft des IoT mit verteiltem Identitätsmanagement definieren

frankk

Frank Kottler

Analyst @CHAINSTEP GmbH

IoT-Systeme gibt es in vielen Farben und Facetten. Von einem scheinbar einfachen Smart Home, in dem Lichtsensoren Ihre Jalousien steuern und Ihr Kühlschrank anhand seines Inhalts und eines Rezeptvorschlags, den er an Ihr Telefon gesendet hat, innerhalb einer Stunde eine Lebensmittellieferung bestellt, über autonome Lagerhäuser bis hin zu hochpräzisen adaptiven Produktionssystemen, bei denen Losgröße 1 und Produktion auf Abruf eine ständige Anpassung des Produktionsplans und eine ständige Aufstockung der Eingangsmaterialien erfordern, während der Produktionsprozess vom Kunden überwacht wird – IoT wird nahezu jede Branche beeinflussen. Die weit verbreitete Anwendung von IoT-Geräten macht sie zu einem attraktiven Ziel für Cyberangriffe, und IT-Netzwerkarchitekten werden aufgrund der intrinsischen Eigenschaften der Geräte schnell vor operative Herausforderungen bei der Sicherung ihrer IoT-Netzwerke stehen.

In vielen Fällen ähnelt das Problem, das der IoT-Netzwerksicherheit zugrunde liegt, dem klassischen Blockchain-Geschäftsmodell: Vertrauen zu schaffen – in diesem Fall vertrauensvollen Daten- und Nachrichtenaustausch – in einer vertrauenslosen Umgebung. Während das Konzept der selbstsouveränen Identität (Self-Sovereign Identity, SSI) dieses Problem auf eine speziell verteilte Weise löst, möchten wir aktuelle Lösungen untersuchen und ihre Eigenschaften mit verteilten Architekturen, einschließlich SSI, vergleichen. Viele wünschenswerte Netzwerkeigenschaften (Durchsatz, Einfachheit, Vertraulichkeit, um nur einige zu nennen) lassen sich in herkömmlichen Lösungen viel einfacher implementieren – es wird spannend zu verstehen, wie jeder Ansatz je nach spezifischer Anwendung einen Mehrwert für die IoT-Netzwerksicherheit liefern kann.
Zur Veranschaulichung betrachten wir das fiktive Logistikunternehmen VirGo, das einen Regierungsauftrag zur Lieferung von COVID-19-Impfstoffen erhalten hat. VirGo ist ein modernes Unternehmen, und das Versprechen von 100%-Transparenz, Flexibilität in letzter Minute und null Fehlern überzeugt die Regierung. Beide Parteien sind offen dafür, ihre Partnerschaft zu intensivieren, wenn die Einführung erfolgreich ist. VirGo verlässt sich auf intelligente Temperatur- und Standortsensoren, um die Kühlkette zu sichern, und betreibt mehrere regionale sichere Lager mit granularen und temporären Zugriffsrechten. Kann ihr IoT-System diese Herausforderung bewältigen? Werfen wir einen Blick darauf …

Bekannte und unbekannte Herausforderungen für IoT-Netzwerke

Im Vergleich zur konventionellen IT-Infrastruktur von Unternehmen der vergangenen Jahrzehnte weisen IoT-Netzwerke drei bemerkenswerte Unterschiede auf: Sie verbinden (1) viele völlig unterschiedliche Geräte, die möglicherweise alle eine andere Sprache sprechen (also unterschiedliche APIs verwenden), (2) sie erfolgen fast ausschließlich drahtlos (was die Verbindung leichter abfangen kann) und (3) die Geräte sind technologisch eingeschränkt und lassen sich nicht ohne weiteres aufrüsten, um mehr Rechenleistung oder Speicher bereitzustellen.

