Mit der fortschreitenden Konvergenz von IT und Betriebstechnologie (OT) hat der Industriesektor eine massive Transformation in der Art und Weise durchlaufen, wie er industrielle Prozesse schützt. OT-Netzwerke und industrielle Steuerungssysteme (ICS), die zuvor luftdicht von IT und dem Internet isoliert waren, sind nun mit diesen verbunden, was den Fußabdruck dieser cyber-physischen Systeme (CPS) weiter vergrößert. In einer idealen Welt steigert diese Konvergenz die Produktionsprozesse durch verbundene ICS, indem sie Echtzeit-Datenanalysen, vorausschauende Wartung und Datenaustausch ermöglicht.
Diese Transformation ist jedoch nicht ohne Risiken. Wenn diese Systeme und Geräte online geschaltet werden, erhält jedes von ihnen eine IP-Adresse. Dies setzt jedes neu verbundene Gerät Cyberangriffen aus und vergrößert die potenzielle Angriffsfläche einer Organisation. Darüber hinaus werden viele Komponenten von ICS oft von veralteter Legacy-Technologie unterstützt, die nicht mit Blick auf Konnektivität oder moderne Sicherheitsbedrohungen entwickelt wurde.
Risiko für physische Prozesse und das Geschäft
In diesem Leitfaden werden wir untersuchen, wie OT und ICS gesichert werden können, um die Sicherheit, Verfügbarkeit und Zuverlässigkeit physischer Prozesse zu gewährleisten, insbesondere solcher, die als kritische Infrastruktur und Kern unserer nationalen und wirtschaftlichen Sicherheit gelten.
Die Rolle von Industrie-Steuerungssystemen in kritischen Infrastrukturen
Industrielle Steuerungssysteme sind die cyber-physischen Systeme, die industrielle Prozesse steuern und automatisieren. Diese Prozesse sind in verschiedenen kritischen Infrastruktursektoren wie Chemie, Elektrizität, Öl & Gas, Fertigung, Transport und mehr verbreitet.
ICS umfassen eine Reihe von Komponenten nach oben und unten im Purdue-Modell für ICS, wie Sensoren und Aktoren auf Ebene 0, die Informationen an speicherprogrammierbare Steuerungen (SPS) und Fernsteuergeräte (RTUs) auf Ebene 1 weiterleiten, die auf der Steuerungsebene, Ebene 2, verwaltet werden. Diese Komponenten arbeiten zusammen, um verschiedene prozessorientierte Systeme zu überwachen und zu steuern, wie Temperatur, Druck, Durchflussrate und andere Variablen.
Überwachungs- und Datenerfassungssystem (SCADA)
SCADA-Systeme beispielsweise bieten Kontrolle auf der Überwachungsebene. Es ermöglicht Industrieorganisationen, Prozesse lokal oder an entfernten Standorten zu steuern, Echtzeitdaten zu überwachen, zu sammeln und zu verarbeiten, mit Geräten wie Sensoren, Ventilen, Pumpen, Motoren und mehr über HMI-Software zu interagieren und Ereignisse in Protokolldateien aufzuzeichnen. SCADA-Systeme werden hauptsächlich für die Fernüberwachung und -steuerung von Feldstandorten durch zentrale Steuerungssysteme verwendet. Sie sind häufig in Branchen wie der Pipeline-Überwachung und -steuerung, Wasseraufbereitungszentren und -verteilung sowie der elektrischen Energieübertragung und -verteilung zu finden.
Diese Systeme ermöglichen es den Anlagenbetreibern in den genannten Branchen, alltägliche Aufgaben zu automatisieren—was ihnen die Fähigkeit gibt, Feldstandorte zu überwachen und zu steuern, ohne weite Strecken reisen zu müssen. Es gibt mehrere Vorteile von SCADA-Systemen, wie Kostenreduktion, Flexibilität und Leistungseffizienz; jedoch haben die Bedrohungen gegen diese Systeme in den letzten Jahren aufgrund des erhöhten Fernzugriffs und der Internetkonnektivität stark zugenommen.
