Mitsubishi Electric to Acquire Nozomi Networks
Read the News
Ein einfacher Vergleich zwischen OT und IT lautet wie folgt: Die IT legt Wert auf Datenintegrität, Vertraulichkeit und Verfügbarkeit. Die OT legt Wert auf Betriebszeit, Sicherheit und Zuverlässigkeit der Prozesse.
Die IT ist in einem Unternehmen allgegenwärtig und wird von fast jedem Mitarbeiter in jeder Kostenstelle genutzt. Daher konzentriert sich die IT-Sicherheit auf den Schutz der Daten vor unbefugtem Zugriff oder Veränderung, wobei der Schwerpunkt auf rollenbasiertem Zugriff und der Schulung der Benutzer, dem schwächsten Glied, in sicheren Cybersicherheitsverfahren liegt.
OT assets and networks typically manage and control the crown jewels that drive revenue for an organization (or provide essential public services), often autonomously. If OT fails or is attacked, the stakes are higher than with IT, especially for critical infrastructure. Therefore, OT security involves ensuring the safe, reliable operation of physical processes.
Der Schutz von OT und -Netzwerken ist im Vergleich zu IT-Cybersicherheitspraktiken mit vielen Herausforderungen verbunden, die eng mit den Unterschieden zwischen OT und IT-Systemen selbst zusammenhängen.
Die schiere Menge und Vielfalt von OT und IoT macht ihre Verwaltung schwieriger als die von IT-Geräten. Außerdem ist jede Komponente in einem OT Teil eines größeren Prozesses in einer sehr verteilten Umgebung. Wenn eine Maschine ein Problem hat, muss man sofort erfahren, wovon sie abhängt und was von ihr abhängt.
In der Vergangenheit waren OT "air-gapped" - ohne Verbindung zum Internet oder zu Unternehmens-IT-Netzwerken waren Cyber-Bedrohungen kein Thema. Diese Zeiten sind längst vorbei, aber allzu oft wird die Cybersicherheit in OT immer noch vernachlässigt. Dank der industriellen Digitalisierung umfassen die heutigen Produktionsumgebungen Hunderte miteinander verbundener digitaler Systeme, die die Effizienz verbessern, aber auch neue Risiken mit sich bringen. Viele OT werden nicht verwaltet und können nicht wie IT-Computer und -Server gepatcht werden. Wo ein Patching möglich ist, kann es nicht automatisiert werden. Von einigen Ausnahmen abgesehen, beruht die Erkennung von Bedrohungen auf Deep Packet Inspection und verhaltensbasierten Anomalieerkennungstechniken, die speziell für OT entwickelt wurden.
Ransomware-Angriffe machen Schlagzeilen, aber alltägliche Netzwerk- oder Prozessfehlkonfigurationen, Betriebsfehler, Spitzen bei der Ressourcennutzung und andere Anomalien bedrohen OT viel eher als Angriffe von außen. Eine Anomalie ist alles, was von der Basisleistung abweicht. Das können instabile Prozesswerte, falsche Prozessmessungen und Fehlkonfigurationen sein, die zu Fehlfunktionen führen können.
Daten, die sich durch OT und -Prozesse bewegen (z. B. Prozesswerte), sind nur für einen Augenblick relevant, und es kann Millionen dieser Datenpunkte pro Minute geben. Daher konzentriert sich die OT weniger auf die Datenexfiltration als vielmehr darauf, sicherzustellen, dass Daten nur zwischen autorisierten Geräten ausgetauscht werden und in jedem Moment aktuell sind.
