SDSC - VL2

Beschreibung

Karteikarten am SDSC - VL2, erstellt von B erry am 10/07/2024.
B erry
Karteikarten von B erry, aktualisiert vor 4 Monate
B erry
Erstellt von B erry vor 4 Monate
1
0

Zusammenfassung der Ressource

Frage Antworten
road vehicles becoming "rolling computers" neue Regelungen treten in Kraft um die IT-Sicherheit von Automobilen zu gewährleisten nicht nur die Automobil-Hersteller sind hier in der Verantwortung, sondern auch Regierung und Zulieferer
ISO/SAE 21434
ISO/SAE 21434 - Formal Definition Cybersecurity: schützt Komponenten vor Bedrohungen Asset: Objekt, dass einen zu schützenden Wert besitzt Damage Scenario: Negative Konsequenzen Threat Scenario: Bedrohung von Asset, das zu einem Damage Scenario führen kann Item: Komponente, die eine Funktion ausführt Component: Teil, das logisch und technisch abgrenzbar ist
Top 8 Types of Attacks - Automotive Industry 1. Betriebsstörung 2. Datenlecks 3. Illegaler Handel mit Daten 4. Fahrzeugdiebstahl 5. Fahrzeugsystemmanipulation 6. Vertragsverletzung 7. Standort-Tracking 8. Kontrolle des Fahrzeugsystems
Potential financial Implications
Attack Vectors in Automotive Industry die meisten Angriffe richten sich auf backend server und verbundene Komponenten (z.B. Infotainmentsystem) APIs sind ebenfalls häufig Ziel von Angriffen
Modern Cybersecurity Approach
UNECE Weltorganisation zur Vereinheitlichung von Fahrzeugregelungen entwickelten UN R155 & UN R156
4 Vorschriften in der Automobilindustrie UN R155 (Vorschrift für Automobil-IT-Sicherheit) UN R156 (Vorschrift zu SW-Updates) ISO/SAE 21434 (Standard zu Straßenfahrzeugen (technische IT-Sicherheit) ISO 24089 (Standard zu technischen SW-Updates)
UN R155 - 2 Hauptsicherheitsbereiche Anforderungen an das IT-Sicherheitsmanagementsystem (Struktur der Organisation und Prozesse) Anforderungen an das Fahrzeug (Design der Fahrzeugarchitektur, Risikobewertung & Risikominderung)
ISO/SAE 21434 DER Standard für IT-Sicherheit bei Automobilen (vorher gab es sowas nicht) recht neu (08/2021) relevant für alle Akteure in der Automobilindustrie bezieht sich auf den gesamten Lebenszyklus eines Produkts Ziel: allgemeines Verständnis für IT-Sicherheit erreichen & Minimum an Anforderung festlegen
Cyber Security Management System (CSMS) Def.: systematischer risikobasierter Ansatz für organisatorische Prozesse, Verantwortlichkeiten und Kontrolle (UN R155) geht auch über die eigene Organisation hinaus (z.B. Zulieferer)
PDCA model
Maturity level of Cybersecurity
IT-Sicherheit in anderen Organisationsprozessen IT-Sicherheit sollte auch in bereits existierende Prozesse integriert werden Dokumentation hierbei ist notwendig
Weak vs Strong Cybersecurity Culture
IT-Sicherheit fördern Security Champions: geben ihr Wissen an Kollegen weiter, Vorbildrolle Austausch & Dokumentation von Kollegen Aus IT-Sicherheistvorfällen lernen
Produkt - Lebenszyklus in jedem Abschnitt können neue Schwachstellen entstehen
Verteilte Entwicklung man kann nicht ganz alleine ein Auto bauen, an der Entwicklung sind mehrere Parteien(Zulieferer, Kunden) beteiligt Zusammenarbeit scheitert meistens aufgrund von Missverständnissen
TARA - threat analysis and risk assessment Bedrohungsanalyse und Risikobewertung Bedrohungen identifizieren und allgemeine Risiken bewerten
TARA - Methoden 1. Ziel identifizieren (Schadensszenarien) 2. Bedrohungsszenarien identifizieren 3. Auswirkung bestimmen 4. Verlauf einer Attacke analysieren 5. Wahrscheinlichkeit einer Attacke bewerten 6. Risiko einer Attacke bestimmen 7. Risikobehandlung wählen
Threat modeling - 4-step approach
Relevanz für IT-Sicherheit - RQ-06-02 durch Diagramme, Brainstorming oder Einholen einer Expertenmeinung
Item Definition - WP-09-01 Alle Informationen zum Produkt finden und verstehen (Architektur, Funktionalität, Abhängigkeiten, Interaktionen, Umgebung...)
Asset Identifikation - Clause 15.3 sind relevant für IT-Sicherheit Kompromittierung würde eines oder mehrere der Schutzziele, sowie den Ruf des Unternehmens schädigen vor allem kritische Funktionen des Produkts
Asset Identifikation - Bewertungskriterien
Asset Identifikation - Where are values? während der Nutzung in der SW auf der HW an dem Standort, an dem Gerät ist während Datenübertragung
Bedrohungsszenarien identifizieren mögliche Bedrohungen identifizieren durch Recherche, Kreativität, Erfahrung, Austausch Fokus: lösbare Bedrohungen
