Ein Security-Ansatz zum Schutz von konvergierter IT und OT

Operational Technology- (OT*-)Netzwerke, die Anlagen in kritischen Infrastrukturen wie Versorgungsunternehmen und Fertigungsstraßen steuern, sind traditionell von den Informationstechnologie- (IT-)Netzwerken getrennt, die Daten in allen Unternehmen verwalten und kont-rollieren....

Operational Technology- (OT*-)Netzwerke, die Anlagen in kritischen Infrastrukturen wie Versorgungsunternehmen und Fertigungsstraßen steuern, sind traditionell von den Informationstechnologie- (IT-)Netzwerken getrennt, die Daten in allen Unternehmen verwalten und kont-rollieren.

In den letzten Jahren versprechen überzeugende Innovationen in der IT wie künstliche Intelligenz (KI) und Big Data Analytics, auch für OT-Netzwerke bessere Ergebnisse zu erzielen. Dies führt zu einer Beschleunigung der Integration von OT- und IT-Netzwerken, wodurch die digitale Angriffsfläche erweitert und OT-Netzwerke Angriffen aus IT-Netzwerken ausgesetzt werden. OT-Datenschutzverletzungen sind heute an der Tagesordnung. Um Angriffe abzuwehren und das OT-Risiko zu minimieren, sollten fünf Best Practices implementiert werden:

  • Erhöhen der Netzwerktransparenz,
  • segmentieren von Netzwerken,
  • analysieren des Datenverkehrs hinsichtlich Bedrohungen,
  • durchsetzen des Identitäts- und Access Management und
  • sichern des kabelgebundenen und des drahtlosen Zugangs.

Diese Praktiken werden im Folgenden als eine Grundlage für die Verbesserung des OT-Sicherheitsprofils vorgestellt.

Warum IT und OT konvergieren

Von maschinellem Lernen (ML) über Augmented Reality (AR) bis hin zum Internet der Dinge (IoT) – neue Entwicklungen in der IT verändern Prozesse und verbessern die Ergebnisse in vielen Geschäftsbereichen. Dies wird gewöhnlich als digitale Transformation (DX) bezeichnet. In OT-Netzwerken, die kritische Infrastrukturen wie Pipelines, Stromnetze, Transportsysteme und Produktionsanlagen steuern, verläuft der Wandel langsamer. OT-Umgebungen sind für die öffentliche  Sicherheit und den globalen wirtschaftlichen Erfolg von entscheidender Bedeutung. Sie wurden Jahrzehnte vor IT-Netzwerken entwickelt und es gibt verschiedene Anbieter und proprietäre Protokolle. Es bestand zunächst wenig Grund, OT- und IT-Netzwerke zu verbinden, zumal dadurch das Risiko von Cyberangriffen steigt.

Allerdings gaben drei Viertel der OT-Unternehmen in einer kürzlich  durchgeführten Umfrage an, dass sie zumindest grundlegende Verbindungen zwischen IT und OT implementiert haben, um Produktivität und Kosteneffizienz zu steigern. Neue digitale Technologien in OT-Umgebungen treiben Veränderungen voran, die umfangreich genug sind, um als vierte industrielle Revolution bezeichnet zu werden. Sensoren optimieren die Produktionslinien. Augmented-Reality-Brillen reduzieren Fehler von Lagerarbeitern. Die Gewinne sind signifikant: Unternehmen im oberen Quartil der digitalen Transformation erreichten fast doppelt so hohe Margen und Gewinne wie Unternehmen im unteren Quartil.

Die Herausforderung bei der Integration von IT und OT besteht darin, dass die größere digitale Angriffsfläche das Risiko von Cyber- angriffen erhöht. Fast 90% der Unternehmen mit OT-Umgebungen haben Datenschutzverletzungen in ihren OT-Netzwerken erlebt.

