IIoT und Supply Chain Security gehörn zusammen wie Server und IPS
Alles kann sehr lange gut gehen, aber irgendwann kommt die böse Überraschung. Davon hatten wir in den letzten Jahren genug (SolarWinds, XZ, …) und gleichzeitig kommt der EU Cyber Resilience Act mit großen Schritten auf uns zu.
Es ist also Zeit sich mal genauer mit den möglichen Angriffsvektoren samt Lösungsansätzen zu beschäftigen.
In diesem Talk werde ich den Begriff der Supply Chain und was dazugehört definieren und darauf basierend erklären, warum ausgerechnet das IIoT so viel Potential für diese Angriffe bietet.
Danach zeige ich wie der Weg vom Commit bis zum Deployment auf einem Industrial PC/(I)IO-Device aussieht und wie sich die einzelnen Wegabschnitte absichern lassen.
Der Reihe nach werden die folgenden Themen angehen:
- Commits absichern
- Artefakt signieren und veröffentlichen
- Container signieren und veröffentlichen
- Binary signieren und veröffentlichen
- ein SBOM für Projekte erzeugen und bereitstellen
Die dabei verwendeten Technologien sind
- Sigstore
- CycloneDX SBOM
- Yubikey
- GitActions
- JReleaser
- Gradle
Jochen wird sehr genau die einzelnen Schritte durchgehen und auch Alternativen erklären.
Wer Lust hat, kann bereits während des Talks mitmachen und anfangen, seine Commits/Artefakte zu signieren.
Alles, was gezeigt wird, gibt es in einem Git-Repository zum Nachvollziehen und später Ausprobieren.
Lernziele
Die Teilnehmenden werden mit Maßnahmen versorgt, die möglichst einfach und basierend auf OSS umsetzbar sind.