Die meisten IT-Systeme haben einen kurzen Lebenszyklus mit eingebauter Obsoleszenz. Software wird aus dem Verkehr gezogen oder alle paar Jahre einem größeren Upgrade unterzogen, und Hardware muss häufig ersetzt werden. Die OT hat im Allgemeinen einen langen Lebenszyklus - in manchen Fällen bis zu mehreren Jahrzehnten. Geräte wie SPS werden oft speziell für raue Produktionsumgebungen entwickelt - und für eine lange Lebensdauer gebaut. Viele OT basieren immer noch auf älteren Technologien, die von vornherein unsicher" sind und gut dokumentierte Schwachstellen aufweisen, die allzu oft nicht behoben werden. Außerdem kann es Jahre dauern, bis die Geräte vom Werk genehmigt und vor Ort abgenommen werden, so dass kleine Verbesserungen nicht erwünscht sind.
Einige OT - und ihre Komponenten - laufen jahrelang ununterbrochen, mit kurzen Zeitfenstern für geplante Wartungsarbeiten. Ein kontinuierlicher Betrieb trägt zur Sicherheit und Zuverlässigkeit bei, da Ausfallzeiten in industriellen Umgebungen zu kritischen Fehlern führen können. Patches (sofern verfügbar) und andere Aktualisierungen sind selten und müssen in engen Wartungsfenstern eingeplant werden.
IT uses standard operating systems and communicate using standard protocols. Many OT devices have proprietary operating systems specific to their use. OT systems also use hundreds of protocols to communicate, many of them industry specific and inherently insecure. These protocols are tailored for real-time monitoring and control of physical processes and devices, prioritizing reliability, deterministic response times and resilience over speed and flexibility. Proprietary protocols like Modbus or Profibus that must be carefully analyzed using deep packet inspection (DPI) to identify suspicious or anomalous behavior. IT intrusion detection systems (IDS) and endpoint detection and response systems (EDRs) don't understand industrial protocols so can't detect OT-focused threats. At best they would be ineffective; at worst they could consume too many resources or break something.
An einem beliebigen Tag können sich Dutzende von Technikern von Drittanbietern per Fernzugriff anmelden, um die Produktion zu überwachen und Fehler zu beheben, wobei sie häufig ihre eigenen Fernzugriffstools verwenden. Der laxe Umgang mit schwachen Anmeldeinformationen und Standardpasswörtern macht Unternehmen anfällig für Angriffe durch Remotecodeausführung.
Vor allembei unbemannten Geräten werden die Standardpasswörter möglicherweise nie geändert, was es böswilligen Akteuren leicht macht, sie zu hacken, und eine Multi-Faktor-Authentifizierung (MFA) ist unpraktisch. Stattdessen wird eine kontinuierliche Überwachung eingesetzt, um Geräte zu authentifizieren und die Integrität der Kommunikation zwischen Geräten zu gewährleisten.
Die Segmentierung ist eine wichtige ausgleichende Kontrolle zur Begrenzung der Kommunikation und zum Schutz von Geräten, die nur selten oder gar nicht repariert werden können. Um die Kronjuwelen der Industrie zu isolieren und zu verhindern, dass Cybervorfälle in IT-Netzwerken seitlich auf OT übergreifen, werden in Industrieumgebungen sichere Zonen und Conduits eingesetzt, die den Verkehr zwischen den Segmenten steuern und überwachen
Das Verständnis für Cybersecurity-Risiken, die Einführung bewährter Sicherheitsverfahren und die Schaffung einer Kultur des Bewusstseins in der Industrie sind wichtige kulturelle Veränderungen. Um beispielsweise OT dazu zu bringen, die Minderung von Cybersecurity-Risiken als planmäßige Wartung zu akzeptieren, ist ein Umdenken erforderlich. Da CISOs ein unternehmensweites Risikomanagement einführen und OT zunehmend in ihre Zuständigkeit fällt, muss dieser Wandel stattfinden.
Entgegen der anfänglichen Skepsis profitieren OT von der kontinuierlichen Überwachung von Anlagen und Netzwerken in vielerlei Hinsicht. Sie sammelt eine Fülle von Informationen über die überwachten Anlagen und Prozesse, die nützlich sind, um wichtige Veränderungen zu erkennen, sowohl Anomalien im Vergleich zur Basislinie als auch Bedrohungen der Cybersicherheit. Sobald die kontinuierliche Überwachung beginnt, werden in der Regel Probleme aufgedeckt, von deren Existenz die Betreiber nichts wussten.