Gebäudemanagementsysteme (BMS)
Gebäudemanagementsysteme (BMS) sind ein weiteres häufiges Beispiel für ICS. BMS sind computergestützte Steuerungssysteme, die verwendet werden, um verschiedene Aspekte von Gebäudesystemen zu überwachen und zu regeln. Das Ziel von Gebäudeleitsystemen ist es, die Sicherheit des Betriebs der Einrichtungen zu gewährleisten und die Leistung zu optimieren sowie den Energieverbrauch dieser Systeme zu reduzieren. Beispiele für BMS umfassen HLK-Systeme, Beleuchtungssysteme, Energiemanagementsysteme, Sicherheitssysteme, Brand- und Lebenssicherheitssysteme sowie Aufzugs- und Rolltreppensysteme. Diese Form von ICS ist darauf ausgelegt, die Gesamteffizienz des Betriebs, den Komfort der Gebäudenutzer (was oft auch Patienten in Gesundheitsdienstleistungsorganisationen (HDOs) einschließt) und die Sicherheit zu verbessern — während die Betriebskosten und die Umweltbelastung reduziert werden.
Ähnlich wie bei SCADA-Systemen können Cyberangriffe auf BMS eine Vielzahl von Problemen unterschiedlicher Schwere verursachen. Angriffe können zu einem Stillstand oder einer Manipulation kritischer Fertigungsprozesse, zum Diebstahl wertvoller Unternehmensdaten oder sogar zu einer Gefährdung der Sicherheit von Patienten in einem Krankenhaus führen. Diese beiden Beispiele kratzen nur an der Oberfläche der verschiedenen Arten von ICS, die in verschiedenen Branchen verwendet werden. Aber sie haben alle eines gemeinsam: die Notwendigkeit, sich mit einer umfassenden ICS-Sicherheitsstrategie gegen die inhärenten Herausforderungen zu schützen, denen sie gegenüberstehen.
Was sind die Herausforderungen bei der Sicherung von ICS?
Industrielle Kontrollsysteme leiden unter fünf großen Herausforderungen, die sie anfällig für Cyberangriffe machen:
IT/OT-Konvergenz erweitert die Angriffsfläche von OT: Eine große Herausforderung für industrielle Steuerungssysteme ist die Konvergenz von IT und OT. IT- und OT-Systeme wurden historisch getrennt verwaltet, wobei verschiedene Teams für jeden Bereich verantwortlich waren. Da Organisationen zunehmend auf vernetzte Systeme angewiesen sind, hat es ein Wachstum hin zur Konvergenz dieser beiden Bereiche gegeben. Obwohl die IT/OT-Konvergenz den Organisationen eine größere Integration und Sichtbarkeit ihrer Lieferkette bietet, erhöht diese Interkonnektivität auch die Angriffsfläche der OT-Systeme und steigert das Potenzial für Exploits, die auf neu verbundene Systeme abzielen. Zusätzlich ist die OT-Infrastruktur in vielen Organisationen schlecht gegen Cyberangriffe geschützt. Dies liegt daran, dass traditionelle IT-Sicherheitswerkzeuge nicht zum Schutz von OT-Umgebungen verwendet werden können, da sie das Potenzial haben, kritische Prozesse zu stören, was zu Produktionsausfällen oder, noch schlimmer, zu körperlichem Schaden für Betreiber oder die Öffentlichkeit führen kann.
Altsysteme verfügen nicht über Cybersicherheitsfähigkeiten: Ein weiteres großes Problem, mit dem ICS konfrontiert ist, ist die Fülle an veralteter Technologie in industriellen Umgebungen. Viele industrielle Steuerungssysteme wurden vor Jahrzehnten ohne Berücksichtigung von Sicherheit oder Konnektivität gebaut und verfügen oft nicht über die notwendigen Cybersicherheitsfähigkeiten wie Verschlüsselung und Authentifizierung, um sie vor modernen, fortschrittlichen Cyberangriffen zu schützen. Anlagenbesitzer und -betreiber stehen zwischen der Notwendigkeit, die physische Sicherheit sowie die Verfügbarkeit und Zuverlässigkeit der Systeme aufrechtzuerhalten, und der Notwendigkeit, diese Systeme gegen Cyberangriffe abzusichern. Änderungen an veralteten Technologien könnten industrielle Prozesse beeinträchtigen, was einen strategischen Ansatz erfordert, um die Verfügbarkeit aufrechtzuerhalten und gleichzeitig die Angriffsfläche einer Organisation zu verringern. Organisationen müssen eine Vielzahl von Optionen in Betracht ziehen, einschließlich ausgleichender Kontrollen, um Schwachstellen zu mindern und die Exposition gegenüber Bedrohungen wie Ransomware und anderen Ausnutzungen zu verringern.