In VirGos Konzept: Der Lagerzugang wird basierend auf dem Standort eines LKWs geofenced. Außerdem sollte eine Verletzung der Kühlkette den Transport automatisch stoppen und jede Übergabe der Ladung blockieren. Das Thermometer muss plötzlich Informationen mit dem Handscanner teilen, und der Standortsensor, der LKW-Fahrerausweis und das Lagertor müssen alle einen gemeinsamen Nenner finden. Falsche oder gefälschte Daten, korrekte Daten vom falschen Gerät oder unvollständige Daten könnten die Impfstoffsicherheit unmittelbar gefährden. Außerdem stammen die Geräte von verschiedenen Herstellern und wurden für eine Vielzahl von Anwendungsfällen entwickelt: Der Temperatursensor könnte genauso gut in einer Produktionshalle verwendet werden, und Standortsensoren sind in militärischen Anwendungen ebenso nützlich. Die Aktualisierung ihrer Firmware und die Gewährleistung der Geräteinteroperabilität werden mit jedem zusätzlichen Gerät zu immer komplexeren Aufgaben. Eine granulare Zugriffskontrolle auf die verschiedenen Gerätedaten und -funktionen erhöht die Komplexität noch weiter und verschärft das Risiko veralteter oder verwaister Zugriffsrichtlinien, während zu allgemeine Zugriffsrichtlinien Betrug, „Impfstoff-Inside-Jobs“ oder einfach einen weiteren Angriffsvektor für willkürlich motivierte (Cyber-)Kriminalität fördern. Dasselbe gilt, wenn Datenströme leicht abgehört werden können. Darüber hinaus werden vorhandene Geräte gewartet und ersetzt sowie neue Geräte integriert, während das Netzwerk gleichzeitig vor unbekannten und/oder potenziell böswilligen Teilnehmern geschützt werden muss.

Angriffsmodell für VirGos IoT-Netzwerk

Angriffe auf Sender und Empfänger

 

Sybil-Angriff. Der Angreifer erzeugt mehrere gefälschte Geräte, um Ändern Sie die Stimmrechte im Netzwerk, die Nachrichtenweiterleitung, die Ressourcenzuweisung oder die verteilte Datenspeicherung (51%-Angriff).

Identitätsfälschung. Der Angreifer gibt sich als bekanntes Gerät aus, um dessen Privilegien zu erlangen. Der Angriff kann zu Folgendem führen: gefälschte Daten, Einspeisung nicht vorhandener Daten Und Informationsverlust.

(Verteilter) Denial-of-Service-Angriff. Der Angreifer verursacht Knotenausfall indem es die Schnittstelle mit nutzlosen Paketen verstopft.

Angriffe auf die Botschaft

Nachrichtenänderung. Der Angreifer fängt die übertragenen Nachrichten ab und verändert sie, was zu gefälschte Daten.

Nachrichtenwiedergabe. Der Angreifer sendet eine vorherige, gültige Nachricht erneut und verursacht gefälschte Daten Und Verantwortungslosigkeit.

Angriffe auf der Strecke

Sinkhole-Angriff. Der Angreifer fängt die Kommunikation ab (Man-in-the-Middle-Angriff) und verweigert die Weiterleitung von Nachrichten. Dies führt dazu, Informationsverlust Und macht Gerätekommunikation unzuverlässig.

Schnüffeln. Der Angreifer belauscht die Gerätekommunikation und erhält unbefugten Zugriff auf vertrauliche Daten, was zu Datenlecks.

Störgeräusche. Anstatt einen (D)DoS-Angriff auf einen Knoten durchzuführen, verstopft der Angreifer das Netzwerk mit nutzlosem Datenverkehr, verursacht Paketkollisionen, erzwingt eine erneute Datenübertragung und belegt die Netzwerkbandbreite. Dies führt zu Energieverlust auf der Sensorseite und Netzwerk-Nichtverfügbarkeit.

Ausstellungsstück 1. Angriffsmodell für VirGos Netzwerk.

