Network Detection and Response für die OT
ML-gesteuertes Netzwerk-Monitoring
Die speziellen Protokolle und ungewohnten Kommunikationsmuster der industriellen Betriebstechnik bringen klassische IT-Sicherheitssysteme schnell an ihre Grenze. Insbesondere wenn die Tools Signatur-basiert und ohne künstliche Intelligenz arbeiten. Die OT-Sicherheit benötigt daher einen grundlegend anderen Ansatz.
Zur Operational Technology (OT) zählen industrielle Kontrollsysteme, Fertigungsanlagen und Geräte, die industrielle Umgebungen sowie kritische Infrastrukturen überwachen und verwalten. In den vergangenen Jahren haben Angreifer die mangelnde Erkennung und den fehlenden Schutz vieler industrieller Systeme erkannt und nutzen diese Schwachstellen aktiv aus. Als Reaktion darauf verstärken Sicherheitsverantwortliche ihre Bemühungen, die OT-Umgebungen mit Sicherheitsüberwachungs- und Reaktionsfunktionen zu schützen. Diese Entwicklung wurde durch schwerwiegende Cybervorfälle in der Vergangenheit beschleunigt, die auf kritische OT-Umgebungen abzielten und sogar physische Schäden an Infrastrukturen verursachten.
Vernetzung der Ebenen
OT- und IoT-Netzwerke werden zunehmend in herkömmliche IT-Netzwerke integriert, was zu einer verstärkten Kommunikation zwischen diesen Geräten sowohl intern als auch extern führt. Obwohl diese Konvergenz zahlreiche Vorteile bietet, bringt sie auch neue Sicherheitsrisiken und Herausforderungen mit sich und macht OT-Umgebungen anfälliger für Cyber-Bedrohungen. Um Schäden vorzubeugen, streben die Netzbetreiber mehr Sichtbarkeit und effektive Erkennung von Anomalien in OT-Umgebungen an. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Oft greifbare Auswirkungen
Viele Erkennungsmethoden aus der IT-Sicherheit greifen in der OT zu kurz, da diese andere Empfindlichkeitsschwellen und eine genauere Überwachung von Netzwerksegmenten oder Gerätegruppen sowie spezifische Erkennungsmechanismen erfordert. Im Gegensatz zu IT-Angriffen, die sich auf Datendiebstahl konzentrieren, zielen OT-Angriffe sehr oft auf physische Auswirkungen ab. Aber auch Ransomware spielte zuletzt im OT-Kontext ein bedeutendere Rolle. Erfolgreiche Angriffe können sich auf die Verfügbarkeit von Kontrollsystemen und sogar die Sicherheit der Angestellten auswirken.
Kontrollierter Zugang nötig
Ferner müssen bei der Überwachung von OT-Umgebungen oft Aspekte wie die Zugangsverwaltung für Lieferanten, die Geräteverwaltung und die Netzwerkkommunikation berücksichtigt werden. Die Kontrolle und Überwachung des Lieferantenzugangs zu OT- und IoT-Netzwerken ist eine Herausforderung, da Verbindungen zwischen externen und internen Netzwerken über verschiedene Wege wie VPNs, direkte mobile Verbindungen und Jump-Hosts erfolgen können. Eine weitere Herausforderung ist das Gerätemanagement, das Aktualisierungsmechanismen und Schutz vor unbefugtem Zugriff oder Manipulation umfasst. Die Implementierung regelmäßiger Aktualisierungsroutinen und der Einsatz von Endpoint Detection & Response (EDR) auf OT- und IoT-Geräten sind oft begrenzt oder nicht durchführbar. Die Vielfalt der Geräte, ihre Lebensdauer und gerätespezifische Betriebssysteme machen den Einsatz von Sicherheitssoftware zur Überwachung von OT-Geräten schwierig und umständlich.
Viele IT-Tools ungeeignet
Viele Erkennungsmethoden für IT-Netzwerke erfordern tiefgreifende Protokollkenntnisse, die im OT-Kontext eine Vielzahl unterschiedlicher Protokolle und Angriffsszenarien umfassen, die in kommerziellen IT-Netzwerken nicht üblich sind. Intrusivere Sicherheitslösungen zum aktiven Schwachstellen-Scanning können in OT-Umgebungen ebenfalls problematisch sein, da sie Störungen oder sogar Ausfälle verursachen können. Das Gleiche gilt für Intrusion Prevention Systeme (IPS), da sie Netzwerkpakete blockieren und damit die Stabilität in OT-Umgebungen beeinträchtigen können. Daher sind passive Netzwerkerkennungssysteme wie Network Detection & Response (NDR)-Lösungen für diesen Zweck oft besser geeignet.
Überwachen und absichern
Network Detection and Response (NDR)-Systeme bieten einen nicht-intrusiven Ansatz zur Überwachung von OT-Umgebungen. NDR-Systeme konzentrieren sich auf die Kommunikationsmuster von OT-Geräten, die Schnittstelle zwischen IT und OT und den Zugriff Dritter auf OT-Netzwerke. So sollen diese Anwendungen Transparenz herstellen und Erkennungsfunktionen bereitstellen, ohne den laufenden Betrieb und die Geschäftsprozesse zu stören. Insbesondere NDR-Anwendungen mit erweiterten Baselining-Funktionen können neue und ungewöhnliche Kommunikationsmuster identifizieren, die auf schädliche Aktivitäten in OT-Netzwerken hinweisen. Diese NDR-Systeme verwenden maschinelles Lernen, nutzen Informationen über Datenflüsse für das Baselining und bieten eine protokoll- und geräteunabhängige Erkennung von Anomalien. Dazu erfassen sie, wer mit wem und in welcher Häufigkeit kommuniziert. Anstatt diese Parameter manuell zu konfigurieren, ermitteln NDRs die Baseline, korrelieren auffällige Unregelmäßigkeiten und alarmieren bei verdächtigen Aktivitäten die Sicherheitsteams. Darüber hinaus ermöglicht ein Framework die Einstellung fein abgestimmter Schwellenwerte für die OT-spezifische Überwachung, einschließlich der Möglichkeit, die Lastüberwachung granular und für einzelne Netzwerkzonen einzustellen. Zudem sind ML-Algorithmen zur Erkennung von Anomalien und potenziellen Bedrohungen regelbasierten Systeme häufig überlegen.
ExeonTrace für OT-Netzwerke
Daher sind die passiven Überwachungsfunktionen von NDR-Anwendungen gerade dort gut geeignet, wo alternative Überwachungsmethoden schwierig zu implementieren sind oder Störungen verursachen können. Das ML-gesteuerte NDR-System ExeonTrace analysiert beispielsweise Protokolldaten aus IT-Umgebungen, OT-Netzwerken und Jump-Host-Gateways, um Betreibern den Überblick über die Netzwerkaktivitäten zu vermitteln. Das System ermöglicht die Integration industrietypischer Protokollquellen und lässt sich in andere OT-spezifische Erkennungsplattformen integrieren, um das Schutzniveau auf das gewünschte Maß zu heben.