Sicherer Zugriff wehrt illegale Versuche ab, Schwachstellen auszunutzen: Viele industrielle Steuerungssysteme verfügen nicht über ausreichende Zugangskontrollen, was es Bedrohungsakteuren erleichtert, unbefugten Zugang zu erlangen, sei es direkt oder über Dritte, die autorisiert sind, auf kritische Systeme zuzugreifen. Die Verwaltung dieser Exposition ist für Vermögensbesitzer und Betreiber von entscheidender Bedeutung, von denen viele den Zugang für Anbieter und Technologiepartner zur Wartung oder Unterstützung industrieller Anlagen erweitern müssen. Drittanbieter-Nutzer können besonders schwer zu unterstützen sein, da sie in der Regel keine Jump-Server oder andere Infrastruktur teilen können, was für Administratoren kostspielig und komplex sein kann. Schlechte Sichtbarkeit dieser Drittanbieterverbindungen und anderer Remote-Sitzungen setzt Organisationen dem Risiko von Fernangriffen aus.
ICS Schwächen im Schwachstellenmanagement setzen Organisationen Gefahren aus: Viele industrielle Umgebungen haben keine Toleranz für Ausfallzeiten, und Wartungsfenster sind eine Seltenheit. Doch mit der Konnektivität müssen Organisationen Software- und Firmware-Schwachstellen in industriellen Steuerungssystemen und -protokollen identifizieren, priorisieren, mindern und beheben. Dies beeinflusst, wie oft Patches bereitgestellt werden, von denen viele von den Anbietern leicht verfügbar gemacht werden. Industrielle Unternehmen sind oft über längere Zeiträume hinweg exponiert, da Softwareanfälligkeiten nicht gepatcht oder Firmwarefehler nicht aktualisiert werden. Einmal mehr spielen kompensierende Kontrollen hier eine entscheidende strategische Rolle, um Expositionen in internetfähiger Technologie zu mindern, bis ein Patch oder ein Firmware-Update angewendet wird.
Fortgeschrittene Angreifer verstehen ICS-Expositionen: Idustrielle Steuerungssysteme sind oft Ziel von ausgeklügelten Cyberangriffen, wie Advanced Persistent Threats (APTs), Ransomware und anderen Erpressungsangriffen. APT-Akteure wie Sandworm haben maßgeschneiderte Werkzeuge entwickelt, um ICS anzugreifen, und ihre Angriffe sind darauf ausgelegt, über längere Zeiträume unentdeckt zu bleiben. Chinas Volt Typhoon hingegen hat offensive Waffen in kritische Infrastrukturen in den USA eingebettet, wahrscheinlich um sie im Falle eines militärischen Konflikts zu aktivieren. Andere Angriffe wie der Vorfall mit der Colonial Pipeline im Jahr 2021 können nicht nur Ihre Organisation schädigen, sondern auch drastische Auswirkungen auf die Wirtschaft und das Verbrauchervertrauen haben. Angreifer verstehen, wie anfällig ICS und OT sind, und die Zögerlichkeit, diese kritischen Systeme rechtzeitig zu aktualisieren. Unternehmen sind über längere Zeiträume hinweg exponiert und müssen die Aktivitäten dieser Gruppen genau im Auge behalten und verstehen, ob ihre Bedrohungsmodelle APTs und andere fortschrittliche Akteure umfassen.
Wesentliche ICS-Cybersicherheitsmaßnahmen zum Schutz der Industrie
Jetzt, da wir die größten Herausforderungen für industrielle Steuerungssysteme angesprochen haben, ist es an der Zeit zu lernen, wie man sie schützt. Dies beginnt mit der Implementierung einer ICS-Sicherheitsstrategie, die den Schutz und die Integrität Ihrer kritischen Infrastruktur gewährleistet — und der Zusammenarbeit mit dem richtigen Anbieter für Sicherheit von cyber-physischen Systemen (CPS), um Unterstützung zu erhalten. Hier ist der Ausgangspunkt.
