Live-Demo: Die Plattform Nozomi Networks in 15 Minuten
Siehe
Der vielleicht größte Unterschied zwischen IT- und OT besteht darin, dass wir in industriellen Umgebungen sowohl das Cyber- als auch das Betriebsrisiko, einschließlich des Prozessrisikos, berücksichtigen müssen. Tatsächlich sind betriebliche Anomalien, die nichts mit einer Cyber-Bedrohung zu tun haben, viel häufiger.
In industriellen Umgebungen, insbesondere bei kritischen Infrastrukturen, machen groß angelegte Cyberangriffe Schlagzeilen, aber es sind Dinge wie Fehlfunktionen von Anlagen, Fehlkonfigurationen, Spitzen bei der Ressourcennutzung und gefährliche Prozessabweichungen, die viel wahrscheinlicher die Produktion bedrohen oder Schlimmeres. In einem Chemiewerk könnte beispielsweise ein Alarm ausgelöst werden, wenn ein Drucksensor Werte außerhalb der sicheren Betriebsgrenzen feststellt und eine sofortige Abschaltung veranlasst, um eine Explosion zu verhindern. Bis zur Untersuchung könnte dies darauf hindeuten, dass ein böswilliger Akteur an dem Wert herumgepfuscht hat, oder es könnte sich um einen Bedienungsfehler handeln. In jedem Fall ist die Bedrohung real. Bediener und Manager müssen in der Lage sein, sowohl Bedrohungen als auch Anomalien - Eindringlinge, unerwünschtes Verhalten und Geräteausfälle - zu erkennen und schnell zu reagieren.
Unter einer Anomalie versteht man im Allgemeinen alles, was von der Grundleistung oder dem Erscheinungsbild abweicht. In der Fertigung und anderen industriellen Umgebungen können dies instabile Prozesswerte, falsche Prozessmessungen und Fehlkonfigurationen sein, die zu Fehlfunktionen oder Ausfallzeiten führen können. Aus diesem Grund überwacht ein Pharmabetrieb in der Regel die Kommunikation zwischen Steuerungssystemen und Feldgeräten, um anormale Messwerte oder Befehle zu erkennen, die die Produktion oder Sicherheitsprotokolle stören und die Qualität der Chargen sicherstellen könnten. Solche Prozessanomalien können auch auf eine Cyber-Bedrohung hindeuten.
Um Sicherheit, Zuverlässigkeit und hohe Verfügbarkeit zu gewährleisten, benötigen industrielle Umgebungen eine umfassende Risikoüberwachung, die regelbasierte Bedrohungserkennung mit verhaltensbasierter Anomalieerkennung kombiniert.
Die regelbasierte Erkennung ist effizient für die Erkennung von Bedrohungen, bei denen die Indikatoren leicht beobachtbar und identifizierbar sind. Diese Methode kann auch zur Erkennung bekannter, nicht bösartiger Anomalien verwendet werden, wie z. B. Spitzen in der Ressourcennutzung oder ein unerwarteter Anstieg des Datenverkehrs.
Die signaturbasierte Erkennung, eine Untergruppe der regelbasierten Erkennung, ist eine schnelle und effiziente Methode zur Erkennung bösartiger Aktivitäten oder unbefugter Zugriffe im Netzwerkverkehr. Sie stützt sich auf vordefinierte Regeln oder Bedingungen, um eindeutige, bekannte Angriffsmuster im Netzwerkverkehr - Signaturen - zu identifizieren und sie mit einer Datenbank bekannter Bedrohungen abzugleichen. Jede Signatur enthält Kompromissindikatoren (Indicators of Compromise, IOCs) wie Dateinamen, Hashtags, URLs und IP-Adressen. Die signaturbasierte Erkennung ist zwar effizient, funktioniert aber nur bei bekannten Bedrohungen (z. B. dokumentierten CVEs) und nur dann, wenn die Indikatoren leicht zu beobachten und als potenzielle Übereinstimmung zu erkennen sind.