Sobald die Plattform Nozomi Networks installiert ist, beginnen die Netzwerksensoren mit der Analyse des ICS-Netzwerkverkehrs und erstellen eine interaktive Visualisierung davon. Betreiber und Cybersicherheitspersonal sehen die industriellen Netzwerkknoten oft zum ersten Mal visualisiert. Sie erkennen schnell Aspekte ihrer Umgebung, die ihnen vorher nicht bewusst waren, und können leicht nach weiteren Informationen suchen.
Die Hinzufügung von sicheren, störungsfreien endpoint , die speziell für OT entwickelt wurden, bietet eine weitere Ebene wertvoller Informationen: Bediener können nicht nur Konfigurationsänderungen und Anomalien erkennen, sondern auch, wer sich bei einem Gerät angemeldet hat, mit welchen anderen Geräten es kommuniziert und welche Protokolle es verwendet. Zwei große Vorteile sind die Transparenz des Ost-West-Verkehrs auf niedrigeren Purdue-Ebenen und nicht autorisierte USB-Verbindungen.
In fusionierten OT Security Operations Centers (SOCs) treffen die beiden Kulturen wirklich aufeinander. Sie erfreuen sich zunehmender Beliebtheit aus offensichtlichen Gründen wie zentraler CISO-Aufsicht, OT , verbesserten Reaktionszeiten und natürlich Kosteneinsparungen. Anstelle eines fusionierten SOC sieht man jedoch häufiger das traditionelle IT-SOC-Team, das einem neuen Kunden, der OT , eine Dienstleistung anbietet. Häufig ist das, was sich abspielt, ein Lehrbuchbeispiel dafür, dass der Dienstleister seinen Kunden nicht versteht. Ein umfassender Wissenstransfer müsste stattfinden, tut es aber nicht.
Ein einfacher Vergleich zwischen OT und IT lautet wie folgt: Die IT legt Wert auf Datenintegrität, Vertraulichkeit und Verfügbarkeit. Die OT legt Wert auf Betriebszeit, Sicherheit und Zuverlässigkeit der Prozesse.
Die IT ist in einem Unternehmen allgegenwärtig und wird von fast jedem Mitarbeiter in jeder Kostenstelle genutzt. Daher konzentriert sich die IT-Sicherheit auf den Schutz der Daten vor unbefugtem Zugriff oder Veränderung, wobei der Schwerpunkt auf rollenbasiertem Zugriff und der Schulung der Benutzer, dem schwächsten Glied, in sicheren Cybersicherheitsverfahren liegt.
OT assets and networks typically manage and control the crown jewels that drive revenue for an organization (or provide essential public services), often autonomously. If OT fails or is attacked, the stakes are higher than with IT, especially for critical infrastructure. Therefore, OT security involves ensuring the safe, reliable operation of physical processes.
Der Schutz von OT und -Netzwerken ist im Vergleich zu IT-Cybersicherheitspraktiken mit vielen Herausforderungen verbunden, die eng mit den Unterschieden zwischen OT und IT-Systemen selbst zusammenhängen.
Die schiere Menge und Vielfalt von OT und IoT macht ihre Verwaltung schwieriger als die von IT-Geräten. Außerdem ist jede Komponente in einem OT Teil eines größeren Prozesses in einer sehr verteilten Umgebung. Wenn eine Maschine ein Problem hat, muss man sofort erfahren, wovon sie abhängt und was von ihr abhängt.
