Live-Demo: Die Plattform Nozomi Networks in 15 Minuten
Siehe
Ein einfacher Vergleich zwischen OT und IT lautet wie folgt: Die IT legt Wert auf Datenintegrität, Vertraulichkeit und Verfügbarkeit. Die OT legt Wert auf Betriebszeit, Sicherheit und Zuverlässigkeit der Prozesse.
Die IT ist in einem Unternehmen allgegenwärtig und wird von fast jedem Mitarbeiter in jeder Kostenstelle genutzt. Daher konzentriert sich die IT-Sicherheit auf den Schutz der Daten vor unbefugtem Zugriff oder Veränderung, wobei der Schwerpunkt auf rollenbasiertem Zugriff und der Schulung der Benutzer, dem schwächsten Glied, in sicheren Cybersicherheitsverfahren liegt.
OT und -Netzwerke verwalten und steuern in der Regel die Kronjuwelen, die für den Umsatz eines Unternehmens sorgen (oder wichtige öffentliche Dienste bereitstellen), und das oft autonom. Wenn OT ausfällt oder angegriffen wird, steht mehr auf dem Spiel als bei der IT, insbesondere bei kritischen Infrastrukturen. Daher muss die OT den sicheren und zuverlässigen Betrieb physischer Prozesse gewährleisten.
Die schiere Menge und Vielfalt von OT und IoT macht ihre Verwaltung schwieriger als die von IT-Geräten. Außerdem ist jede Komponente in einem OT Teil eines größeren Prozesses in einer sehr verteilten Umgebung. Wenn eine Maschine ein Problem hat, muss man sofort erfahren, wovon sie abhängt und was von ihr abhängt.
In der Vergangenheit waren OT "air-gapped" - ohne Verbindung zum Internet oder zu Unternehmens-IT-Netzwerken waren Cyber-Bedrohungen kein Thema. Diese Zeiten sind längst vorbei, aber allzu oft wird die Cybersicherheit in OT immer noch vernachlässigt. Dank der industriellen Digitalisierung umfassen die heutigen Produktionsumgebungen Hunderte miteinander verbundener digitaler Systeme, die die Effizienz verbessern, aber auch neue Risiken mit sich bringen. Viele OT werden nicht verwaltet und können nicht wie IT-Computer und -Server gepatcht werden. Wo ein Patching möglich ist, kann es nicht automatisiert werden. Von einigen Ausnahmen abgesehen, beruht die Erkennung von Bedrohungen auf Deep Packet Inspection und verhaltensbasierten Anomalieerkennungstechniken, die speziell für OT entwickelt wurden.
Ransomware-Angriffe machen Schlagzeilen, aber alltägliche Netzwerk- oder Prozessfehlkonfigurationen, Betriebsfehler, Spitzen bei der Ressourcennutzung und andere Anomalien bedrohen OT viel eher als Angriffe von außen. Eine Anomalie ist alles, was von der Basisleistung abweicht. Das können instabile Prozesswerte, falsche Prozessmessungen und Fehlkonfigurationen sein, die zu Fehlfunktionen führen können.
Daten, die sich durch OT und -Prozesse bewegen (z. B. Prozesswerte), sind nur für einen Augenblick relevant, und es kann Millionen dieser Datenpunkte pro Minute geben. Daher konzentriert sich die OT weniger auf die Datenexfiltration als vielmehr darauf, sicherzustellen, dass Daten nur zwischen autorisierten Geräten ausgetauscht werden und in jedem Moment aktuell sind.
Die meisten IT-Systeme haben einen kurzen Lebenszyklus mit eingebauter Obsoleszenz. Software wird aus dem Verkehr gezogen oder alle paar Jahre einem größeren Upgrade unterzogen, und Hardware muss häufig ersetzt werden. Die OT hat im Allgemeinen einen langen Lebenszyklus - in manchen Fällen bis zu mehreren Jahrzehnten. Geräte wie SPS werden oft speziell für raue Produktionsumgebungen entwickelt - und für eine lange Lebensdauer gebaut. Viele OT basieren immer noch auf älteren Technologien, die von vornherein unsicher" sind und gut dokumentierte Schwachstellen aufweisen, die allzu oft nicht behoben werden. Außerdem kann es Jahre dauern, bis die Geräte vom Werk genehmigt und vor Ort abgenommen werden, so dass kleine Verbesserungen nicht erwünscht sind.