Empfohlene Best Practices für die OT-Cyber-Sicherheit

Wie können also Risiken minimiert und gleichzeitig Gewinne maximiert werden? Die nachfolgend beschriebenen fünf Bereiche müssen von den führenden OT-Unternehmen abgedeckt werden, um sich vor bösartigen Cyberangriffen zu schützen.

1.   Identifizieren von Assets, klassifizieren und priorisieren von Werten

Die Verbesserung des Sicherheitsprofils beginnt mit der Sichtbarkeit: Sie können nicht schützen, was Sie nicht sehen. Mangelnde Sichtbarkeit bzw. Transparenz stellt in vielen Unternehmen eine kritische Sicherheitslücke dar, und 82% der Unternehmen bestätigen, dass sie nicht in der Lage sind, alle mit ihren Netzwerken verbundenen Geräte zu identifizieren.

Security-Teams benötigen ein aktuelles Inventar der im Netzwerk laufenden Geräte und Anwendungen. Eine Herausforderung besteht darin, dass viele OT-Netzwerke, mit den für ein IT-Netzwerk verwendeten Methoden, nicht aktiv gescannt werden können. Ein aktiver Scan kann die Netzwerkleistung beeinträchtigen oder OT-Elemente wie SPS beschädigen. Security-Teams sollten erwägen, einen Anbieter oder Technologiepartner zu kontaktieren, um eine Bedrohungsanalyse durchzuführen.

Diese Bewertung verwendet manchmal ein System wie eine Next-Generation Firewall (NGFW), die OT-Anwendungsprotokolle erkennen und den Netzwerkverkehr, einschließlich verschlüsselten Datenverkehrs, passiv beobachten kann. Das System verwendet die erfassten Informationen, um Geräte in Ihrem Netzwerk basierend auf ihren Eigenschaften und ihrem Verhalten zu profilieren und zu kategorisieren. Das Ergebnis ist ein Bericht, der Folgendes bereitstellt:

  • Übersicht über die verbundenen Geräte,
  • Hinweise auf risikoreiche Anwendungen,
  • Identifikation der am stärksten ausgenutzten Schwachstellen von Anwendungen,
  • Bewertung des Risikowerts jedes einzelnen Assets,
  • Identifikation von Hinweisen auf Malware, Botnets und möglicherweise gefährdete Geräten,
  • Kategorisierung von Anwendungen und Analyse ihrer

Diese Informationen dienen als gute Grundlage für die Priorisierung von Risiken und die Optimierung eines Security-Plans.

1.  Segmentieren des Netzwerks

Die Netzwerksegmentierung ist eines der effektivsten Architekturkonzepte zum Schutz von OT-Umgebungen. Hierbei wird das Netzwerk in eine Reihe von funktionalen Segmenten oder „Zonen“ (die Unterzonen oder Mikrosegmente enthalten können) aufgeteilt und jede Zone nur autorisierten Geräten, Anwendungen und Benutzern zugänglich gemacht. Eine Firewall definiert die Zonen, sorgt für ihre Einhaltung und definiert auch Conduits, also Kanäle, die es ermöglichen, dass wichtige Daten und Anwendungen von einer Zone in eine andere gelangen.

Das Architekturmodell von Zonen und Kanälen reduziert die Gefahr unbefugter Zugriffe erheblich. Es schränkt die Fähigkeit eines Angreifers ein, sich in eine „Ost-West“- also laterale Richtung zu bewegen. Benutzer und Geräte, die für eine bestimmte Aktivität in einer bestimmten Zone zugelassen sind, sind auf ihre Funktion innerhalb dieser Zone begrenzt. Die Segmentierung ist eine grundlegende Best Practice zur Sicherung der OT, wie sie in den Sicherheitsstandards ISA/IEC-62443 (früher ISA-99) beschrieben ist. Diese wurden von der International Society of Automation (ISA) als ISA-99 erstellt und später in 62443 umbenannt, um mit den entsprechenden Normen der International Electrotechnical Commission (IEC) übereinzustimmen. Die Normen ISA/IEC-62443 enthalten praktische Hinweise zur Segmentierung von OT-Netzen. Jeder Zone ist eine Sicherheitsstufe von 0 bis 4 zugeordnet, wobei 0 die niedrigste und 4 die höchste Sicherheitsstufe ist. Strenge Zugangskontrollen begrenzen den Zugang zu jeder Zone und jedem Kanal basierend auf der authentifizierten Identität des Benutzers oder des Geräts.