Um bekannte Malware zu identifizieren, verwenden signaturbasierte Erkennungsmethoden YARA-Regeln und Paketregeln, um Datei- bzw. Paketsignaturen abzugleichen und eine Warnung auszulösen, wenn eine Übereinstimmung festgestellt wird.
Betriebliche Anomalien - sowie unbekannte Bedrohungen, einschließlich Zero-Day-Bedrohungen - können nicht durch Regeln erkannt werden. Der beste Weg, sie zu erkennen, ist eine kontinuierliche Überwachung mit Deep Packet Inspection (DPI), um Industrieprotokolle im Netzwerkverkehr zu lesen und das aktuelle Verhalten mit einer Baseline zu vergleichen.
ICS-Netzwerke sind im Vergleich zu Unternehmensnetzwerken, in denen ständig Geräte hinzugefügt und entfernt werden, relativ statisch, so dass es viel einfacher ist, genaue Basislinien zu erstellen und Abweichungen davon zu erkennen. Dies ist jedoch nicht ohne ausgeklügeltes maschinelles Lernen möglich, um das normale Verhalten von Prozessvariablen zu erlernen, die aus dem Netzwerkverkehr gesammelt werden. Sobald die Basislinien festgelegt sind, kann die verhaltensbasierte Anomalieerkennung verwendet werden, um Verkehrsmuster, die außerhalb der festgelegten Schwellenwerte liegen, sowie anormale Sensormesswerte und Flussparameter zu erkennen.
Die Plattform von Nozomi Networks verfügt über die anspruchsvollste Erkennungs-Engine, die für IoT verfügbar ist. Sie kombiniert regelbasierte und verhaltensbasierte Techniken, um die Auswirkungen jeder Bedrohung in Ihrer Umgebung zu erkennen und zu begrenzen, von Ressourcenspitzen über Zero-Days bis hin zu "Living-off-the-Land"-Techniken, die sich oft signaturbasierten Ansätzen entziehen, ohne Analysten und Betreiber mit False Positives zu überfordern.
Um bekannte Bedrohungen zu erkennen, wird das Nozomi Threat Intelligence Feed bietet aggregierte Bedrohungsforschung und -analyse sowie detaillierte Informationen über Bedrohungsindikatoren, einschließlich YARA-Regeln, Paketregeln, STIX-Indikatoren, Bedrohungsdefinitionen, eine Wissensdatenbank und Schwachstellensignaturen. Unsere Sensoren und unsere Plattform werden kontinuierlich mit der neuesten Malware und IOCs aktualisiert, die speziell für industrielle Prozesse und IoT entwickelt wurden. Dazu gehören unsere eigene IoT Forschung sowie die Integration des CISA-Katalogs für bekannte und ausgenutzte Schwachstellen, der MITRE ATT&CK®-Matrix für ICS-Zuordnungen und der threat intelligence von Mandiant.
Um Anomalien zu erkennen, stützt sich die Nozomi Networks auf maschinelles Lernen, um die Kommunikationsmuster Ihres industriellen Netzwerks zu erlernen und eine Basislinie für normales Verhalten zu erstellen. Anschließend wird Ihre Umgebung kontinuierlich überwacht, um Veränderungen in der Kommunikation oder in den Werten der Prozessvariablen zu erkennen, die auf eine Cyber-Bedrohung oder ein Risiko für die Zuverlässigkeit hinweisen könnten.