Einige OT - und ihre Komponenten - laufen jahrelang ununterbrochen, mit kurzen Zeitfenstern für geplante Wartungsarbeiten. Ein kontinuierlicher Betrieb trägt zur Sicherheit und Zuverlässigkeit bei, da Ausfallzeiten in industriellen Umgebungen zu kritischen Fehlern führen können. Patches (sofern verfügbar) und andere Aktualisierungen sind selten und müssen in engen Wartungsfenstern eingeplant werden.
Die IT-Abteilung verwendet Standard-Betriebssysteme und kommuniziert mit Standardprotokollen. Viele OT haben proprietäre Betriebssysteme, die speziell auf ihre Verwendung zugeschnitten sind. OT verwenden außerdem Hunderte von Protokollen für die Kommunikation, von denen viele branchenspezifisch und von Natur aus unsicher sind. Diese Protokolle sind auf die Echtzeitüberwachung und -steuerung von physischen Prozessen und Geräten zugeschnitten, wobei Zuverlässigkeit, deterministische Reaktionszeiten und Ausfallsicherheit Vorrang vor Geschwindigkeit und Flexibilität haben. Proprietäre Protokolle wie Modbus oder Profibus, die mithilfe von Deep Packet Inspection (DPI) sorgfältig analysiert werden müssen, um verdächtiges oder anormales Verhalten zu erkennen.IT-Systeme zur Erkennung von Eindringlingen (IDS) und endpoint und Reaktionssysteme (EDRs) verstehen keine Industrieprotokolle und können daher keine Bedrohungen OT erkennen. Im besten Fall wären sie ineffektiv, im schlimmsten Fall könnten sie zu viele Ressourcen verbrauchen oder etwas kaputt machen.
An einem beliebigen Tag können sich Dutzende von Technikern von Drittanbietern per Fernzugriff anmelden, um die Produktion zu überwachen und Fehler zu beheben, wobei sie häufig ihre eigenen Fernzugriffstools verwenden. Der laxe Umgang mit schwachen Anmeldeinformationen und Standardpasswörtern macht Unternehmen anfällig für Angriffe durch Remotecodeausführung.
Vor allembei unbemannten Geräten werden die Standardpasswörter möglicherweise nie geändert, was es böswilligen Akteuren leicht macht, sie zu hacken, und eine Multi-Faktor-Authentifizierung (MFA) ist unpraktisch. Stattdessen wird eine kontinuierliche Überwachung eingesetzt, um Geräte zu authentifizieren und die Integrität der Kommunikation zwischen Geräten zu gewährleisten.
Die Segmentierung ist eine wichtige ausgleichende Kontrolle zur Begrenzung der Kommunikation und zum Schutz von Geräten, die nur selten oder gar nicht repariert werden können. Um die Kronjuwelen der Industrie zu isolieren und zu verhindern, dass Cybervorfälle in IT-Netzwerken seitlich auf OT übergreifen, werden in Industrieumgebungen sichere Zonen und Conduits eingesetzt, die den Verkehr zwischen den Segmenten steuern und überwachen
Das Verständnis für Cybersecurity-Risiken, die Einführung bewährter Sicherheitsverfahren und die Schaffung einer Kultur des Bewusstseins in der Industrie sind wichtige kulturelle Veränderungen. Um beispielsweise OT dazu zu bringen, die Minderung von Cybersecurity-Risiken als planmäßige Wartung zu akzeptieren, ist ein Umdenken erforderlich. Da CISOs ein unternehmensweites Risikomanagement einführen und OT zunehmend in ihre Zuständigkeit fällt, muss dieser Wandel stattfinden.