Security-Teams sollten eine Firewall mit speziell entwickelten Security-Prozessoren in Betracht ziehen, die bestimmte Teile der Pa- ketverarbeitungs- und Inhaltsprüfungsfunktionen verglichen mit den allgemeinen CPUs in vielen Firewalls beschleunigt. Speziell entwickelte Security-Prozessoren ermöglichen Hochgeschwindigkeits-, Kryptographie- und Inhaltsprüfungsdienste, ohne die Netzwerkleistung zu beeinträchtigen.  Dies ist wichtig, damit Zonen und Kanäle nicht zu Engpässen werden.

2.  Analysieren des Datenverkehrs hin- sichtlich Bedrohungen und Schwachstellen

Sobald NGFWs ein OT-Netzwerk in Segmente und Kanäle unterteilen, ist es sinnvoll, den Netzwerkverkehr auf bekannte und unbekannte Bedrohungen zu prüfen. Security-Teams sollten eine NGFW integrieren, die in der Lage ist, verschlüsselten Anwendungsverkehr zu überprüfen. Darüber hinaus sollte die NGFW in einen Live-Feed-Dienst eingebunden werden, um Updates zu den gängigsten OT-Protokollen und OT- Anwendungsschwachstellen bereitzustellen. Ein solcher Dienst ermöglicht es der NGFW, den Datenverkehr von OT-Anwendungen zu untersuchen und Exploits zu erkennen. Globale Datenwarnungen in Echtzeit aktualisieren die Firewall, sodass sie auch neue und komplexe Bedrohungen identifizieren kann. Durch die Integration mit einer kompatiblen Endgeräte-Security-Lösung kann die NGFW Endgeräte auf Kompromissindikatoren (Indicators Of Compromise, IOCs) überwachen, die aus einer Vielzahl von weltweiten Quellen gewonnen werden.

Die Firewall kann auch aus dem Datenverkehr in einem Netzwerk lernen und eine Ausgangsbasis oder ein Verständnis dafür schaffen, was in IT- und OT-Systemen normal oder ungewöhnlich ist. Sie kann  Geräte unter Quarantäne stellen, blockieren oder Warnmeldungen senden, wenn es ungewöhnliche Aktivitäten oder IOCs erkennt. Die in die NGFWs integrierten KI-Funktionen, die als Teil eines sich selbst entwickelnden Threat Intelligence-Systems bereitgestellt werden, entwickeln Signaturen, um Zero-Day-Bedrohungen zu erkennen, bevor sie überhaupt geschrieben werden. Um die Bedrohungssuche und die Compliance-Berichterstellung zu erleichtern, sollten Security-Teams einen Security Information and Event Manager (SIEM) hinzufügen, der Daten von Insellösungen und aus Geräte-Logs in IT- und OT-Netzwerken korrelieren kann. Der optimale Ansatz ist die Integration eines SIEM, der eine Echtzeit-Topologie des Netzwerks abbilden und Security- Ereignisse verfolgen und aufzeichnen kann. Ein solcher Ansatz ermöglicht die Korrelation von Informationen aus verschiedenen Lösungen und liefert den Kontext, minimiert die Reaktionszeit und vereinfacht die Berichterstellung.

Eine, als Teil eines Threat Intelligence Feed Bundles, bereitgestellte Security-Bewertung ist erforderlich, um die Securityleistung zu quantifizieren und einen Vergleich des Sicherheitsprofils eines Unternehmens mit an- deren Branchenvertretern zu ermöglichen. Dies ist wertvoll für die Compliance-Berichterstellung und die Beantwortung von Fra- gen der Geschäftsleitung zur Security-Effektivität.