In VirGos Konzept: Der Lagerzugang wird basierend auf dem Standort eines LKWs geofenced. Außerdem sollte eine Verletzung der Kühlkette den Transport automatisch stoppen und jede Übergabe der Ladung blockieren. Das Thermometer muss plötzlich Informationen mit dem Handscanner teilen, und der Standortsensor, der LKW-Fahrerausweis und das Lagertor müssen alle einen gemeinsamen Nenner finden. Falsche oder gefälschte Daten, korrekte Daten vom falschen Gerät oder unvollständige Daten könnten die Impfstoffsicherheit unmittelbar gefährden. Außerdem stammen die Geräte von verschiedenen Herstellern und wurden für eine Vielzahl von Anwendungsfällen entwickelt: Der Temperatursensor könnte genauso gut in einer Produktionshalle verwendet werden, und Standortsensoren sind in militärischen Anwendungen ebenso nützlich. Die Aktualisierung ihrer Firmware und die Gewährleistung der Geräteinteroperabilität werden mit jedem zusätzlichen Gerät zu immer komplexeren Aufgaben. Eine granulare Zugriffskontrolle auf die verschiedenen Gerätedaten und -funktionen erhöht die Komplexität noch weiter und verschärft das Risiko veralteter oder verwaister Zugriffsrichtlinien, während zu allgemeine Zugriffsrichtlinien Betrug, „Impfstoff-Inside-Jobs“ oder einfach einen weiteren Angriffsvektor für willkürlich motivierte (Cyber-)Kriminalität fördern. Dasselbe gilt, wenn Datenströme leicht abgehört werden können. Darüber hinaus werden vorhandene Geräte gewartet und ersetzt sowie neue Geräte integriert, während das Netzwerk gleichzeitig vor unbekannten und/oder potenziell böswilligen Teilnehmern geschützt werden muss.

Trotz all dieser Herausforderungen ist diese Art von IoT-Magie bereits heute im Einsatz, aber für VirGos Netzwerkadministrator Dylan betrachtet die Eigenschaften ihrer Anwendung und erkennt, dass ein sicheres IoT-System Folgendes können muss:

  • Sicherstellung der Zugriffskontrolle (nur berechtigte Benutzer/Geräte dürfen auf Sensordaten zugreifen),
  • Sicherstellung der Systemverfügbarkeit,
  • Schutz vor Nachrichtenmanipulation,
  • Schutz vor Identitätsbetrug (Vortäuschen eines anderen Geräts),
  • Schutz vor Abhören,
  • Erstellen eines Prüfpfads: Wer hat was wann im System getan?
  • Vereinfachung der Geräteverwaltung,
  • Erleichterung der Geräteinteroperabilität.

Letzteres eröffnet dem System einerseits spannende neue Anwendungsmöglichkeiten (mehr dazu in einem zukünftigen Beitrag), stellt andererseits aber auch eine Sicherheitsanforderung dar, da das System im Zuge des Fortschritts der IoT-Technologie Verbesserungen unterstützen muss.

Anforderungen an das Netzwerkdesign

Angesichts der großen Bekanntheit des Impfstoffliefervertrags beschließt Dylan, der Netzwerkadministrator, den Vertrag noch einmal zu prüfen. Jungfraus Netzwerkarchitektur – vielleicht können sie sogar neue Servicemöglichkeiten auf der Grundlage ihres Sicherheitskonzepts identifizieren. Es versteht sich von selbst, dass das allgemeine Thema Cybersicherheit viel komplexer ist als das, was wir hier diskutieren. Die gemeinnützige Technologieberatungsorganisation MITRE hat die branchenweit anerkanntes ATT&CK-Framework von über 150 Cyber-Angriffstechniken und seine ergänzendes D3FEND-Framework von Cybersicherheits-Gegenmaßnahmen. In VirGos Im aktuellen Produktionssystem hat der Netzwerkadministrator nur begrenzte Kontrolle über viele potenzielle Angriffsvektoren, insbesondere über die Hardware- und Firmware-Sicherheit der Geräte. Deshalb muss sich Dylan umso mehr auf die Sicherung der Gerätekommunikation konzentrieren. Aus diesem Grund konzentriert er sich auf potenzielle Angriffe rund um Credential Access, Network Discovery, Data Collection und Impact, wie im ATT&CK-Framework erwähnt. In diesem Zusammenhang möchten wir uns auch ausschließlich auf vorbeugend Gegenmaßnahmen finden Sie im Abschnitt „Hardening“ des D3FEND-Frameworks.

Ein „Kommunikationsereignis“ in VirGos Netzwerk besteht aus Absender, Empfänger, der eigentlichen Nachricht/Daten (einschließlich Zeitstempel) und der Route, die das Nachrichtenpaket vom Absender zum Empfänger nimmt. Folglich analysiert Dylan diese Elemente auf der Grundlage ihrer vorherigen Überlegungen auf mögliche Bedrohungen, was zu dem Angriffsmodell führt[1] in Anlage 1.