Entgegen der anfänglichen Skepsis profitieren OT von der kontinuierlichen Überwachung von Anlagen und Netzwerken in vielerlei Hinsicht. Sie sammelt eine Fülle von Informationen über die überwachten Anlagen und Prozesse, die nützlich sind, um wichtige Veränderungen zu erkennen, sowohl Anomalien im Vergleich zur Basislinie als auch Bedrohungen der Cybersicherheit. Sobald die kontinuierliche Überwachung beginnt, werden in der Regel Probleme aufgedeckt, von deren Existenz die Betreiber nichts wussten.
Sobald die Plattform Nozomi Networks installiert ist, beginnen die Netzwerksensoren mit der Analyse des ICS-Netzwerkverkehrs und erstellen eine interaktive Visualisierung davon. Betreiber und Cybersicherheitspersonal sehen die industriellen Netzwerkknoten oft zum ersten Mal visualisiert. Sie erkennen schnell Aspekte ihrer Umgebung, die ihnen vorher nicht bewusst waren, und können leicht nach weiteren Informationen suchen.
Die Hinzufügung von sicheren, störungsfreien endpoint , die speziell für OT entwickelt wurden, bietet eine weitere Ebene wertvoller Informationen: Bediener können nicht nur Konfigurationsänderungen und Anomalien erkennen, sondern auch, wer sich bei einem Gerät angemeldet hat, mit welchen anderen Geräten es kommuniziert und welche Protokolle es verwendet. Zwei große Vorteile sind die Transparenz des Ost-West-Verkehrs auf niedrigeren Purdue-Ebenen und nicht autorisierte USB-Verbindungen.
In fusionierten OT Security Operations Centers (SOCs) treffen die beiden Kulturen wirklich aufeinander. Sie erfreuen sich zunehmender Beliebtheit aus offensichtlichen Gründen wie zentraler CISO-Aufsicht, OT , verbesserten Reaktionszeiten und natürlich Kosteneinsparungen. Anstelle eines fusionierten SOC sieht man jedoch häufiger das traditionelle IT-SOC-Team, das einem neuen Kunden, der OT , eine Dienstleistung anbietet. Häufig ist das, was sich abspielt, ein Lehrbuchbeispiel dafür, dass der Dienstleister seinen Kunden nicht versteht. Ein umfassender Wissenstransfer müsste stattfinden, tut es aber nicht.
Ein einfacher Vergleich zwischen OT und IT lautet wie folgt: Die IT legt Wert auf Datenintegrität, Vertraulichkeit und Verfügbarkeit. Die OT legt Wert auf Betriebszeit, Sicherheit und Zuverlässigkeit der Prozesse.
Die IT ist in einem Unternehmen allgegenwärtig und wird von fast jedem Mitarbeiter in jeder Kostenstelle genutzt. Daher konzentriert sich die IT-Sicherheit auf den Schutz der Daten vor unbefugtem Zugriff oder Veränderung, wobei der Schwerpunkt auf rollenbasiertem Zugriff und der Schulung der Benutzer, dem schwächsten Glied, in sicheren Cybersicherheitsverfahren liegt.
OT und -Netzwerke verwalten und steuern in der Regel die Kronjuwelen, die für den Umsatz eines Unternehmens sorgen (oder wichtige öffentliche Dienste bereitstellen), und das oft autonom. Wenn OT ausfällt oder angegriffen wird, steht mehr auf dem Spiel als bei der IT, insbesondere bei kritischen Infrastrukturen. Daher muss die OT den sicheren und zuverlässigen Betrieb physischer Prozesse gewährleisten.
Die schiere Menge und Vielfalt von OT und IoT macht ihre Verwaltung schwieriger als die von IT-Geräten. Außerdem ist jede Komponente in einem OT Teil eines größeren Prozesses in einer sehr verteilten Umgebung. Wenn eine Maschine ein Problem hat, muss man sofort erfahren, wovon sie abhängt und was von ihr abhängt.
