OT/ICS-Sicherheit
Überwachung und Intuition
Fortsetzung des Artikels von Teil 1
Technologie emuliert Intelligenz
Ironischerweise sind die meisten „intelligenten“ Technologien in ihren Versuchen, die menschliche Intelligenz zu emulieren, relativ begrenzt. Dennoch werden weiterhin Vorstellungen über Intelligenz und Kognition in die Art und Weise einfließen, in der Menschen Technik zur Analyse von Informationen nutzen. Während Intelligenz als die Fähigkeit definiert wird, sich Wissen und Fertigkeiten anzueignen und anzuwenden, ist Intuition die Fähigkeit zur schnellen Einordnung, ohne die Gründe dafür vollständig zu verstehen. Intuition gilt auch als die höchste Form der Intelligenz. Intuition ist der nächste Schritt beim Aufbau anspruchsvoller Sicherheitssysteme für OT/ICS-Umgebungen. Als Menschen entwickeln wir Intuition auf der Grundlage von Wissen, das wir durch Erfahrungen sowie persönliche und berufliche Entwicklung erworben haben. Die Zweckmäßigkeit von OT/ICS und Subsystemen erfordert, dass wir das, was wir als zweckmäßig erkannt haben, in Intuition für die Sicherheit umsetzen.
Im Security-Bereich sammeln wir Wissen in Form von Bedrohungsindikatoren (Indicators of Compromise, IoCs), im einfachsten Fall eine IP-Adresse oder ein Datei-Hash, der auf eine bösartige Aktivität hinweisen könnte. IoCs stellen bekannte Verhaltensweisen dar, die mit einem gewissen Kontext identifizierbar sind. Diese IoCs und bekannte Malware-Strings mit erkennbarem Code bilden die Grundlage vieler Intrusion-Detection-Produkte. Doch leider liefern viele OT/ICS-Angriffe und -Vorfälle nicht die Art und Menge an Telemetriedaten, die es ermöglichen, die Ziele der Bedrohungsakteure und die Einheitlichkeit der IoCs abzuleiten, um neue Angriffe vorab zu erkennen. Diese IoCs erfassen oft keine Indikatoren für Fehlkonfigurationen, Fehlfunktionen oder versehentliche Änderungen, die unentdeckt bleiben.
In OT/ICS-Umgebungen und -Betrieben hat das Streben nach Intelligenz und die Verarbeitung von mehr Daten zur Entwicklung von Lösungen wie vorausschauender Wartung und digitalen Zwillingen geführt. Diese Technologien erfordern oft riesige Mengen an Anlagenwissen und Daten, für deren Bereitstellung, Verständnis und Pflege nur wenige Firmen die Ressourcen haben. Begrenzte Ressourcen, mangelnde technische Kompetenz, Personalmangel, fehlende Fachkenntnisse und isolierte Kommunikation sind große Hürden für die ganzheitliche Übernahme dieser Fähigkeiten. Führende Sicherheitsunternehmen erfassen jedoch das Wissen um die Anlagen und nutzen es zur Entwicklung intuitiver Produkte und zur Erkennung von Anomalien.
Intuitive Sicherheit statt reiner Überwachung bekannter Risiken
Die meisten Sicherheitsunternehmen, die sich in diesem Bereich mit der Erkennung von Eindringlingen befassen, konzentrieren sich auf die Erfassung des Netzwerkverkehrs und die Sicherheitsüberwachung, bei der sie bekannte Bedrohungsaktivitäten scannen und auswerten. Viele bieten Analysetools, um durch regelbasierte Bedrohungsdaten festgestellte Trends aufzuspüren und um glaubwürdige Warnungen zu erstellen.
Fachleute haben darauf hingewiesen, dass diese Art der Erfassung, Regelanwendung und Analyse für OT/ICS nur begrenzt möglich ist. Da es keine „Cut und Paste“-Taktiken, -Techniken und -Verfahren (TTPs) aus OT/ICS-Vorfällen gibt, besteht die einzige Möglichkeit zur Absicherung des Betriebs darin, Plausibilitätsprüfungen für die eingesetzten Systeme vorzunehmen. Dazu gehört die Kategorisierung und Analyse von Prozessvariablen für regelbasierte Erkennungen, um Warnungen über reale Prozessanomalien zu erzeugen.
Doch Sicherheit bezieht sich auf das Funktionieren des gesamten Prozesses oder kritischen Vorgangs, den es zu schützen gilt. Systemweite Rahmenwerke zum Verständnis von Risiko- und Bedrohungsszenarien sind ein Muss für diesen Bereich. Ein systemweiter Rahmen untersucht die Dynamik im größten Maßstab: Das inhärente systemische Risiko des Internets, über das Unternehmenssysteme, Fernzugriffe und viele intelligente Geräte miteinander verbunden sind. Dieser Rahmen umfasst sowohl Top-down-Effekte (wie unsichere technische Standards) als auch Bottom-up-Systemeffekte wie die Verbreitung von IoT-Geräten.
Dieser Ansatz ist notwendig, um OT/ICS zu sichern und das gesamte Spektrum potenzieller Eindringlinge, Spionage, Angriffe, Störungen und Unfälle zu untersuchen.
Die Zukunft dieser Technologie hängt von zwei Dingen ab: der Schwierigkeit, Angriffsmuster im Bereich OT/ICS zu standardisieren, und dem fallbezogenen impliziten Wissen, das erforderlich ist, um jeden Vorgang ausreichend zu sichern. Die nächste Stufe der intuitiven Überwachung für die OT/ICS-Sicherheit ist die Verhaltensanalyse, die den Kommunikationsverkehr und die Prozessvariablen gleichzeitig erfasst:
- das Scannen nach bekannten Bedrohungen in Kommunikationsnetzwerken,
- die Abfrage spezifischer Anlagen für tiefere Analysen, Due Diligence und Qualitätskontrolle sowie
- die zunehmende Erstellung benutzerdefinierter Warnungen auf der Grundlage von Prozessvariablen, zusätzlich zu Bedrohungswarnungen, basierend auf den Prozessen in der jeweiligen Umgebung.
Gemäß dem Assume-Breach-Paradigma (Annahme der grundlegenden Angreifbarkeit aller Systeme, d.Red.) muss der Schwerpunkt bei OT/ICS-Sicherheitsprodukten darauf liegen, die Schwere potenzieller Auswirkungen zu mindern, nicht auf der Reaktion auf Worst-Case-Szenarien. Statt Reaktionsdienste bereitzustellen, die anhand begrenzter Informationen nach bösartigen Akteuren oder Aktivitäten und bekannten Bedrohungen suchen, gilt es, die Erkennungs- und Präventionsmethoden für den jeweiligen Betrieb oder Endanwender anzupassen. Je effizienter wir bei der Erkennung von Ressourcen und anpassbaren Prozessvariablen sowie bei Plausibilitätsprüfungen für reale Ergebnisse werden, desto besser können wir die Bedrohungserkennung und die Sicherheitsvorkehrungen verbessern. Es ist effizienter, Ressourcen in die skalierbare Anpassung zu investieren als in Incident-Response-Fähigkeiten für Angriffszenarien, deren Auswirkungen sich durch den Aufbau von Intuition und die Stärkung des Situationsbewusstseins begrenzen lassen. Denn wir wissen: OT/ICS-Cybersicherheit ist weder eine Reise noch ein Ziel, sondern ein ständiger Staffellauf.
Danielle Jablanski ist OT-Cybersicherheitsstrategin bei Nozomi Networks.
- Überwachung und Intuition
- Technologie emuliert Intelligenz
Lesen Sie mehr zum Thema
