Wie technologische Grenzen Ihr OT / IoT-Netzwerk schützen können

Jede technologische Grenze, auf die ein Angreifer stößt, zwingt ihn seine Taktik anzupassen. Diese Grenzen dienen jedoch nicht nur als Hürde für Angreifer, sondern sorgen auch für „Choke-Points“ – Punkte, an denen Überwachung und Bewertung stattfinden können und gleichzeitig der Explosionsradius eines Vorfalls begrenzt werden kann.

Verwenden Sie mehr als ein Betriebssystem

Fallbeispiel. Beginnen wir mit einem hypothetischen Fertigungsunternehmen, das das SolarWinds-Produkt (oder eine ähnliche Lösung) verwendet und den aufgedeckten Hack für einen Moment beiseitelegt. In diesem Beispiel führt die Organisation hauptsächlich die Microsoft Windows-Infrastruktur aus. Wenn SolarWinds ein wichtiger Bestandteil seiner Infrastruktur für Cybersicherheit, Bestandsaufnahme, Überwachung und Patches ist, ist es anfällig für Angriffe auf Windows-Systeme, da es dasselbe Betriebssystem wie andere überwachte Assets verwendet.

Angenommen, ein Virus ist im Windows-Netzwerk des Unternehmens weit verbreitet: Wenn auf dem System zur Steuerung der Unternehmensumgebung auch ein anfälliges Betriebssystem ausgeführt wird, kann es während der forensischen Untersuchung oder der Wiederherstellung infiziert und nicht mehr verfügbar sein. Ein wichtiges Tool, das normalerweise für die Wiederherstellungsbemühungen verwendet wird, muss zum ungünstigsten Zeitpunkt auch selbst wiederhergestellt werden, wenn versucht wird, ein Produktionsnetzwerk wiederherzustellen.

Wenn der Hersteller eine technologische Grenze verwendet hätte, und beispielsweise SolarWinds unter Linux anstelle von Windows laufen ließe, wäre die Wiederherstellung für ihn viel einfacher. Unter Linux hätte SolarWinds sicher im Meer infizierter Windows-Computer arbeiten und eine sichere Grundlage für den Betrieb bieten können. Das Gegenteil gilt auch, wenn die Umgebung voll von kompromittierten Linux-Computern wäre, könnten die Ermittlungs- und Wiederherstellungsbemühungen von einer anderen Plattform wie Windows oder Unix aus durchgeführt werden.

 

Verwenden Sie verschiedene Technologieplattformen

Ein weiteres gutes Beispiel für eine Technologiebarriere ist der Fernzugriff. Wenn Ihre Umgebung nur ein Betriebssystem enthält, möchten Sie möglicherweise, dass die Remotezugriffs- und VPN-Technologien auf verschiedenen technologischen Plattformen vorhanden sind. Dies kann über Betriebssysteme hinausgehen und auch Funktionen enthalten.

Um eine Barriere für den Remotezugriff zu schaffen, muss sichergestellt werden, dass die Verbindungsüberwachung unabhängig von der Zugriffsverwaltung erfolgt. Wenn Anbieter-1 Fernzugriff bietet, sollte Anbieter-2 diesen überwachen. Es wäre gefährlich, wenn ein und dieselbe Lösung Zugriff gewährt und diese eigene Fähigkeit selbst überwacht. Zwischen Fernzugriff und Überwachung sollte immer eine technologische Barriere bestehen, damit der Explosionsradius auf eine einzelne Geschäftsfunktion beschränkt ist, wenn ein Vorfall auf der einen oder anderen Plattform auftritt. Hoffentlich erkennt ein Produkt den Ausfall eines anderen.

Thanks to the COVID-19 pandemic, organizations shifted to remote working models. Post-pandemic, working from home will continue at high levels, and securing remote access will remain a critical area of risk management. Security teams should ensure that remote connection monitoring is done by a different technology than access management. Separate, layered technologies are the best way to achieve defense in depth.