In der Vergangenheit waren OT "air-gapped" - ohne Verbindung zum Internet oder zu Unternehmens-IT-Netzwerken waren Cyber-Bedrohungen kein Thema. Diese Zeiten sind längst vorbei, aber allzu oft wird die Cybersicherheit in OT immer noch vernachlässigt. Dank der industriellen Digitalisierung umfassen die heutigen Produktionsumgebungen Hunderte miteinander verbundener digitaler Systeme, die die Effizienz verbessern, aber auch neue Risiken mit sich bringen. Viele OT werden nicht verwaltet und können nicht wie IT-Computer und -Server gepatcht werden. Wo ein Patching möglich ist, kann es nicht automatisiert werden. Von einigen Ausnahmen abgesehen, beruht die Erkennung von Bedrohungen auf Deep Packet Inspection und verhaltensbasierten Anomalieerkennungstechniken, die speziell für OT entwickelt wurden.
Ransomware-Angriffe machen Schlagzeilen, aber alltägliche Netzwerk- oder Prozessfehlkonfigurationen, Betriebsfehler, Spitzen bei der Ressourcennutzung und andere Anomalien bedrohen OT viel eher als Angriffe von außen. Eine Anomalie ist alles, was von der Basisleistung abweicht. Das können instabile Prozesswerte, falsche Prozessmessungen und Fehlkonfigurationen sein, die zu Fehlfunktionen führen können.
Daten, die sich durch OT und -Prozesse bewegen (z. B. Prozesswerte), sind nur für einen Augenblick relevant, und es kann Millionen dieser Datenpunkte pro Minute geben. Daher konzentriert sich die OT weniger auf die Datenexfiltration als vielmehr darauf, sicherzustellen, dass Daten nur zwischen autorisierten Geräten ausgetauscht werden und in jedem Moment aktuell sind.
Die meisten IT-Systeme haben einen kurzen Lebenszyklus mit eingebauter Obsoleszenz. Software wird aus dem Verkehr gezogen oder alle paar Jahre einem größeren Upgrade unterzogen, und Hardware muss häufig ersetzt werden. Die OT hat im Allgemeinen einen langen Lebenszyklus - in manchen Fällen bis zu mehreren Jahrzehnten. Geräte wie SPS werden oft speziell für raue Produktionsumgebungen entwickelt - und für eine lange Lebensdauer gebaut. Viele OT basieren immer noch auf älteren Technologien, die von vornherein unsicher" sind und gut dokumentierte Schwachstellen aufweisen, die allzu oft nicht behoben werden. Außerdem kann es Jahre dauern, bis die Geräte vom Werk genehmigt und vor Ort abgenommen werden, so dass kleine Verbesserungen nicht erwünscht sind.
Einige OT - und ihre Komponenten - laufen jahrelang ununterbrochen, mit kurzen Zeitfenstern für geplante Wartungsarbeiten. Ein kontinuierlicher Betrieb trägt zur Sicherheit und Zuverlässigkeit bei, da Ausfallzeiten in industriellen Umgebungen zu kritischen Fehlern führen können. Patches (sofern verfügbar) und andere Aktualisierungen sind selten und müssen in engen Wartungsfenstern eingeplant werden.
Die IT-Abteilung verwendet Standard-Betriebssysteme und kommuniziert mit Standardprotokollen. Viele OT haben proprietäre Betriebssysteme, die speziell auf ihre Verwendung zugeschnitten sind. OT verwenden außerdem Hunderte von Protokollen für die Kommunikation, von denen viele branchenspezifisch und von Natur aus unsicher sind. Diese Protokolle sind auf die Echtzeitüberwachung und -steuerung von physischen Prozessen und Geräten zugeschnitten, wobei Zuverlässigkeit, deterministische Reaktionszeiten und Ausfallsicherheit Vorrang vor Geschwindigkeit und Flexibilität haben. Proprietäre Protokolle wie Modbus oder Profibus, die mithilfe von Deep Packet Inspection (DPI) sorgfältig analysiert werden müssen, um verdächtiges oder anormales Verhalten zu erkennen.IT-Systeme zur Erkennung von Eindringlingen (IDS) und endpoint und Reaktionssysteme (EDRs) verstehen keine Industrieprotokolle und können daher keine Bedrohungen OT erkennen. Im besten Fall wären sie ineffektiv, im schlimmsten Fall könnten sie zu viele Ressourcen verbrauchen oder etwas kaputt machen.
