Thought Leadership
Durch die zunehmende Vernetzung im Zuge der Digitalisierung vergrößert sich auch die Angriffsfläche von Industrieunternehmen. Traditionelle Methoden wie manuelle Bestandsaufnahmen und die Verwaltung über Excel-Tabellen sind im Zeitalter des erweiterten Internet der Dinge (XIoT) nicht mehr zeitgemäß.
Zwar bieten sie einen breiten Überblick der cyber-physischen Systeme (CPS), sind aber ungenau und lassen die Vernetzung der Geräte untereinander außer Acht. Dabei ist die Erkennung von OT-Assets die Grundlage jeder wirkungsvollen industriellen Cybersicherheitsstrategie und bildet die Basis für alle anderen Cybersicherheitsmaßnahmen.
Die Bestandserkennung in IT- und OT-Umgebungen unterscheiden sich gravierend. Die Geräte in IT-Infrastrukturen habe zumeist wesentliche Gemeinsamkeiten, werden in der Regel alle paar Jahre ausgetauscht und laufen zumeist mit der gleichen Software. Oft sind gleiche Modelle des gleichen Herstellers im Einsatz. Bei den Geräten im OT-Bereich handelt es sich jedoch um Systeme, die vielen verschiedenen Zwecken dienen, oftmals nicht denselben Hersteller und dasselbe Modell aufweisen und nicht immer mit derselben Software laufen. Zudem werden die Assets in aller Regel wesentlich seltener ausgetauscht, sodass man häufig Anlagen findet, die bereits seit Jahrzehnten im Einsatz sind und entsprechend auf veralteter Software laufen. Aus diesen Gründen müssen Unternehmen bei der Erkennung von OT-Ressourcen ganz anders vorgehen als bei der Erkennung von IT-Inventar.
5 Schritte zu mehr Transparenz in industriellen Netzwerken
Identifizierung der OT-Assets
Eine der wichtigsten Aufgaben der Asset-Erkennung ist die Identifizierung der einzelnen Geräte im Netzwerk. Aber was genau bedeutet das in der Praxis? Bei der Identifizierung von Geräten muss die Bestandserfassung mehr als nur die grundlegenden Details aufzeigen. Sie muss vielmehr einen detaillierten Blick auf alles werfen, was Sicherheitsverantwortliche über ein Gerät wissen müssen. Dazu gehören Modell, Firmware-Version und Konfigurationsinformationen. Auf diese Weise erhalten Unternehmen ein präzises und detailliertes Inventar mit sämtlichen verbundenen Assets, was die Grundlage zum Verständnis und effektiven Managements der Assets bildet – und damit auch die Grundlage zum Schutz der Umgebung.
Darstellung der Netzwerktopologie mit 3-D-Transparenz
Transparenz bei der Erkennung von Anlagen bedeutet nicht nur eine genaue Bestandsaufnahme der OT-Geräte, sondern auch ein Verständnis der Benutzeraktivitäten innerhalb des Netzwerks, der Kommunikation der Anlagen, der Verbindungspfade und ihrer Einordnung in die Gesamtumgebung. Diese mehrdimensionale Transparenz ist für eine vollständige betriebliche Ausfallsicherheit und für das Verständnis, wie eine „normale“ Verhaltensbasis aussieht, unerlässlich, um Bedrohungen besser zu erkennen.
Kombination von aktivem und passivem Scanning
Passive Überwachung ist in der Regel die erste Methode, die für die Inventarisierung und Darstellung von OT-Anlagen in Frage kommt. Cybersicherheits-Tools kopieren Daten aus dem Industrienetzwerk und verarbeiten sie in einer passiven, einseitigen Übertragung. Der Vorteil dieser Herangehensweise liegt darin, dass sie den industriellen Betrieb wenig bis gar nicht beeinträchtigt. Eine weitere Technik, die Transparenz in die komplexeren Schichten des Netzwerks bringen kann, sind aktive Abfragen. Obwohl es sich hierbei um eine aktive Maßnahme handelt, beeinträchtigen sie den normalen Datenverkehr nicht. Durch die Kommunikation mit den Geräten in den jeweiligen Protokollen können diese Abfragen detaillierte Daten gewinnen. Für einen umfassenden und gleichzeitig detaillierten Überblick über die gesamte OT-Umgebung empfiehlt sich eine Kombination der beiden Methoden.
OT-Spezifische Inventarisierungsansätze
Es kommt vor, dass OT-Assets weder durch passives Scannen noch durch aktive Anfragen identifiziert werden können. Hier kommen dann moderne, spezifische OT-Inventarisierungslösungen zum Einsatz. Diese nutzen beispielsweise Parse-Backup-Konfigurationsdateien, um Geräte zu erkennen und Transparenz zu schaffen, ohne dass sie hierfür vernetzt werden müssen. Diese Methode ist vorteilhaft, wenn sich von der Infrastruktur getrennte oder isolierte Assets inventarisiert werden sollen.
Netzwerksegmentierung
Die Netzwerksegmentierung schützt vor Cyber-Bedrohungen in der OT-Umgebung und ermöglicht es gleichzeitig bestimmten Assets, unter typischen, „normalen“ Umständen miteinander zu kommunizieren. Mit einem tiefen Verständnis der eigenen Netzwerktopographie lassen sich Möglichkeiten für eine Segmentierung nach dem Purdue-Modell zu identifizieren. Dieses Modell kategorisiert industrielle Kontrollsysteme in verschiedene Sicherheitszonen, die auf ihrer Funktion und Kritikalität basieren. Das Purdue-Modell bildet eine hierarchische Architektur, die die Segmentierung erleichtert und es ermöglicht, die Netzwerksicherheit, Leistung und Verwaltung zu verbessern. Um die Sicherheit in den Netzwerksegmenten zu erhöhen und die Überwachung zu erleichtern, sollten zudem lokalisierte Sicherheitskontrollen, Web Application Firewalls und strenge Zugriffsanforderungen implementiert werden.
OT-Sicherheit beginnt mit der Erkennung sämtlicher Assets und einer umfassenden Transparenz. Dies ist der erste Schritt, um industriellen Abläufe zu schützen und die Geschäftskontinuität zu gewährleisten. Auf dieser Basis können dann weitere Sicherheitsmaßnahmen aufbauen und eine individuelle Sicherheitsstrategie entwickelt werden.
Autor: Thorsten Eckert, Regional Vice President Sales Central von Claroty