Wenn Sie im Sicherheitsbereich tätig sind, wissen Sie, wie es läuft: Transparenz ist unverzichtbar.
Dies steht im Einklang mit den „SANS 3rd Critical Controls for ICS – Network Visibility and Monitoring“, dem NIST CSF sowie den Normen ISA/IEC 62443, in denen die Anforderungen an die Transparenz ausdrücklich festgelegt sind.
Es ist jedoch eine Herausforderung, die Netzwerktransparenz sicher in OT- und ICS-Umgebungen für alle Teams zu integrieren, die sie benötigen:
- IT- und OT-Sicherheitsteams benötigen Protokolle, um Ereignisse zu überwachen.
- Sicherheitsteams benötigen Daten, um während eines Angriffs fundierte Entscheidungen treffen zu können.
- Forensiker benötigen Daten, um zu verstehen, wie es zu einem Angriff in der OT-Umgebung gekommen ist und wie sich die Ereignisse zeitlich zugetragen haben.
- Auch Compliance-Teams benötigen Unterlagen, um ihre Sorgfaltspflicht nachweisen zu können.
Es geht nicht darum, „wie“ man diesen Teams OT-Zugriff gewährt, sondern darum, den Zugriff zu ermöglichen, ohne dabei versehentlich Angreifern Tür und Tor zu öffnen.
HierNetWall OPSWAT MetaDefender NetWall ins Spiel.
Anstatt jedem dieser Teams Zugriff auf die OT-Umgebung zu gewähren,leitet eine MetaDefender NetWall Einweg-Datendiode Protokolle von der OT zur IT weiter, sodass die Teams sehen können, was vor sich geht, ohne dabei Bedrohungen Tür und Tor zu öffnen.
Wer braucht OT-Protokolle (und warum reicht es nicht, sich einfach „einzuloggen“)?
Rahmenwerke wie die „SANS 3rd Critical Controls for ICS“, das NIST CSF und die Norm ISA/IEC 62443 enthalten klare Regeln zur Transparenz.
Transparenzmaßnahmen sind unerlässlich, um Anlagen zu identifizieren, Schwachstellen aufzudecken und Bedrohungen in Echtzeit zu überwachen, ohne dabei kritische, sensible industrielle Prozesse zu stören.
Innerhalb eines Unternehmens gibt es verschiedene Teams, für die der Zugriff auf OT-Daten in Echtzeit unverzichtbar ist.
SOC-Analysten (Security Operations Center)
SOC-Analysten sind für die Überwachung, Erkennung, Untersuchung und Reaktion auf Sicherheitswarnungen zuständig.
Kurz gesagt besteht ihre Aufgabe darin, Bedrohungen zu erkennen, bevor sie zu Katastrophen werden. Dazu benötigen sie OT-Protokolle in Echtzeit, um Eindringlinge, Malware oder ungewöhnlichen Datenverkehr zu erkennen.
Erlangt ein Angreifer jedoch direkten Zugriff auf die IT-Umgebung, kann er schnell in OT-Systeme vordringen, was ein ernsthaftes Risiko für einen OT-Sicherheitsverstoß darstellt.
Aus diesem Grund können sich SOC-Teams nicht auf einfache Anmeldemethoden verlassen, um für Überwachungszwecke auf OT-Echtzeitdaten zuzugreifen.
Sollte das SOC-System kompromittiert werden, könnte ein Angreifer diese Verbindung als Einfallstor in die OT-Umgebung nutzen.
OT Security
OT-Sicherheitsteams schützen industrielle Steuerungssysteme und OT-Technologie wie SCADA, SPS und Fertigungsroboter, die die physische Infrastruktur steuern.
Diese Teams benötigen Sicherheitsprotokolle für forensische Analysen und die Erkennung von Anomalien.
Es ist auch keine gute Idee, Systemen in der IT-Umgebung mit ICS- und OT-spezifischen Sicherheitstools Zugriff auf die OT-Umgebung zu gewähren.
Ähnlich wie bei der SOC-Situation könnten diese IT-Systeme, sollten sie kompromittiert werden, Angreifern einen direkten Zugang zu den OT-Abläufen verschaffen.
Teams für die Reaktion auf Sicherheitsvorfälle und forensische Analyse
Wird eine Anomalie oder ein Sicherheitsverstoß festgestellt, werden Teams für die Vorfallreaktion und forensische Analyse hinzugezogen, um den Vorfall zu untersuchen und Abhilfe zu schaffen.