An einem beliebigen Tag können sich Dutzende von Technikern von Drittanbietern per Fernzugriff anmelden, um die Produktion zu überwachen und Fehler zu beheben, wobei sie häufig ihre eigenen Fernzugriffstools verwenden. Der laxe Umgang mit schwachen Anmeldeinformationen und Standardpasswörtern macht Unternehmen anfällig für Angriffe durch Remotecodeausführung.
Vor allembei unbemannten Geräten werden die Standardpasswörter möglicherweise nie geändert, was es böswilligen Akteuren leicht macht, sie zu hacken, und eine Multi-Faktor-Authentifizierung (MFA) ist unpraktisch. Stattdessen wird eine kontinuierliche Überwachung eingesetzt, um Geräte zu authentifizieren und die Integrität der Kommunikation zwischen Geräten zu gewährleisten.
Die Segmentierung ist eine wichtige ausgleichende Kontrolle zur Begrenzung der Kommunikation und zum Schutz von Geräten, die nur selten oder gar nicht repariert werden können. Um die Kronjuwelen der Industrie zu isolieren und zu verhindern, dass Cybervorfälle in IT-Netzwerken seitlich auf OT übergreifen, werden in Industrieumgebungen sichere Zonen und Conduits eingesetzt, die den Verkehr zwischen den Segmenten steuern und überwachen
Das Verständnis für Cybersecurity-Risiken, die Einführung bewährter Sicherheitsverfahren und die Schaffung einer Kultur des Bewusstseins in der Industrie sind wichtige kulturelle Veränderungen. Um beispielsweise OT dazu zu bringen, die Minderung von Cybersecurity-Risiken als planmäßige Wartung zu akzeptieren, ist ein Umdenken erforderlich. Da CISOs ein unternehmensweites Risikomanagement einführen und OT zunehmend in ihre Zuständigkeit fällt, muss dieser Wandel stattfinden.
Entgegen der anfänglichen Skepsis profitieren OT von der kontinuierlichen Überwachung von Anlagen und Netzwerken in vielerlei Hinsicht. Sie sammelt eine Fülle von Informationen über die überwachten Anlagen und Prozesse, die nützlich sind, um wichtige Veränderungen zu erkennen, sowohl Anomalien im Vergleich zur Basislinie als auch Bedrohungen der Cybersicherheit. Sobald die kontinuierliche Überwachung beginnt, werden in der Regel Probleme aufgedeckt, von deren Existenz die Betreiber nichts wussten.
Sobald die Plattform Nozomi Networks installiert ist, beginnen die Netzwerksensoren mit der Analyse des ICS-Netzwerkverkehrs und erstellen eine interaktive Visualisierung davon. Betreiber und Cybersicherheitspersonal sehen die industriellen Netzwerkknoten oft zum ersten Mal visualisiert. Sie erkennen schnell Aspekte ihrer Umgebung, die ihnen vorher nicht bewusst waren, und können leicht nach weiteren Informationen suchen.
Die Hinzufügung von sicheren, störungsfreien endpoint , die speziell für OT entwickelt wurden, bietet eine weitere Ebene wertvoller Informationen: Bediener können nicht nur Konfigurationsänderungen und Anomalien erkennen, sondern auch, wer sich bei einem Gerät angemeldet hat, mit welchen anderen Geräten es kommuniziert und welche Protokolle es verwendet. Zwei große Vorteile sind die Transparenz des Ost-West-Verkehrs auf niedrigeren Purdue-Ebenen und nicht autorisierte USB-Verbindungen.
In fusionierten OT Security Operations Centers (SOCs) treffen die beiden Kulturen wirklich aufeinander. Sie erfreuen sich zunehmender Beliebtheit aus offensichtlichen Gründen wie zentraler CISO-Aufsicht, OT , verbesserten Reaktionszeiten und natürlich Kosteneinsparungen. Anstelle eines fusionierten SOC sieht man jedoch häufiger das traditionelle IT-SOC-Team, das einem neuen Kunden, der OT , eine Dienstleistung anbietet. Häufig ist das, was sich abspielt, ein Lehrbuchbeispiel dafür, dass der Dienstleister seinen Kunden nicht versteht. Ein umfassender Wissenstransfer müsste stattfinden, tut es aber nicht.