Um diese Angriffe abzuwehren, leitet Dylan die Prinzipien des Netzwerkdesigns zur Abwehr ab. Sie kombinieren die Implikationen des Angriffsmodells mit den erforderlichen Fähigkeiten, die im vorherigen Schritt ermittelt wurden: VirGos Das IoT-Netzwerk muss Verfügbarkeit, Skalierbarkeit, Nachrichtenintegrität, Identität, gegenseitige Authentifizierung und Vertraulichkeit bieten (siehe Abbildung 2). Das Designprinzip von Identität erfordert, dass ein Gerät systemspezifische Attribute und einen Verlauf seiner Aktionen erfassen kann. Jungfrau, das heißt, ihre Standort- und Temperatursensoren müssen im Netzwerk individuell unterscheidbar sein, damit ein Datenstrom dem richtigen Sensor im richtigen LKW zugeordnet werden kann (Historie der Aktionen). Es stellt auch sicher, dass Jungfrau kann nur diejenigen Sensoren und Controller zum Netzwerk zulassen, die von Dylan und seinen Kollegen konfiguriert und in Betrieb genommen wurden (systemspezifische Attribute).

Gegenseitige Authentifizierung geht einen Schritt weiter und verlangt von Geräten, ihre Identität gegenüber ihren Kommunikationspartnern nachzuweisen. Einfach ausgedrückt müssen Geräte sicher beweisen, dass sie die sind, die sie vorgeben zu sein. Identität ohne Authentifizierung ist unsinnig, da dieser Zustand die Attribut- und Datenzuordnung unzuverlässig machen würde. Dennoch verdient sie eine besondere Erwähnung, da die Authentifizierung auch ein grundlegender Baustein für Eigenschaften wie Nichtabstreitbarkeit und Vertraulichkeit ist (siehe unten). Ebenso wichtig ist es, dass das sendende Gerät die Identität des empfangenden Geräts überprüft (gegenseitig Authentifizierung), um Informationslecks vorzubeugen.

Abbildung 2. Wie Sicherheitsüberlegungen die Designprinzipien beeinflussen und wie sie zusammenwirken.

Nachrichtenintegrität erfordert, dass Nachrichtenänderungen oder -beschädigungen erkannt werden können (in der „Blockchain-Sprache“: Nachrichten sind manipulationssicher). Für VirGos Integrität umfasst auch Nichtabstreitbarkeit (der Absender kann nicht leugnen, eine bestimmte Nachricht gesendet zu haben) und Daten Frische (die empfangenen Nachrichten sind mit einer akzeptablen Verzögerung aktuell und nicht veraltet).

Verfügbarkeit bedeutet, dass den Geräten alle Funktionen des Systems zur Verfügung stehen, wenn sie diese benötigen, während Vertraulichkeit stellt sicher, dass gesendete Nachrichten nicht von unbefugten Geräten abgehört werden können. Schließlich skalierbar Das System lässt sich problemlos erweitern und Geräte können sicher hinzugefügt, verwaltet und entfernt werden, selbst wenn die Anzahl der verwalteten Geräte groß ist. Außerdem sollte der Systemdurchsatz ein dynamisches Wachstum des Netzwerks unterstützen.

Seien Sie im nächsten Beitrag dabei, wenn Dylan die verfügbaren Architekturen zur Lösung seines IoT-Sicherheitsproblems entdeckt – halten sie, was sie versprechen?

[1] Sakiz, F., & Sen, S. (2017). Eine Übersicht über Angriffe und Erkennungsmechanismen bei intelligenten Transportsystemen: VANETs und IoV. In: Ad-hoc-Netzwerke, 61, 33-50. https://doi.org/10.1016/j.adhoc.2017.03.006;

Walters, JP, Liang, Z., Shi, W., & Chaudhary, V. (2007). Sicherheit drahtloser Sensornetzwerke: Eine Untersuchung. In Y. Xiao (Hrsg.), Sicherheit im verteilten, Grid-, mobilen und Pervasive Computing (S. 367–409). Auerbach Verlag. https://doi.org/10.1201/9780849379253-20.

Melden Sie sich für Branchentrends an.

Sie möchten über aktuelle Trends der Blockchain-Branche außerhalb der Kryptowährung auf dem Laufenden bleiben?

Melden Sie sich für den CHAINSTEP-Newsletter an und erhalten Sie wertvolle Einblicke und Neuigkeiten direkt in Ihren Posteingang.