Angriffsflächen Netzwerk (alles was mit dem Netzwerk verbunden ist) Anwendungen (jede Schwachstelle, die ausgenutzt werden könnte, um an Daten zu gelangen) Menschen (alle, die mit dem Produkt zu tun haben)
STRIDE Modell
OWASP OWASP Top 10 enthält die wichtigsten Sicherheitsrisiken für Webapplikationen OWASP Application Security Verification Standard (ASVS) enthält eine Liste von Anforderungen für sicherer Entwicklung und deren Überprüfung
HARA vs TARA HARA: zufällige oder Systemfehler TARA: vorsätzlicher Fehler (durch Angreifer)
Auswirkung bestimmen basierend auf Schadensszenarien wie groß sind die Auswirkungen auf die Assets Severe (schwerwiegend) Major (groß) Moderate (moderat/mäßig)) Negligible (vernachlässigbar)
Verlauf einer Attacke analysieren basierend auf Bedrohungsszenarien Nutzung von Bibliotheken (CAPEC, MITRE's)
Wahrscheinlichkeit einer Attacke Kriterien von ISO/SAE 21434: Benötigte Zeit Expertise Wissen über das System Benötigte Ausrüstung Zeitfenster für Angriff CVSS kann ebenfalls zur Bestimmung verwendet werden
Risiko einer Attacke kombiniert alle vorherigen Informationen Cybersecurity Assurance Level (CAL) fokussiert sich auf kritische Assets (hohe Auswirkung, leicht auszunutzen)
Risikobehandlung nicht alle Schwachstellen können direkt oder vollständig beseitigt werden manchmal nur Entschärfung möglich oder die Auswirkungen sind vernachlässigbar
Risikobehandlung - 4 Typen Mitigate/Reduction (Abschwächen/Reduzieren) Eliminate/Avoidance (Beseitigen/Vermeiden) Transfer/Sharing (Übertragen/Verteilen) Accept/Retention (Akzeptieren/Beibehalten)
TARA - Ergebnis & Forderung Ergebnis: Definierte Kontrollmechanismen auf Risiken im System abbilden Forderung: Definierte Handlungsmaßnahmen auf Risiken außerhalb des Systems abbilden
ISO/SAE 21434 - Clause 10 alle IT-Sicherheitsanforderungen auf allen Produktionsebenen
ISO/SAE 21434 - Clause 8
ISO/SAE 21434 - Clauses 8.5 & 8.6 Schwachstellenanalyse (8.5) und Schwachstellenmanagement (8.6)
Schwachstellenmanagement - CVE, CWE, CVSS CVE: Liste von gefundenen Schwachstellen in SW CWE: Liste von Fehlern, die zu den gefundenen Schwachstellen in CVE geführt haben CVSS/CWSS: Systeme zur Berechnung des Schweregrads von CVEs und CWEs
CVSS V3.1 - Metrics
Cybersecurity Incident Response Plan eine geeignete Reaktion bei einem cybersecurity Vorfall kann den Schweregrad einer Attacke abmildern (geringer Kosten, schnellere Wiederaufnahme des Betriebs) für jeden Vorfall sollte es einen geeigneten Plan geben
Cybersecurity Incident Response Plan - RQ-13-01 1. Abhelfende Maßnahmen 2. Kommunikationsplan 3. Verantwortlichkeiten für abmildernde Maßnahmen 4. Informationen über den Vorfall sammeln 5. Dokumentation der Gegenmaßnahmen 6. Definieren von Kriterien und Maßnahmen um Vorfall zu beenden
Erholung nach einem IT-Sicherheits-Vorfall
Verification & Validation
ISO/SAE 21434 - Cybersecurity Testing Testen, um noch vorhandene Schwachstellen zu minimieren (RC-10-12) Penetrationstests um zu bestimmen, ob IT-Sicherheitsziele erreicht wurden (RQ-11-01)
Cybersecurity Testing - Techniken
Penetration Testing
Audit vs Assessment wird der Prozess richtig ausgeführt vs passt der Prozess zu meinen Zielen findet Fehler, verbessert damit Sicherheit des Produkts, spart Geld und Zeit, erhöht Vertrauen in das Unternehmen
Cybersecurity Assessment Report - WP-06-03 bewertet IT-Sicherheit eines Objekts am Ende eines Projekts, ansteigend, die ganze Zeit Ergebnisse: akzeptiert, bedingt akzeptiert, abgelehnt Optional: Verbesserungsvorschläge Nutzbar um veröffentlich zu werden, vor Gericht
ISO/SAE 21434 - Clause 11 IT-Sicherheits-Ziele, -Forderungen, -Voraussetzungen sind vor Produktionsstart für alle Komponenten erfüllt sehr schwierig umzusetzen Begründung ist notwendig um Clause zu erfüllen
UN R156 organisatorische Anforderungen Produktanforderungen Fokus: over-the-air-updates Ziel: up-to-date bleiben da 100%ige Sicherheit nie gewährleistet ist, neue Funktionen & Fehlerbehebung
ISO 24089 steht in Beziehung zu UN R156 Dokumentation, Sicherheitsmaßnahmen vor und während Updates, Back-Up-Pläne, Funktionsfähigkeit des Systems
Zusammenfassung anzeigen Zusammenfassung ausblenden

ähnlicher Inhalt

2. Weltkrieg: 1939-1945
JohannesK
Essay schreiben - Tipps
AntonS
TOEFL/ IELTS-Vokabeln
anna.grillborzer0656
The American Dream
barbara91
Mediengestalter Abschlussprüfung 2015
Jonas Deh
AOW - Psych
Aydan Altuner
Pädagogik Abitur 2016: Freud
Lena S.
Bildungswissenschaft
Yvonne Heitland
Projektmanagement Uni Due
Awash Kaul
Chirurgie Rind Vetie
Anne Käfer