Vier Lösungen zur Begrenzung des Risikos
Erstens: Einrichtung einer Firewall zwischen IT und OT
IT und OT sind nicht ausreichend voneinander getrennt. Um beide zu schützen, müssen sie voneinander getrennt werden, indem eine Barriere zwischen ihnen errichtet wird: eine „demilitarisierte Zone“ oder DMZ.
DMZ
Zweitens: Auswahl eines EDR nach OT-Spezifikationen
Ein EDR (Endpoint Detection Response) ist ein Antivirenprogramm der nächsten Generation zur Erkennung und Reaktion auf Vorfälle, das die Analyse von Malware und den Abgleich mit einer umfangreichen Virendatenbank kombiniert. Das EDR überwacht in Echtzeit alle laufenden Prozesse auf Workstations und Servern, um bösartige Verhaltenssequenzen zu erkennen.
Das EDR deckt ein breites Spektrum an Betriebssystemen (OS) ab, um die Veralterung der OT-Betriebssysteme (manchmal noch Windows 7 oder sogar XP!) zu kompensieren.
Es gibt zwei Einsatzmodelle eines EDR, um die Kommunikationsmöglichkeiten zwischen OT-Assets und dem Internet teilweise einzuschränken oder vollständig zu unterbinden:
- Eine Pufferlösung mit einem Proxy in der DMZ, der eine Protokollunterbrechung zwischen dem OT-Gerät oder -Asset und dem Internet (d. h. der Cloud-Plattform des EDR) ermöglicht;
- eine vollständige Bereitstellung der EDR-Lösung, einschließlich der Analyseplattform, die vor Ort in der lokalen Infrastruktur eingesetzt wird.
Drittens: Vorhandensein einer handwerklichen Sonde zur Erfassung des Industrienetzes (NDR)
Die Netzwerküberwachung ist von entscheidender Bedeutung für das Verständnis einer OT-Umgebung und insbesondere der Kommunikation zwischen verschiedenen Geräten. Eine Bezugnahme auf Log-Dateien ist nicht möglich, da nicht alle Industrieanlagen Logs erzeugen.
Bei der Erkennungssonde handelt es sich um eine nicht-intrusive Technologie, die es ermöglicht, die Vorgänge in einem Netzwerk abzuhören und zu analysieren, Elemente zu kartieren und anormale Ereignisse, wie z. B. einen Angriff, zu erkennen, ohne den Betrieb der Geräte zu stören und somit ohne eine Beeinträchtigung der Produktion.
Sie kann entweder zu 100 % lokal arbeiten oder zur Integration der neuesten Angriffsszenarien und zur Identifizierung von Schwachstellen Informationen aus der Cyber Threat Intelligence abrufen.
Viertens: Einrichtung von „Honeypots“
Ein „Honeypot“ ist eine Täuschung. Es handelt sich um ein absichtlich verwundbares System, um Angreifer anzulocken, ihre Techniken zu beobachten und auszunutzen. Dabei handelt es sich um fiktive Systeme, die keinen Kontakt zur realen OT- oder IT-Umgebung haben: Aktionen der Angreifer haben keine Auswirkungen.
Durch die Installation eines Honeypots und dessen Verbindung mit dem SOC können die Anfänge eines Angriffs erkannt werden, was eine schnellere oder sogar sofortige Erkennung ermöglicht.
Security by Design: Vorbeugung zur Reduzierung der Angriffsfläche
Für einen Hersteller bedeutet Security by Design, dass er das Konzept des Risikos bereits in der Entwurfsphase in sein Projekt einbezieht. Der Lieferant führt Penetrationstests an seinen Geräten durch, bevor er sie ausliefert.
Security by Design ermöglicht auch die Einführung von Präventionslösungen, die den spezifischen Vorschriften der OT entsprechen (siehe unseren Artikel über die Cyberrisiken von OT-Umgebungen), wie etwa eine Zulassung oder Zertifizierung. Beispielsweise kann ein nach der Norm NF EN IEC 62443 zertifiziertes Produkt gewährleisten, dass die Ausrüstung robuster ist und die Kriterien von Security by Design erfüllt.
So hat Fives CortX kürzlich Advens beauftragt, das Unternehmen bei der Zulassung seiner Lösung CortX Alchemy Edge zu unterstützen.
Mit Hilfe von Erkennungswerkzeugen und -lösungen ist es heute möglich, die Materialisierung eines Risikos für die Architektur eines industriellen Systems zu begrenzen. Sicherheitszertifizierungen im Sinne des Security-by-Design-Ansatzes helfen, Risiken zu vermeiden. Advens bietet Audit- und Beratungsunterstützung bei der Zulassung Ihrer Produkte, um die Angriffsfläche so gering wie möglich zu halten. Informieren Sie sich über unsere Angebote für die Sicherheit von OT-Umgebungen.