In der Vergangenheit waren OT "air-gapped" - ohne Verbindung zum Internet oder zu Unternehmens-IT-Netzwerken waren Cyber-Bedrohungen kein Thema. Diese Zeiten sind längst vorbei, aber allzu oft wird die Cybersicherheit in OT immer noch vernachlässigt. Dank der industriellen Digitalisierung umfassen die heutigen Produktionsumgebungen Hunderte miteinander verbundener digitaler Systeme, die die Effizienz verbessern, aber auch neue Risiken mit sich bringen. Viele OT werden nicht verwaltet und können nicht wie IT-Computer und -Server gepatcht werden. Wo ein Patching möglich ist, kann es nicht automatisiert werden. Von einigen Ausnahmen abgesehen, beruht die Erkennung von Bedrohungen auf Deep Packet Inspection und verhaltensbasierten Anomalieerkennungstechniken, die speziell für OT entwickelt wurden.
Ransomware-Angriffe machen Schlagzeilen, aber alltägliche Netzwerk- oder Prozessfehlkonfigurationen, Betriebsfehler, Spitzen bei der Ressourcennutzung und andere Anomalien bedrohen OT viel eher als Angriffe von außen. Eine Anomalie ist alles, was von der Basisleistung abweicht. Das können instabile Prozesswerte, falsche Prozessmessungen und Fehlkonfigurationen sein, die zu Fehlfunktionen führen können.
Daten, die sich durch OT und -Prozesse bewegen (z. B. Prozesswerte), sind nur für einen Augenblick relevant, und es kann Millionen dieser Datenpunkte pro Minute geben. Daher konzentriert sich die OT weniger auf die Datenexfiltration als vielmehr darauf, sicherzustellen, dass Daten nur zwischen autorisierten Geräten ausgetauscht werden und in jedem Moment aktuell sind.
Die meisten IT-Systeme haben einen kurzen Lebenszyklus mit eingebauter Obsoleszenz. Software wird aus dem Verkehr gezogen oder alle paar Jahre einem größeren Upgrade unterzogen, und Hardware muss häufig ersetzt werden. Die OT hat im Allgemeinen einen langen Lebenszyklus - in manchen Fällen bis zu mehreren Jahrzehnten. Geräte wie SPS werden oft speziell für raue Produktionsumgebungen entwickelt - und für eine lange Lebensdauer gebaut. Viele OT basieren immer noch auf älteren Technologien, die von vornherein unsicher" sind und gut dokumentierte Schwachstellen aufweisen, die allzu oft nicht behoben werden. Außerdem kann es Jahre dauern, bis die Geräte vom Werk genehmigt und vor Ort abgenommen werden, so dass kleine Verbesserungen nicht erwünscht sind.
Einige OT - und ihre Komponenten - laufen jahrelang ununterbrochen, mit kurzen Zeitfenstern für geplante Wartungsarbeiten. Ein kontinuierlicher Betrieb trägt zur Sicherheit und Zuverlässigkeit bei, da Ausfallzeiten in industriellen Umgebungen zu kritischen Fehlern führen können. Patches (sofern verfügbar) und andere Aktualisierungen sind selten und müssen in engen Wartungsfenstern eingeplant werden.
IT uses standard operating systems and communicate using standard protocols. Many OT devices have proprietary operating systems specific to their use. OT systems also use hundreds of protocols to communicate, many of them industry specific and inherently insecure. These protocols are tailored for real-time monitoring and control of physical processes and devices, prioritizing reliability, deterministic response times and resilience over speed and flexibility. Proprietary protocols like Modbus or Profibus that must be carefully analyzed using deep packet inspection (DPI) to identify suspicious or anomalous behavior. IT intrusion detection systems (IDS) and endpoint detection and response systems (EDRs) don't understand industrial protocols so can't detect OT-focused threats. At best they would be ineffective; at worst they could consume too many resources or break something.
An einem beliebigen Tag können sich Dutzende von Technikern von Drittanbietern per Fernzugriff anmelden, um die Produktion zu überwachen und Fehler zu beheben, wobei sie häufig ihre eigenen Fernzugriffstools verwenden. Der laxe Umgang mit schwachen Anmeldeinformationen und Standardpasswörtern macht Unternehmen anfällig für Angriffe durch Remotecodeausführung.