-Andrea Carcano, Co-founder and CPO, Nozomi Networks

Wir sehen, dass diese Barrieretaktik häufig in OT-Umgebungen angewendet wird, in denen ein hohes Risiko oder gefährliche Prozesse (wie das Mischen giftiger oder explosiver Chemikalien) erfolgen und in denen Menschenleben auf dem Spiel stehen. In Situationen, in denen ein Vorfall weitverbreitete Störungen verursachen oder möglicherweise eine ganze Stadt betreffen könnte, ist die Sicherheit von größter Bedeutung. In Einrichtungen wie diesen werden Safety Instrumented Systems (SIS) eingesetzt, um das Risiko zu verringern. In vielen Fällen werden auch separate Technologien verwendet, um zu überwachen und Maßnahmen zu ergreifen, wenn bestimmte Bedingungen erfüllt sind.

Beispielsweise kann eine Einrichtung Vendor X in ihrer Produktionsumgebung ausführen, sie verwendet jedoch Vendor Y oder Vendor Z für das SIS-System. Wenn beispielsweise ein Sensor im Vendor X-System ausfällt und gefährliche Bedingungen auftreten, kommt die Technologiebarriere ins Spiel, die von einem separaten, unabhängigen System erzeugt wird, das seine eigene Überwachung und Steuerung durchführt. Es greift mit seinen eigenen Messwerten ein, identifiziert die gefährlichen Zustände und erzeugt einen Alarm oder liefert die Erkenntnisse, die Sicherheitsteams benötigen, um entsprechend zu handeln.

Stellen Sie sich eine Anlage vor, die mit einem einzelnen Anbieter X läuft und von einem APT-Angriff getroffen wird. Dies könnte zu einem Worst-Case-Szenario führen, in dem nicht nur Produktionssysteme offline geschaltet werden, sondern auch Sicherheitsabschaltsysteme nicht mehr verfügbar sind. Um dies zu verhindern, ist es üblich, in den SIS-Umgebungen mithilfe separater Technologien, Teams und Prozesse Grenzen zu setzen.

Jede Sicherheitsebene fügt Ihrer Kombinationssperre eine weitere Ziffer hinzu

Technologische Barrieren sind ein wirksames Mittel, um es APT-Bedrohungsakteuren zu erschweren, sich unentdeckt seitlich zu bewegen. Ich stelle es mir gerne als einen Angreifer vor, der versucht, einen Safe zu knacken, um Zugang zu den Inhalten zu erhalten… Ihren Wertsachen. Das einzige, was den Angreifer daran hindert, Ihren Sicherheitsbereich zu verletzen, ist die Kombination. Eine Sicherheitsebene erfordert nur eine einstellige Kombination. Jede neue Sicherheitsebene fügt der Kombination eine weitere Ziffer hinzu.

Je mehr Protokolle ein Produkt interpretieren kann, desto umfangreicher ist der Schutzmechanismus. Wenn der Angreifer beispielsweise Protokolle verwendet, die in Vendor X vorhanden sind, Sie aber auch Vendor Z (dh Nozomi Networks) verwenden, das Protokolle einer Vielzahl von Anbietern versteht (Vendor X, Vendor Y, Microsoft, Linux, Rockwell, Siemens, ABB usw.) haben wir mehrere Möglichkeiten, die Angreifer zu beobachten, während sie innerhalb der Grenzen jeder technologischen Barriere operieren.

Die beste Verteidigung ist Verteidigung in der Tiefe

Zusammenfassend lässt sich sagen, dass die beste Verteidigung gegen nationalstaatliche APTs darin besteht, Schichten einzubeziehen, wobei mehrere Technologiebarrieren in jeder Schicht verwendet werden. Verwenden Sie unabhängige und hochsichere Überwachungstools, die nicht denselben Cyberthreats ausgesetzt sind, und Ihre kritischen OT-Systeme sind viel sicherer.

Veröffentlicht am 26.01.2021 im Nozomi Networks-Blog

Der Original-Artikel wurde gekürzt und ins Deutsche übersetzt.