Inventar von Vermögenswerten grundlegend für die Sicherheit von ICS
Der erste Schritt zur Risikominderung und zur Steigerung der Cyber-Resilienz in Ihren vernetzten ICS-Umgebungen besteht darin, ein umfassendes Asset-Inventar zu erstellen. Man kann nicht schützen, was man nicht sehen kann — weshalb die Bestandsaufnahme der Assets die Grundlage jeder guten ICS-Sicherheitsstrategie ist. Ein CPS-Sicherheitsanbieter wie Claroty kann Ihrer Organisation helfen, ein umfassendes und vollständig automatisiertes Asset-Inventar zu erstellen, das Ihnen eine tiefgehende Sichtbarkeit Ihrer Assets ermöglicht. Diese granulare Sichtbarkeit ist entscheidend, um die vielfältige Mischung aus neuen und veralteten Geräten in ICS-Umgebungen zu identifizieren und die proprietären Protokolle zu erkennen, die von OT, BMS und anderen industriellen Anlagen verwendet werden und für allgemeine Sicherheitstools unsichtbar sind.
Expositionsmanagement hilft, die Sanierungsbemühungen zu priorisieren.
Sobald eine umfassende unternehmensweite Sichtbarkeit etabliert ist, kann sie innerhalb eines auf Resilienz fokussierten Sicherheitsprogramms so viel ermöglichen. Viele Programme konzentrieren sich auf Schwachstellen, aber ein Ozean von CVEs zu bewältigen, ist für die meisten Organisationen unhaltbar. Stattdessen kann ein Exposure-Management-Ansatz, der auf einem abgegrenzten Asset-Inventar basiert, Organisationen dabei helfen, das Risiko basierend auf zahlreichen Faktoren zu reduzieren, einschließlich bekannter ausgenutzter Schwachstellen, unsicherer Konnektivität, schlechter Zugriffskontrollen, unsicherer Protokollnutzung und vielem mehr. Durch die Eingrenzung der Behebungsstrategien auf die am stärksten gefährdeten Systeme basierend auf diesem Ansatz kann ein Unternehmen die Systeme mit dem höchsten Risiko sicher halten, während es Ressourcen sammelt, um verbleibende Probleme anzugehen.
Claroty kann kritischen Infrastrukturorganisation helfen , diese Barriere zu beseitigen, indem es Expositionsmanagement-Funktionen bietet, die kritische Vermögenswerte automatisch mit Schwachstellen- und Risikoinformationen korrelieren. Claroty kann dann die Sanierungsmaßnahmen priorisieren, basierend darauf, wie kritisch das Risiko für die Betriebsabläufe und die Sicherheit ist. Claroty treibt Maßnahmen voran, um die Risikoposition zu verbessern, indem die richtigen ausgleichenden Kontrollen identifiziert und implementiert werden. Wir beseitigen auch sicher Blindstellen durch Integrationen, um sicherzustellen, dass Ihre Organisation selbst vor den fortschrittlichsten Angriffen geschützt ist.
Die Segmentierung von OT-Netzwerken gewährleistet Cyber-Resilienz.
Sobald die Identifizierung von Schwachstellen und die Behebung von Risiken erfolgt sind, kann Claroty dann helfen, die Cyber-Resilienz durch effektive Netzwerksegmentierung aufrechtzuerhalten. Der Beginn eines Segmentierungsprogramms für Ihre einzigartige Umgebung kann schwierig sein, wenn es darum geht, welche Richtlinien definiert werden sollen und wie, sowie welche Technologien zur Durchsetzung dieser Richtlinien verwendet werden sollen. Claroty löst diese Herausforderung, indem wir unsere Fachkenntnisse nutzen, um Segmentierungsrichtlinien zu empfehlen, die einfach und automatisch über die bestehende Infrastruktur durchgesetzt werden können, um Ihre Umgebung zu schützen. Durch die Durchsetzung granularer Zugriffskontrollen für interne und externe Benutzer können wir Ihrer Organisation helfen, sicheren Remote-Zugriff zu gewährleisten.