Unsere Sensoren nutzen DPI, um mehr als 250 Industrieprotokolle zu analysieren und die für eine robuste Verhaltensanalyse erforderlichen granularen Daten zu liefern. Mit dieser Methode können wir detaillierte Asset-Informationen wie Marke, Modell, Seriennummer und Firmware-/OS-Version von Geräten wie Industriesteuerungen, Workstations und Servern extrahieren. Unsere Sensoren können erkennen:
Der vielleicht größte Unterschied zwischen IT- und OT besteht darin, dass wir in industriellen Umgebungen sowohl das Cyber- als auch das Betriebsrisiko, einschließlich des Prozessrisikos, berücksichtigen müssen. Tatsächlich sind betriebliche Anomalien, die nichts mit einer Cyber-Bedrohung zu tun haben, viel häufiger.
In industriellen Umgebungen, insbesondere bei kritischen Infrastrukturen, machen groß angelegte Cyberangriffe Schlagzeilen, aber es sind Dinge wie Fehlfunktionen von Anlagen, Fehlkonfigurationen, Spitzen bei der Ressourcennutzung und gefährliche Prozessabweichungen, die viel wahrscheinlicher die Produktion bedrohen oder Schlimmeres. In einem Chemiewerk könnte beispielsweise ein Alarm ausgelöst werden, wenn ein Drucksensor Werte außerhalb der sicheren Betriebsgrenzen feststellt und eine sofortige Abschaltung veranlasst, um eine Explosion zu verhindern. Bis zur Untersuchung könnte dies darauf hindeuten, dass ein böswilliger Akteur an dem Wert herumgepfuscht hat, oder es könnte sich um einen Bedienungsfehler handeln. In jedem Fall ist die Bedrohung real. Bediener und Manager müssen in der Lage sein, sowohl Bedrohungen als auch Anomalien - Eindringlinge, unerwünschtes Verhalten und Geräteausfälle - zu erkennen und schnell zu reagieren.
Unter einer Anomalie versteht man im Allgemeinen alles, was von der Grundleistung oder dem Erscheinungsbild abweicht. In der Fertigung und anderen industriellen Umgebungen können dies instabile Prozesswerte, falsche Prozessmessungen und Fehlkonfigurationen sein, die zu Fehlfunktionen oder Ausfallzeiten führen können. Aus diesem Grund überwacht ein Pharmabetrieb in der Regel die Kommunikation zwischen Steuerungssystemen und Feldgeräten, um anormale Messwerte oder Befehle zu erkennen, die die Produktion oder Sicherheitsprotokolle stören und die Qualität der Chargen sicherstellen könnten. Solche Prozessanomalien können auch auf eine Cyber-Bedrohung hindeuten.
Um Sicherheit, Zuverlässigkeit und hohe Verfügbarkeit zu gewährleisten, benötigen industrielle Umgebungen eine umfassende Risikoüberwachung, die regelbasierte Bedrohungserkennung mit verhaltensbasierter Anomalieerkennung kombiniert.
Die regelbasierte Erkennung ist effizient für die Erkennung von Bedrohungen, bei denen die Indikatoren leicht beobachtbar und identifizierbar sind. Diese Methode kann auch zur Erkennung bekannter, nicht bösartiger Anomalien verwendet werden, wie z. B. Spitzen in der Ressourcennutzung oder ein unerwarteter Anstieg des Datenverkehrs.
Die signaturbasierte Erkennung, eine Untergruppe der regelbasierten Erkennung, ist eine schnelle und effiziente Methode zur Erkennung bösartiger Aktivitäten oder unbefugter Zugriffe im Netzwerkverkehr. Sie stützt sich auf vordefinierte Regeln oder Bedingungen, um eindeutige, bekannte Angriffsmuster im Netzwerkverkehr - Signaturen - zu identifizieren und sie mit einer Datenbank bekannter Bedrohungen abzugleichen. Jede Signatur enthält Kompromissindikatoren (Indicators of Compromise, IOCs) wie Dateinamen, Hashtags, URLs und IP-Adressen. Die signaturbasierte Erkennung ist zwar effizient, funktioniert aber nur bei bekannten Bedrohungen (z. B. dokumentierten CVEs) und nur dann, wenn die Indikatoren leicht zu beobachten und als potenzielle Übereinstimmung zu erkennen sind.
