OT- und IoT-Netzwerke sind oft Stiefkinder der IT-Sicherheit
1. Juni 2023Die mangelnde Erkennung von Cyber-Attacken und ein oft nur rudimentärer Schutz gefährden viele OT- und IoT-Umgebungen in Industrie und kritischen Infrastrukturen. Herkömmliche Erkennungsmethoden aus der IT-Sicherheit greifen in diesem Kontext zu kurz, da OT andere Empfindlichkeitsschwellen und eine genauere Überwachung von Netzwerksegmenten oder Gerätegruppen sowie OT-spezifische Erkennungs-Mechanismen erfordert, die den laufenden Betrieb und die Geschäftsprozesse nicht beeinträchtigen.
Im Gegensatz zu IT-Angriffen, die sich auf Datendiebstahl oder Erpressung konzentrieren, zielen OT-Angriffe in der Regel auf physische Auswirkungen ab. Allerdings gewinnt Ransomware auch in OT-Netzwerken immer stärker an Bedeutung.
Die zunehmende Konvergenz und Integration von OT und IT bringt dabei neue Sicherheitsrisiken und Herausforderungen mit sich und macht OT-Umgebungen anfälliger für Cyber-Bedrohungen. Daher sind eine ganzheitliche Sichtbarkeit und eine effektive Erkennung von Anomalien in IT- und OT-Umgebungen entscheidend für die Aufrechterhaltung einer stabilen Sicherheit und Kontrolle.
Nicht alle IT-Security-Lösungen eignen sich auch für OT
„Die regelmäßige Aktualisierung und der Einsatz von Endpoint Detection & Response ist auf OT- und IoT-Geräten oft nur begrenzt oder gar nicht möglich“, betont Gregor Erismann, CCO von Exeon Analytics. „Zudem machen die Vielfalt der Geräte, ihre lange Lebensdauer sowie gerätespezifische Betriebssysteme den Einsatz von Sicherheitssoftware zur Überwachung schwierig und umständlich. OT und IoT benötigen daher einen Ansatz, der potentielle Angriffe anhand irregulärer Kommunikationsmuster erkennt.“
Hier könnten Network Detection and Response (NDR)-Lösungen einen nicht-intrusiven und effektiven Ansatz zur Überwachung darstellen und umfassende Transparenz und Erkennungsfunktionen realisieren. Insbesondere NDR-Lösungen mit erweiterten Baselining-Funktionen wie ExeonTrace ermöglichen dabei die Identifizierung neuer und ungewöhnlicher Kommunikationsmuster, die auf bösartige Aktivitäten in OT-Netzwerken hinweisen könnten.
Diese NDR-Systeme verwenden Maschinelles Lernen, nutzen Informationen über Datenflüsse für das Baselining und bieten eine protokoll- und geräteunabhängige Erkennung von Anomalien, indem sie lernen, wer mit wem und mit welcher Häufigkeit kommuniziert. Anstatt diese Parameter manuell zu konfigurieren, lernt NDR die Baseline und alarmiert die Sicherheitsteams bei ungewöhnlichen Anfragen oder Änderungen in der Häufigkeit.
So analysiert zum Beispiel die NDR-Lösung ExeonTrace Protokolldaten aus herkömmlichen IT-Umgebungen, OT-Netzwerken und Jump-Host-Gateways, um einen umfassenden und ganzheitlichen Überblick über die Netzwerkaktivitäten zu erhalten. Dabei ermöglicht das System die Integration unterschiedlichster und OT-spezifischer Protokollquellen von Drittanbietern. (rhh)