3.  Kontrollieren der Identitäts- und Zugangsverwaltung

Gestohlene Zugangsdaten sind Teil vieler OT-Cyberangriffe, einschließlich drei der vier zuvor beschriebenen. Spear-Phishing, mit dem Anmeldeinformationen gestohlen wurden, war ein wichtiger Teil dieser Angriffe. Tatsächlich werden zwei Drittel der installierten Malware in der Bedrohungsumgebung per E-Mail verbreitet. Eine erste Verteidigungsebene bei der Kontrolle der Identitäts- und Zugangsverwaltung (Identity and Access Management, IAM) sollte ein sicheres E-Mail-Gateway mit signatur- und reputationsbasierter Prävention sein.

Eine weitere häufige Schwachstelle bei der Zugangskontrolle basiert darauf, dass 45% der zu ihrem OT-Netzwerk Befragten kein privilegiertes Identitäts-Management für Administratoren verwenden, das es Unter- nehmen ermöglicht, Konten mit umfassen- den Zugriffsrechten in  ihrer  IT-Umgebung zu überwachen. Dies erhöht das Risiko von Schäden durch gestohlene Administratoranmeldeinformationen, ein begehrtes Ziel für viele Angreifer.

Weitere 45% der OT-Unternehmen verwenden  keine rollenbasierte Zugangskontrolle für Mitarbeiter, was das Risiko von Insider-Bedrohungen erhöht, wenngleich die meisten Unternehmen sagen, dass sie Pläne haben, diese Technologien einzusetzen. Security-Teams sollten eine IAM-Lösung suchen, die Folgendes bereitstellt:

  • Durchsetzung des rollenbasierten Zugangs für jeden Benutzer, Beschränkung des Zugangs durch die Integration mit der Firewall auf zugelassene Ressourcen und das Netzwerk-Mikrosegment.
  • Validierung der Identität durch Multi-Faktor-Authentifizierung, indem etwas, das der Benutzer weiß, z.B. Benutzername und Passwort, mit etwas kombiniert wird, das der Benutzer besitzt, z.B. Telefon, Laptop-Zertifikat oder physischer Sicherheitsschlüssel, oder auch etwas, das der Benutzer ist, z.B. Fingerabdruck oder andere biometrische Daten.
  • Ermöglichen des Single Sign-On (SSO), das durch die Durchsetzung der Sicherheit auf Basis der Benutzeridentität im Unternehmen Zeit spart, da keine zusätzlichen Anmeldebildschirme erforderlich sind.
  • Authentifizierung von an das Netzwerk angeschlossenen Geräten durch Beobachtung ihrer Eigenschaften und ihres Verhaltens und  Kontrolle notwendiger Software-Updates zur Behebung von Schwachstellen.
  • Beschränkung des Zugriffs auf authentifizierte Geräte und Sperren aller anderen Ports.

4.  Sichern von kabelgebundenem und drahtlosem Zugang

In einer OT-Umgebung sind Netzwerk-Switches und drahtlose Access Points (APs) zwei attraktive Ziele für Cyberangriffe. Beide sollten über Security by Design, verwaltet über eine zentrale Schnittstelle, verfügen und nicht etwa durch über mehrere Schnittstellen verwaltete Security-Insellösungen geschützt werden. Ein zentralisiertes Security Management reduziert nicht nur das Risiko, sondern verbessert auch die Transparenz und minimiert den Verwaltungsaufwand für Security- und Operations-Teams.