Vor allembei unbemannten Geräten werden die Standardpasswörter möglicherweise nie geändert, was es böswilligen Akteuren leicht macht, sie zu hacken, und eine Multi-Faktor-Authentifizierung (MFA) ist unpraktisch. Stattdessen wird eine kontinuierliche Überwachung eingesetzt, um Geräte zu authentifizieren und die Integrität der Kommunikation zwischen Geräten zu gewährleisten.
Die Segmentierung ist eine wichtige ausgleichende Kontrolle zur Begrenzung der Kommunikation und zum Schutz von Geräten, die nur selten oder gar nicht repariert werden können. Um die Kronjuwelen der Industrie zu isolieren und zu verhindern, dass Cybervorfälle in IT-Netzwerken seitlich auf OT übergreifen, werden in Industrieumgebungen sichere Zonen und Conduits eingesetzt, die den Verkehr zwischen den Segmenten steuern und überwachen
Das Verständnis für Cybersecurity-Risiken, die Einführung bewährter Sicherheitsverfahren und die Schaffung einer Kultur des Bewusstseins in der Industrie sind wichtige kulturelle Veränderungen. Um beispielsweise OT dazu zu bringen, die Minderung von Cybersecurity-Risiken als planmäßige Wartung zu akzeptieren, ist ein Umdenken erforderlich. Da CISOs ein unternehmensweites Risikomanagement einführen und OT zunehmend in ihre Zuständigkeit fällt, muss dieser Wandel stattfinden.
Entgegen der anfänglichen Skepsis profitieren OT von der kontinuierlichen Überwachung von Anlagen und Netzwerken in vielerlei Hinsicht. Sie sammelt eine Fülle von Informationen über die überwachten Anlagen und Prozesse, die nützlich sind, um wichtige Veränderungen zu erkennen, sowohl Anomalien im Vergleich zur Basislinie als auch Bedrohungen der Cybersicherheit. Sobald die kontinuierliche Überwachung beginnt, werden in der Regel Probleme aufgedeckt, von deren Existenz die Betreiber nichts wussten.
Sobald die Plattform Nozomi Networks installiert ist, beginnen die Netzwerksensoren mit der Analyse des ICS-Netzwerkverkehrs und erstellen eine interaktive Visualisierung davon. Betreiber und Cybersicherheitspersonal sehen die industriellen Netzwerkknoten oft zum ersten Mal visualisiert. Sie erkennen schnell Aspekte ihrer Umgebung, die ihnen vorher nicht bewusst waren, und können leicht nach weiteren Informationen suchen.
Die Hinzufügung von sicheren, störungsfreien endpoint , die speziell für OT entwickelt wurden, bietet eine weitere Ebene wertvoller Informationen: Bediener können nicht nur Konfigurationsänderungen und Anomalien erkennen, sondern auch, wer sich bei einem Gerät angemeldet hat, mit welchen anderen Geräten es kommuniziert und welche Protokolle es verwendet. Zwei große Vorteile sind die Transparenz des Ost-West-Verkehrs auf niedrigeren Purdue-Ebenen und nicht autorisierte USB-Verbindungen.
In fusionierten OT Security Operations Centers (SOCs) treffen die beiden Kulturen wirklich aufeinander. Sie erfreuen sich zunehmender Beliebtheit aus offensichtlichen Gründen wie zentraler CISO-Aufsicht, OT , verbesserten Reaktionszeiten und natürlich Kosteneinsparungen. Anstelle eines fusionierten SOC sieht man jedoch häufiger das traditionelle IT-SOC-Team, das einem neuen Kunden, der OT , eine Dienstleistung anbietet. Häufig ist das, was sich abspielt, ein Lehrbuchbeispiel dafür, dass der Dienstleister seinen Kunden nicht versteht. Ein umfassender Wissenstransfer müsste stattfinden, tut es aber nicht.