Um bekannte Malware zu identifizieren, verwenden signaturbasierte Erkennungsmethoden YARA-Regeln und Paketregeln, um Datei- bzw. Paketsignaturen abzugleichen und eine Warnung auszulösen, wenn eine Übereinstimmung festgestellt wird.
Betriebliche Anomalien - sowie unbekannte Bedrohungen, einschließlich Zero-Day-Bedrohungen - können nicht durch Regeln erkannt werden. Der beste Weg, sie zu erkennen, ist eine kontinuierliche Überwachung mit Deep Packet Inspection (DPI), um Industrieprotokolle im Netzwerkverkehr zu lesen und das aktuelle Verhalten mit einer Baseline zu vergleichen.
ICS-Netzwerke sind im Vergleich zu Unternehmensnetzwerken, in denen ständig Geräte hinzugefügt und entfernt werden, relativ statisch, so dass es viel einfacher ist, genaue Basislinien zu erstellen und Abweichungen davon zu erkennen. Dies ist jedoch nicht ohne ausgeklügeltes maschinelles Lernen möglich, um das normale Verhalten von Prozessvariablen zu erlernen, die aus dem Netzwerkverkehr gesammelt werden. Sobald die Basislinien festgelegt sind, kann die verhaltensbasierte Anomalieerkennung verwendet werden, um Verkehrsmuster, die außerhalb der festgelegten Schwellenwerte liegen, sowie anormale Sensormesswerte und Flussparameter zu erkennen.
Die Plattform von Nozomi Networks verfügt über die anspruchsvollste Erkennungs-Engine, die für IoT verfügbar ist. Sie kombiniert regelbasierte und verhaltensbasierte Techniken, um die Auswirkungen jeder Bedrohung in Ihrer Umgebung zu erkennen und zu begrenzen, von Ressourcenspitzen über Zero-Days bis hin zu "Living-off-the-Land"-Techniken, die sich oft signaturbasierten Ansätzen entziehen, ohne Analysten und Betreiber mit False Positives zu überfordern.
Um bekannte Bedrohungen zu erkennen, wird das Nozomi Threat Intelligence Feed bietet aggregierte Bedrohungsforschung und -analyse sowie detaillierte Informationen über Bedrohungsindikatoren, einschließlich YARA-Regeln, Paketregeln, STIX-Indikatoren, Bedrohungsdefinitionen, eine Wissensdatenbank und Schwachstellensignaturen. Unsere Sensoren und unsere Plattform werden kontinuierlich mit der neuesten Malware und IOCs aktualisiert, die speziell für industrielle Prozesse und IoT entwickelt wurden. Dazu gehören unsere eigene IoT Forschung sowie die Integration des CISA-Katalogs für bekannte und ausgenutzte Schwachstellen, der MITRE ATT&CK®-Matrix für ICS-Zuordnungen und der threat intelligence von Mandiant.
Um Anomalien zu erkennen, stützt sich die Nozomi Networks auf maschinelles Lernen, um die Kommunikationsmuster Ihres industriellen Netzwerks zu erlernen und eine Basislinie für normales Verhalten zu erstellen. Anschließend wird Ihre Umgebung kontinuierlich überwacht, um Veränderungen in der Kommunikation oder in den Werten der Prozessvariablen zu erkennen, die auf eine Cyber-Bedrohung oder ein Risiko für die Zuverlässigkeit hinweisen könnten.
Unsere Sensoren nutzen DPI, um mehr als 250 Industrieprotokolle zu analysieren und die für eine robuste Verhaltensanalyse erforderlichen granularen Daten zu liefern. Mit dieser Methode können wir detaillierte Asset-Informationen wie Marke, Modell, Seriennummer und Firmware-/OS-Version von Geräten wie Industriesteuerungen, Workstations und Servern extrahieren. Unsere Sensoren können erkennen:
