Traditionell hatten OT-Umgebungen (Operational Technology) eine sehr eingeschränkte Konnektivität – sowohl intern mit lokalen Netzwerken als auch extern mit dem Internet, Drittanbietern etc. Angesichts dieser Trennung wurde das Thema Sicherheit in der Regel auf den wahrgenommenen „Airgap“ zwischen OT- und IT-Netzwerken reduziert.
Die Fortschritte bei IT-Netzwerken haben jedoch zu einer Konvergenz von OT- und IT-Systemen geführt, die typischerweise in Sektoren wie Fertigung, Transport, Energie- und Wasserwirtschaft eingesetzt werden. Die Verschmelzung dieser beiden zuvor getrennten Umgebungen stellt ein echtes Risiko dar, da sie noch mehr Angriffsvektoren einführt und es gleichzeitig schwieriger macht, Cybersecurity-Bedrohungen zu erkennen, zu untersuchen und zu beheben. Nichts zu tun ist keine Option.
Wie sieht also ein OT-Cybersicherheits-Masterplan für ein öffentliches oder großes Versorgungsunternehmen aus? Tenable nimmt das Thema OT-Security unter die Lupe.
Technische Herausforderungen der OT-Sicherheit
Die herkömmliche passive Netzwerküberwachung reicht nicht aus, um alle OT-Risiken zu erkennen, da sie Bedrohungen, die möglicherweise ruhen oder über das Netzwerk kommunizieren, nicht aufdeckt. Die aktive Abfrage von Assets in der OT-Umgebung, einschließlich gerätebasierter Sicherheit, bietet eine bessere Situationsanalyse für die OT-Umgebung. Dieser Ansatz in Form einer granularen Ebene des Risikobewusstseins erfasst Assets, die nicht regelmäßig online sind, aber dennoch ein Risiko darstellen.
Der Einsatz von aktivem und passivem Scanning verbessert die Fähigkeit, alle ICS-Ressourcen (Industrial Control System) automatisch zu erkennen und zu klassifizieren. Diese reichen von Windows-Rechnern bis hin zu Geräten der unteren Ebene wie SPS (Speicherprogrammierbare Steuerung), RTU (Remote Terminal Unit) und DCS (Distributed Control System), selbst wenn sie nicht über das Netzwerk kommunizieren.
Das aktive Scanning kann auch lokale Änderungen in den Metadaten der Geräte identifizieren, beispielsweise Firmware-Version, Konfigurationsdetails und -zustand sowie Änderungen im Code oder in den Funktionsblöcken der Gerätelogik. Das Aktiv-Scanning sollte schreibgeschützte Abfragen in nativen Controller-
„OT-Systeme geben normalerweise keine Inventarinformationen über das Netzwerk weiter, obwohl die Pflege eines granularen und aktuellen Anlageninventars der Schlüssel zur Kontrolle dieser OT-Umgebung ist. Die aktive Abfrage von Geräten kann sicherstellen, dass das Anlageninventar vollständig und genau ist, und sogar ruhende Industriegeräte erfassen, die mit dem Netzwerk verbunden sind, aber nicht kommunizieren“, erklärt Adam Palmer, Chief Cybersecurity Strategist bei Tenable.
Mitarbeiter, Auftragnehmer und Systemintegratoren, die über ein serielles Kabel oder ein USB-Gerät mit den Steuergeräten verbunden sind, stellen ebenfalls ein Risiko dar. Ein böswilliger Akteur mit physischem Zugriff auf das Netzwerk könnte sich direkt mit Steuergeräten verbinden. Ebenso könnte ein Mitarbeiter oder Dienstleister die Steuergeräte unwissentlich einer Infektion aussetzen, indem er sich mit einem infizierten Laptop oder USB-Laufwerk verbindet.