Sie benötigen Protokolle, um Angriffe auf OT-Systeme zu erkennen, einzudämmen und zu beseitigen, und damit die Grundlage für Präventionsmaßnahmen und die Vermeidung von Wiederholungsfällen zu schaffen.
In der Regel werden diese Teams jedoch erst hinzugezogen, wenn bereits ein Sicherheitsvorfall bestätigt wurde – zu einem Zeitpunkt, an dem die Risiken noch höher sind.
Sollten Antwort-Tools oder Zugangsdaten kompromittiert werden, würde ein Anmeldeweg in das OT-System Angreifern genau das liefern, was sie brauchen.
Daher sollten Incident-Response- und Forensik-Teams keinen direkten, auf Anmeldedaten basierenden Zugriff auf die OT-Umgebung haben.
Teams für Einhaltung und Prüfung
Wenn keine Protokolle vorliegen, werden die Compliance-Standards nicht erfüllt.
Compliance- und Audit-Teams benötigen eine langfristige Protokollspeicherung und eine zuverlässige Ereignisverfolgung, um gesetzliche und Berichtspflichten zu erfüllen.
Es ist jedoch weder notwendig noch ratsam, den Prüfern direkten Zugriff auf die OT-Umgebung zu gewähren.
Es ist weitaus sicherer und besser kontrollierbar, ihnen die erforderlichen Protokolle und Berichte extern zur Verfügung zu stellen, anstatt einen direkten Zugriff auf die OT-Systeme zu ermöglichen.
Warum eine Datendiode? Weil der eingehende Datenverkehr ein Albtraum ist
An dieser Stelle ist klar, dass die direkte Abfrage von OT-Protokollen durch Unternehmenssysteme hohe Sicherheitsrisiken mit sich bringt.
Eine unzureichend gesicherte Verbindung ist alles, was ein Angreifer braucht, um:
- Wechsel von der IT zur OT.
- Exfiltrieren Sie sensible Daten aus OT- und ICS-Umgebungen, einschließlich Informationen zu Steuerungssystemen wie Hersteller und Modelle von SPSen, Prozesswerten und mehr.
- Sie manipulieren die Protokolle, um ihre Spuren zu verwischen.
MetaDefender Netwall beseitigt diese Risiken, indem es einen unidirektionalen Datenfluss auf Hardwareebene erzwingt.
Protokolle werden gesendet, aber es kommt nichts zurück.
Unsere Teams erhalten die benötigten Daten, und die OT-Umgebung bleibt abgeschirmt und sicher.
Wie es funktioniert
Die OT-Splunk-Instanz sammelt Sicherheitsprotokolle aus der gesamten OT-Umgebung.
- Die Sammlung umfasst Firewall-Protokolle,IPS , Windows-Ereignisprotokolle und sogar SPS-Ereignisse.
Anstatt Unternehmensanwendern oder -systemen Zugriff auf die OT-Umgebung zu gewähren, leitet OPSWAT NetWall die ProtokolleNetWall vom OT-Splunk-Kollektor nach außen weiter.
Die Splunk-Instanz des Unternehmens erhält daraufhin eine Splunk-zu-Splunk-Kopie dieser Ereignisse.
Auf diese Weise erhalten Sicherheits- und Compliance-Teams den nötigen Überblick, ohne Zugangswege nach innen zu schaffen, die die OT-Umgebung Risiken aussetzen könnten.
Abschließende Gedanken: Sicherheit ohne Kompromisse
Wenn Ihre Sicherheitsteams im Unternehmen nach OT-Protokollen fragen, lehnen Sie dies nicht mit einem kategorischen „Nein“ ab.
Sie können ihnen die erforderlichen Zugriffsrechte gewähren, jedoch nicht auf eine Weise, die die gesamte Umgebung gefährdet.
Die OPSWAT Netwall-Datendiode bietet ihnen die erforderliche Transparenz und gewährleistet gleichzeitigdie Sicherheitder OT-Umgebung.
Ohne eingehenden Zugriff besteht keine Gefahr einer Kompromittierung.
OPSWAT NetWall , dass die richtigen Daten auf die richtige Weise in die richtigen Hände gelangen.
Sie müssen sich nicht zwischen Sichtbarkeit und Sicherheit entscheiden.
Mit einer Datendiode können Sie beides haben.
Kontaktieren Sie uns und erfahren Sie, wie OPSWAT NetWall die Produktivität Ihrer SicherheitsteamsNetWall und Ihre OT-Umgebung schützt.
