Zum Inhalt springen

Security Review

Verbesserte IT-Sicherheit für Linux in Bestandsprodukten

Überflüssige oder falsch konfigurierte Software und Dienste in vernetzten Industrieprodukten sind ein wesentliches Einfallstor für Cyber-Angriffe. Zur Absicherung ihrer Investitionen, Vermeidung von Betriebsstillständen sowie Imageschäden bestehen Unternehmen zunehmend auf speziellen Lieferantenerklärungen oder Nachweisen zur Cyber-Security auch für Bestandsprodukte.

Für die kurzfristige Bewertung und Verbesserung der IT-Security von bereits im Markt eingeführten Systemen mit Open Source Software bildet das emlix Security Review eine einfache und wirtschaftliche Ausgangsbasis. Mit ihm können Entwicklung, Produktmanagement und Marketing fundierte Entscheidungen für die Produktpflege treffen. Auskünfte hinsichtlich „Cyber Security“, „IT-Security“ oder „Industrial Security“ können mit validem Hintergrund erfolgen.

Erhöhtes Sicherheitsniveau durch Audit

Das technische Audit beinhaltet eine technische Analyse des Produktes und seines Einsatzumfeldes sowie gängige Netzwerktests. Es ist speziell abgestimmt auf den Einsatz von Linux und Open Source Software im industriellen Kontext.

Neben einer Aufnahme des Ist-Zustandes sowie produktspezifischen Hinweisen zu Risiken gehören Handlungsempfehlungen sowie deren Priorisierung für kurzfristige Maßnahmen zum Leistungsumfang. Häufig lässt sich in der Folge die IT-Sicherheit für Linux in Produktivsystemen einfach aber signifikant erhöhen.

Das emlix Security Review für Linux- und Open Source-basierte Produkte hat die Funktion einer produktspezifischen Standortbestimmung und umfasst unter anderem die folgenden Leistungen:

  • Gemeinsame Definition des Analysefokus
  • Analyse von Aufgaben und Funktionen des Systems
  • Bewertung des Betriebsortes und der Umgebungssituation
  • Bewertung der Integration des Produktes in IT-Systeme des Betreibers
  • Abgrenzung bestimmter Risiken und Angriffsvektoren
  • Analyse von Konfiguration und Services des Systems
  • Analyse von Remote Update-Funktionen soweit verfügbar
  • Analyse und Tests von Hardware-Schnittstellen am Gerät
  • Durchführung von Network-Vulnerability-Tests zur Identifikation von möglichen Schwachstellen (Vulnerability Scans, Penetration Testing und Security Scan) an unserem Testplatz
  • Untersuchung der Software-Komponenten auf bekannte Sicherheitslücken (Common Vulnerabilities and Exposures / CVE) im Rahmen einer CVE–Analyse und Bewertung ihrer Relevanz
  • Analyse der genutzten Entwicklungsumgebung und Software Build-Infrastruktur soweit verfügbar
  • Klassifikation und Bewertung der Ergebnisse der verschiedenen Tests nach unterschiedlichen Kriterien und Risikoklassen
  • Ableitung und Entwicklung von konkreten Handlungsempfehlungen zur Erhöhung des Sicherheitsniveaus
  • Aggregation und Aufbereitung der Analyseergebnisse in einem Bericht
  • Erläuterung und Bewertung von Ergebnissen und Empfehlungen im persönlichen Gespräch
  • Optional: Codereview kritischer Programmteile sowie Prüfung von Security-relevanten Merkmalen der Anwendung
  • Optional: Bewertung des Build-Prozesses des Softwaresystems für kurzfristige Updates und eine Verbesserung der Konfiguration
  • Optional: Erarbeitung von Schutzzielen für das Produkt

Das technische Audit orientiert sich dabei am Maßstab industrieller Best Practices und dem Grundschutz für Design, Entwicklung, Test, Betrieb und Wartung von Embedded Linux Board Support Packages (BSP). Es wird mit einer manuellen Inspektion sowie dem Einsatz gängiger Analysewerkzeuge durchgeführt.

Die Ergebnisse des Reviews und konkrete Handlungsempfehlungen werden in einem ausführlichen schriftlichen Bericht zusammengefasst und nachvollziehbar als Grundlage für Entscheider kommentiert.

Mit unserem Security Review gewinnen Sie:

  • Erhöhtes Vertrauen bestehender und neuer Kunden (Imagegewinn) durch valide Informationen zur Cyber Security
  • Schnellen Zugang zu Praxiswissen und den fundierten Einschätzungen unserer Linux- bzw. Open Source-Experten
  • Eine pragmatische und wirtschaftliche Erstbewertung von Cyber-Risiken für Bestandsprodukte
  • Verständliche und konkrete Vorschläge zur kurzfristigen Erhöhung der IT-Sicherheit des Produktes
  • Valide Informationen für Lieferantenerklärungen und Nachweise zur Cyber-Security als Wettbewerbsvorteil
  • Eine Security-Betrachtung des Produktes kann leicht in den Entwicklungs- und Wartungsablauf integriert werden
  • Technische Hinweise für die Entwicklung zur Härtung des Systems (Produktqualität)
  • Priorisierte Vorschläge für die Entwicklung zur Planung von Updates oder Konfigurationsänderungen des Bestandsproduktes
  • Produktspezifische Anforderungen und Kriterien bezüglich der IT-Sicherheit für die Neuentwicklung von Produkten

Das Security Review kann als Ausgangspunkt für die Entwicklung einer generischen, produktspezifischen Security Lösung genutzt werden. Es ist mit dem emlix e2factory Buildmanagement, unserem Lifecycle Management und dem emlix Security Monitoring sowie emlix Update- und Roll-out-Konzepten kombinierbar.

Gerne stimmen wir mit Ihnen in einem ersten Telefonat den Umfang und die konkrete Analysetiefe unseres Security Reviews ab. Auf dieser Grundlage erstellen wir dann umgehend ein individuelles Angebot.

Die Zusammenfassung aller Ergebnisse unseres Security Reviews erfolgt in einem umfangreichen, leicht verständlichen Bericht mit zahlreichen Empfehlungen zur einfachen und wirtschaftlichen Erhöhung des Sicherheitsniveaus des Produktes.

Das zu validierende Embedded Linux BSP sollte auf einer gängigen Distribution (beispielsweise Yocto, Buildroot, PTXdist) mit allen für den Bauprozess notwendigen Informationen bzw. auf einem Buildsystem wie BitBake oder e2factory basieren.

Ihr Ansprechpartner

emlix Solutions-Team
Tel +49 (0) 551 / 306 64 - 0
solutions [at] emlix.com

Security Monitoring

Das emlix Security Monitoring unterstützt Sie in der Betriebs- und Wartungsphase von Embedded Linux-basierten Industrieprodukten (Industrial Control System - ICS) bei der Aufrechterhaltung eines definierten Sicherheitsstatus. Wir überwachen kontinuierlich Informationsquellen und bewerten mögliche Risiken vor dem Hintergrund des produktspezifischen Einsatzkontextes Ihres Produktes. Das emlix Security Monitoring gibt Ihnen monatlich oder ad hoc konkrete Empfehlungen für Sicherheits-Patches und Updates.