Bedrohungserkennung identifiziert gefährdete Angriffsvektoren
Der nächste Schritt zur Gewährleistung der Cyber-Resilienz ist die Bedrohungserkennung. Claroty bietet speziell entwickelte Überwachungssysteme an, die alle Arten von Bedrohungen in industriellen Umgebungen erkennen können. Durch den Anstieg der Interkonnektivität und den Fortschritt der digitalen Transformation haben wir festgestellt, dass Cyberangriffe in Häufigkeit und Komplexität zunehmen. Unsere Plattform löst diese Herausforderung, indem sie Angriffsvektoren leicht identifiziert und behebt, mit einer klaren Anzeige potenziell bedrohlicher Aktivitäten in Ihrer Umgebung. Durch die Warnung vor potenziell bösartiger Aktivität können wir Richtlinien definieren und durchsetzen, um zukünftige Verstöße zu verhindern — selbst solche, die von APT-Akteuren begangen werden. Wir verfügen auch über die Fähigkeit, die Bedrohungswarnung zu optimieren und Fehlalarme zu minimieren. Die inhärente Komplexität neuer und veralteter Geräte, Systeme und Prozesse in industriellen Umgebungen macht die Bedrohungsüberwachung besonders anfällig für Fehlalarme. Mit Claroty können Sie diese Fehlalarme automatisch herausfiltern und alle zusammenhängenden Ereignisse in einem einzigen Alarm konsolidieren.
Rahmenwerke leiten Cybersicherheitsstrategien
Neben der Unterstützung Ihrer Organisation beim Schutz ihrer kritischen ICS sind Claroty-Lösungen speziell darauf ausgelegt, Organisationen dabei zu helfen, den Cybersicherheitsrahmenwerken, regulatorischen Anforderungen, Branchenrichtlinien und anderen Sicherheitsstandards wie ISA/IEC 62443 — einer kritischen Reihe von Standards, die von der International Electrotechnical Commission (IEC) übernommen wurden — zu entsprechen.
Die Befolgung eines Cybersicherheitsrahmenwerks kann kritischen Infrastruktureinrichtungen wie Ihrer einen umfassenden Ansatz zur Verwaltung Ihrer Cybersicherheitsrisiken bieten. Entwickelt vom National Institute of Standards and Technology (NIST), ist das NIST Cybersecurity Framework (CSF) ein Beispiel für ein Cybersicherheitsrahmenwerk, das Organisationen Richtlinien, bewährte Verfahren und Standards für einen flexiblen und risikobasierten Ansatz zur Verwaltung und Verbesserung ihrer Cybersicherheitslage bietet. Indem Sie einen CPS-Lösungsanbieter suchen, der Ihrer Organisation hilft, sich an regulatorische Rahmenwerke wie das NIST CSF anzupassen, werden Sie die Vorteile einer gestärkten Cybersicherheitslage, einer Verbesserung der Risikomanagementstrategien und der richtigen Anleitung in Bezug auf bewährte Branchenpraktiken ernten.
Ähnlich kann die Implementierung von Referenzmodellen wie dem Purdue-Modell Organisationen dabei helfen, den Umfang dessen, was ein Angreifer innerhalb ihres konvergierten Unternehmens tun oder darauf zugreifen kann, zu begrenzen. Eine starke Netzwerkarchitektur, ähnlich der des Purdue-Modells, verbessert die allgemeine ICS-Cybersicherheit und bietet eine Grundlage für die schrittweise Integration zusätzlicher Sicherheitsmaßnahmen. Durch die Zusammenarbeit mit einem CPS-Sicherheitsanbieter wie Claroty können Organisationen Konzepte wie das Purdue-Modell erfolgreich umsetzen, um den Erfolg ihrer Cybersicherheitsstrategie für industrielle Steuerungssysteme sicherzustellen.
Zusammenarbeit für stärkere ICS-Sicherheit
Die Sicherung Ihrer industriellen Steuerungssysteme vor Cyberangriffen ist keine leichte Aufgabe. Die Implementierung eines erfolgreichen ICS-Sicherheitsrahmens ist noch dringlicher, da diese Cyberangriffe nicht nur finanzielle Auswirkungen haben, sondern auch nachteilige Auswirkungen auf die Gesundheit und Sicherheit der Menschen haben können. Da Hacker zunehmend die grundlegenden Herausforderungen ausnutzen, mit denen industrielle Organisationen konfrontiert sind, ist es wichtiger denn je, ein vollständiges Bild der kritischen Vermögenswerte in Ihrer Umgebung zu erhalten. Von dort aus kann Ihr Team diese starke Grundlage nutzen, um erfolgreiche Strategien im Bereich Exposure Management, Netzwerkschutz und Bedrohungserkennung umzusetzen. Durch die Zusammenarbeit mit dem richtigen CPS-Sicherheitsanbieter können Sie Ihre Cybersicherheitsstrategie für industrielle Steuerungssysteme stärken und Cyber- sowie operationale Resilienz gewährleisten.
#Claroty
