Im Schatten der IT-Sicherheit: Die zentrale Rolle von NDR beim Schutz von OT-Netzen

Why Network Detection & Response is Best for OT Networks

Warum ist die Visibilität in OT-Umgebungen so wichtig?

Die Relevanz der Betriebstechnologie (Operational Technology, kurz OT) für Unternehmen ist unbestreitbar, da der OT-Sektor parallel zum bereits blühenden IT-Sektor weiter expandiert. Neben dem bereits prosperierenden IT-Sektor erfährt der OT-Bereich ein starkes Wachstum. OT umfasst industrielle Steuerungssysteme, Produktionsanlagen und Geräte zur Überwachung und Verwaltung industrieller Umgebungen und kritischer Infrastrukturen. Angreifer haben in den letzten Jahren den Mangel an Detektions- und Schutzmassnahmen in vielen industriellen Systemen erkannt und nutzen diese Schwachstellen aktiv aus. Als Reaktion darauf haben IT-Sicherheitsverantwortliche erkannt, dass es notwendig ist, ihre OT-Umgebungen mit Überwachungs- und Reaktionsfunktionen zu schützen. Diese Entwicklung wurde durch ernsthafte Cyber-Zwischenfälle in der Vergangenheit beschleunigt, die sich auf kritische OT-Umgebungen konzentrierten und sogar physische Schäden an Infrastrukturen verursachten. Angesichts der zentralen Rolle dieser Systeme für den Betrieb von Unternehmen und die moderne Gesellschaft ist es von grosser Bedeutung, ihre Sicherheit zu gewährleisten.

Der zugrunde liegende Trend ist eindeutig: OT- und IoT-Netzwerke werden zunehmend in herkömmliche IT-Netzwerke integriert, um Verwaltungs- und Zugriffsprozesse zu optimieren. Dies führt zu einer intensivierten Kommunikation zwischen diesen Geräten, sowohl intern als auch extern. Dies betrifft nicht nur die Netzwerke selbst, sondern hat auch erhebliche Auswirkungen auf die Sicherheitsteams, die für den Schutz der Umgebung verantwortlich sind. Obwohl diese Konvergenz von OT und IT zahlreiche Vorteile bietet, wie etwa eine höhere Effizienz und geringere Betriebskosten, bringt sie auch neue Sicherheitsrisiken und Herausforderungen mit sich und macht OT-Umgebungen anfälliger für Cyber-Bedrohungen. Wie frühere Angriffe gezeigt haben, bleiben diese Bedrohungen aufgrund einer unzureichenden Sicherheitsüberwachung oft unentdeckt, sodass Bedrohungsakteure über einen längeren Zeitraum hinweg unerkannt bleiben können. Daher ist eine umfassende Sichtbarkeit und eine effektive Erkennung von Anomalien in OT-Umgebungen entscheidend für die Aufrechterhaltung einer stabilen Sicherheit und Kontrolle.

Welche Herausforderungen ergeben sich bei der Überwachung von OT-Umgebungen?

In erster Linie ist es entscheidend, die einzigartige Bedrohungslandschaft von OT-Umgebungen zu verstehen. Herkömmliche IT-Sicherheitserkennungsmethoden sind in diesem Kontext unzuverlässig, da sie angepasste Empfindlichkeitsschwellen, eine genauere Überwachung von Netzwerksegmenten oder Gerätegruppen sowie OT-spezifische Erkennungsmechanismen erfordern. Im Gegensatz zu IT-Angriffen, die sich primär auf Datendiebstahl konzentrieren, zielen OT-Angriffe in der Regel auf physische Auswirkungen ab. Wie jüngste Beispiele zeigen, ist Ransomware im OT-Kontext auf dem Vormarsch und beeinträchtigt direkt die Verfügbarkeit von Steuersystemen und deren Sicherheit. In diesem Zusammenhang stehen verschiedene Werkzeuge zur Verfügung, unter anderem die MITRE ATT&CK Matrix für ICS oder das SANS Whitepaper bezüglich ICS Cyber Kill Chain.

Network security for OT environments: detecting cyber threats within operational technology

Zweitens müssen bei der Überwachung von OT-Umgebungen verschiedene Aspekte berücksichtigt werden, wie z. B. die Zugangsverwaltung für Lieferanten, das Gerätemanagement und die Netzwerkkommunikation. Die Kontrolle und Überwachung des Lieferantenzugriffs auf OT- und IoT-Netzwerke ist eine Herausforderung, da Verbindungen zwischen externen und internen Netzwerken auf vielfältige Weise, wie über VPNs, direkte mobile Verbindungen und Jump Hosts, hergestellt werden können. Eine weitere Hürde stellt das Gerätemanagement dar, welches Aktualisierungsmechanismen und den Schutz vor unbefugtem Zugriff oder Manipulation umfasst. Die Implementierung regelmässiger Aktualisierungsroutinen und der Einsatz von Endpoint Detection & Response (EDR) auf OT- und IoT-Geräten ist oft nur begrenzt oder gar nicht möglich. Denn die Vielfalt der Geräte, ihre Lebensdauer und gerätespezifische Betriebssysteme machen den Einsatz von Sicherheitssoftware zur Überwachung von OT-Geräten schwierig und aufwändig.