In vielen OT-Unternehmen wächst die Exposition gegenüber potenziellen Angriffen durch kabelgebundene und drahtlose APs. In einer Umfrage gaben alle befragten Unternehmen an, einige drahtlose oder IoT-Technologien zu nutzen, die Verbindungen zu OT-Netzwerken umfassen können. Im Durchschnitt waren 4,7 IoT-Technologien verbunden, wobei GPS-Tracking und Sicherheitssensoren die beiden wichtigsten Elemente waren. Eine erhöhte Risikoexposition kann durch die Wahl einer Firewall, die Teil einer ganzheitlichen Security-Plattform ist, minimiert werden. Die Plattform ermöglicht es Administratoren, detaillierte Sicherheitsrichtlinien zentral auf integrierte Switches und drahtlose APs zu übertragen und kundenspezifische VLANs für verschiedene Gruppen von Mitarbeitern und Geräten zu kontrollieren. Diese Art von Firewall ermöglicht auch die zentrale Bereitstellung und Verwaltung von verbreiteten Legacy-Switches und drahtlosen APs von Drittanbietern.

Eine weitere besondere Funktion bei Firewalls, Switches und drahtlosen APs ist ein robuster Formfaktor, der den  Einsatz unter den extremen Bedingungen von Außenstellen im OT-Netzwerk ermöglicht, wie beispielsweise in einem Stromnetz, einer Ölpipeline oder einem anderen verteilten System. Die Geräte sollten so konzipiert sein, dass sie auch an den heißesten und kältesten Orten der Erde funktionieren. Sie sollten zentral festgelegte Sicherheitsrichtlinien an den äußersten Rändern des Netzwerks unterstützen, wo Bedrohungsakteure wahrscheinlich angreifen werden, weil sie dort weniger Security-Elemente erwarten. Ein Ausfall von Geräten am Netzwerkrand ist nicht nur ein Ärgernis, sondern kann kostspielige kritische Ausfallzeiten und zeitkritische Implementierungen zur Behebung des Geräteausfalls bedeuten.

Fazit: Unternehmen verbinden OT-Umgebungen mit ihren IT-Netzwerken, um wettbewerbsfähig zu bleiben. In den meisten Fällen wird die IT- und OT-Konvergenz anhand einer strategischen Ausrichtung eines Unternehmens geplant. Es ist jedoch auch möglich, dass eine Integration existiert, die nicht geplant oder nicht einmal bekannt war. So identifizierte beispielsweise das Projekt SHINE (SHodan INtelligence Extraction), das einen mehrjährigen globalen Internet-Scan umfasst, 2 Millionen verbundene OT-Geräte (einschließlich der Infrastruktur, die OT-Steuergeräte wie HVAC-Steuerungen und serielle Wandler unterstützt).

Während sich die IT- und OT-Integration zu einer strategischen Initiative entwickelt, erhöht sie auch die Wahrscheinlichkeit von OT-Datenschutzverletzungen. Die Erfahrung zeigt, dass ein Cyber-Sicherheitsverstoß weniger eine Frage des „Ob“ als des „Wann“ ist. Wenngleich Verstöße nicht zu 100% gestoppt werden können, ist es möglich, sie durch Netzwerksegmentierung zu begrenzen, sie durch Traffic-Analyse schneller zu erkennen und ihre Häufigkeit durch Identitäts- und Zugangsverwaltung sowie kabelgebundene und drahtlose Zugangskontrollen zu minimieren. Wenn es einem Angreifer gelingt, in ein OT-Netzwerk einzudringen, kann die Einhaltung dieser Best Practices die Kosten und potenziellen Ausfallzeiten erheblich reduzieren.

* OT ist ein Synonym für industrielle Steuerungssysteme (Industrial Control Systems, ICS). OT wurde als Begriff  im Gegensatz zur IT etabliert, da OT-Protokolle, Anbieter und Anwendungsfälle unterschiedlich sind. SCADA- (Supervisory Control and Data  Acquisition-)Systeme sind ein Bestandteil von OT. SCADA-Systeme verwenden grafische Benutzeroberflächen für das übergeordnete Management von OT/ICS-Prozessen.

Autor: Fortinet Inc.

 

In this article

Join the Conversation