Drittens erfordern traditionelle Methoden zur Detektion innerhalb IT-Netzwerken tiefgreifende Kenntnisse der Protokolle, die im OT-Kontext eine breite Palette unterschiedlicher Protokolle und Angriffsszenarien umfassen, die in herkömmlichen Regelsätzen nicht enthalten sind. Ausserdem verbinden OT-Netzwerkgeräte IoT-Sensoren und -Maschinen über Kommunikationsprotokolle, die in herkömmlichen IT-Netzwerken nicht üblich sind. Andererseits werden zunehmend auch Web-Schnittstellen für die Geräte bereitgestellt und klassische Protokolle verwendet. Was invasive Sicherheitslösungen angeht, so können aktive Vulnerability-Scanning-Methoden in OT-Umgebungen problematisch sein, da sie Störungen oder sogar Ausfälle verursachen können. Das Gleiche gilt für Intrusion Prevention Systems (IPS), da sie Netzwerkpakete blockieren und damit die Stabilität und Geschäftskontinuität in OT-Umgebungen beeinträchtigen können. Daher sind passive Netzwerkerkennungssysteme wie Network Detection & Response (NDR)-Lösungen-Lösungen besser für diesen Zweck geeignet.

Wie kann ich meine OT-Umgebung effektiv überwachen und sichern?

Sicheres Zugriffsmanagement und Lebenszyklusmanagement von Geräten sind zwar unerlässlich, ihre nahtlose Implementierung kann jedoch eine grosse Herausforderung darstellen. In diesem Zusammenhang bieten Network Detection and Response (NDR)-Lösungen einen nicht-intrusiven und effektiven Ansatz zur Überwachung von OT-Umgebungen. NDR-Systeme konzentrieren sich auf die Kommunikationsmuster von OT-Geräten, die Schnittstelle zwischen IT und OT und den Zugriff Dritter auf OT-Netzwerke und bieten so umfassende Transparenz und Erkennungsfunktionen, ohne den industriellen Betrieb und die Geschäftsprozesse zu stören.

Insbesondere NDR-Lösungen mit erweiterten Baselining-Funktionen zeichnen sich durch die Erkennung neuer und ungewöhnlicher Kommunikationsmuster aus, die auf bösartige Aktivitäten in OT-Netzwerken hindeuten könnten. Diese NDR-Systeme nutzen Netzwerkinformationen für das Baselining und bieten eine protokoll- und geräteunabhängige Erkennung von Anomalien, indem sie lernen, wer mit wem und mit welcher Häufigkeit kommuniziert. Anstatt diese Parameter manuell zu konfigurieren, lernt der NDR die Basislinie und alarmiert die Sicherheitsteams bei ungewöhnlichen Anfragen oder Änderungen in der Häufigkeit. Darüber hinaus ermöglicht ein flexibles Erkennungs-Framework die Einstellung abgestimmter Schwellenwerte für die OT-spezifische Überwachung, einschliesslich der Möglichkeit, die Lastüberwachung mit netzwerkzonenspezifischer Granularität einzustellen. Darüber hinaus ermöglicht der Einsatz von ML-Algorithmen eine genauere Erkennung von Anomalien und potenziellen Bedrohungen im Vergleich zu herkömmlichen regelbasierten Systemen.

Daher sind die passiven Überwachungsfunktionen von NDR-Lösungen für OT- und IoT-Umgebungen von entscheidender Bedeutung, wo alternative Überwachungsmethoden schwierig zu implementieren sind oder Störungen verursachen können. ExeonTrace, ein besonders robustes und einfach zu implementierendes ML-gesteuertes NDR-System für OT-Umgebungen, analysiert Protokolldaten aus herkömmlichen IT-Umgebungen, OT-Netzwerken und Jump-Host-Gateways, um einen umfassenden und ganzheitlichen Überblick über die Netzwerkaktivitäten zu erhalten. Dabei ist die Flexibilität der Integration verschiedener Protokollquellen von Drittanbietern, wie z. B. OT-spezifischer Protokolle, von entscheidender Bedeutung. Die Fähigkeit von ExeonTrace, sich in andere OT-spezifische Erkennungsplattformen zu integrieren, erweitert zudem seine Fähigkeiten und gewährleistet eine umfassende Sicherheitsabdeckung.

ExeonTrace Platform: OT Network Visibility

ExeonTrace Plattform: Visibilität ins OT Netzwerk

Fazit: OT-Sicherheit durch NDR

Zusammenfassend lässt sich sagen, dass NDR-Lösungen wie ExeonTrace die besonderen Herausforderungen der OT-Überwachung effektiv angehen und das Schweizer NDR-System sich als bevorzugter Erkennungsansatz für die Sicherung von OT-Umgebungen etabliert hat. Durch die Implementierung von ML-gesteuerten NDR-Systemen wie ExeonTrace können Unternehmen ihre industriellen Abläufe zuverlässig überwachen und so die Geschäftskontinuität gewährleisten. Finden Sie heraus, ob ExeonTrace die ideale Lösung für Ihr Unternehmen ist, und fordern Sie noch heute eine Demo an.

Loris Friedli

Author:

Loris Friedli

Content Specialist

email:

loris.friedli@exeon.com

Share:

Published on:

02.06.2023