Das NIST hat kürzlich die Sonderveröffentlichung 800-82 auf Rev. 3 aktualisiert und umbenannt: "Guide to Operational Technology (OT) Security". Die Namensänderung spiegelt einen neu erweiterten Anwendungsbereich wider, der über industrielle Kontrollsysteme (ICS) hinausgeht und auch Gebäudeautomatisierungssysteme, Transportsysteme, physische Zugangskontrollsysteme, Überwachungssysteme für die physische Umgebung und Messsysteme für die physische Umgebung einschließt.
Eine Kommentierungsfrist für die Überarbeitung hat begonnen und läuft bis zum 1. Juli. NIST 800-82 ist der De-facto-Rahmen für die Cybersicherheit in industriellen Umgebungen und wurde bereits mehr als drei Millionen Mal heruntergeladen.
"Das Dokument bietet einen Überblick über OT und typische Systemtopologien, identifiziert typische Bedrohungen und Schwachstellen für diese Systeme und empfiehlt Sicherheitsmaßnahmen, um die damit verbundenen Risiken zu mindern", schrieb das NIST und fügte hinzu, dass es nicht nur die Herausforderungen der Cybersicherheit, sondern auch die besonderen Leistungs-, Zuverlässigkeits- und Sicherheitsanforderungen von OT-Umgebungen berücksichtigt.
Die Aktualisierung ist eine Anerkennung der raschen Entwicklung hin zu integrierten cyber-physischen Systemen und des derzeitigen Ausmaßes der Gefährdung durch vernetzte Geräte in Industrie, Gesundheitswesen und Handel. Vernetzte Anlagen verbessern zwar die Effizienz und produzieren Daten, die für Unternehmen und Betreiber kritischer Infrastrukturen innovationsfördernd sein können, aber dieselbe Konnektivität bedeutet auch, dass Anlagen, die einmal vom Netzwerk isoliert waren, für einen Angreifer aus der Ferne erreichbar sein können.
Dies ist eine neue Dynamik für die OT, die bisher durch geschlossene, luftgekapselte Netze abgeschirmt war, die die auf den Feldgeräten ausgeführte Logik weitgehend schützten. Die Möglichkeit, diese Art der Programmierung aus der Ferne zu manipulieren, kann die physische Sicherheit beeinträchtigen oder die Bereitstellung kritischer Dienste unterbrechen.
Die neuen NIST-Richtlinien spiegeln viele bewährte OT-Cybersicherheitspraktiken wider, die bereits in anderen NIST-Frameworks sowie von Anbietern und erfahrenen Praktikern verwendet werden. Dazu gehören die Netzwerksegmentierung, die den logischen Zugang zum OT-Netzwerk und zu den OT-Systemen einschränkt, die zeitnahe Implementierung von Software- und Firmware-Patches und -Updates, die Verwendung von Netzwerküberwachungs- und -erkennungslösungen sowie Maßnahmen zur Gewährleistung der Widerstandsfähigkeit kritischer Komponenten, die im Falle eines Vorfalls eine schnelle Wiederherstellung und Wiederherstellung sicherstellen.
In SP 800-82r3 bietet NIST Updates zu OT-Bedrohungen und -Schwachstellen und untersucht empfohlene Risikomanagementpraktiken und sichere Architekturen sowie Sicherheitsfähigkeiten und -werkzeuge. Darüber hinaus wird auch die Anpassung an das NIST Cybersecurity Framework untersucht.
Schauen wir uns einige dieser Aktualisierungen genauer an:
OT-Risikomanagement
Der aktualisierte NIST-Leitfaden für OT bietet Informationssicherheits-Risikomanagement als Ergänzung zu den bestehenden Sicherheits- und technischen Schutzmaßnahmen, die in den meisten OT-Umgebungen bekannt sind, insbesondere auf Systemebene.
Grundsätzlich haben OT-Betreiber und OT-Umgebungen eine Kultur des Risikomanagements, die häufige Änderungen ablehnt. Nur wenige Industrieumgebungen können zum Beispiel längere Ausfallzeiten für Software-Patches und Firmware-Updates verkraften, was bedeutet, dass Abhilfemaßnahmen eine hohe Priorität haben.
SP 800-82r3 umreißt die Leitlinien für die Definition, Bewertung, Reaktion und Überwachung von Risiken in einer OT-Umgebung. Das Risikomanagement auf Systemebene, das am ehesten auf OT-Prozesse anwendbar ist, umfasst viel detailliertere Bewertungen von Bedrohungen und die Implementierung von Abhilfemaßnahmen.
Der Ansatz des NIST bei dieser Überarbeitung unterstreicht die Notwendigkeit, die Kontinuität des Geschäftsbetriebs durch alle Risikomanagement-Aktivitäten sicherzustellen, einschließlich Updates und Patches auf Systemebene, um kostspielige Geräte- und Prozessabschaltungen zu vermeiden.
Null Vertrauen
Die NIST-Revision erkennt an, dass Organisationen ihre Reise in Richtung Zero-Trust-Architekturen beginnen. Zero Trust geht davon aus, dass man Geräten, Benutzern oder jedem Versuch, auf einen Ort oder eine Ressource zuzugreifen, standardmäßig nicht trauen sollte. Es stellt sicher, dass die Benutzer die sind, für die sie sich ausgeben, und schränkt den Zugang zu Systemen für Mitarbeiter und Partner, einschließlich Drittanbietern und Auftragnehmern, durch richtlinienbasierte Zugangskontrollen ein.
Im Bereich OT besteht die größte Herausforderung für Zero Trust darin, dass einige Geräte der Stufe 1 oder 2, wie z. B. HMIs, Steuerungen oder SPS, möglicherweise weder die Protokolle noch die Tools unterstützen, die erforderlich sind, um die Ziele einer Zero-Trust-Implementierung zu erreichen, was die Frage aufwirft, ob dies überhaupt praktikabel ist, heißt es in dem Dokument.
"Stattdessen sollten Organisationen in Erwägung ziehen, ZTA auf kompatible Geräte anzuwenden, wie sie typischerweise auf den funktional höheren Ebenen der OT-Architektur zu finden sind (z. B. Purdue Model Level 3, 4, 5 und die OT DMZ)", schrieb das NIST. "Organisationen sollten auch die Auswirkungen auf die Betriebs- und Sicherheitsfunktionen berücksichtigen. Würden sich beispielsweise negative Auswirkungen ergeben, wenn die ZTA-Lösung die Latenzzeit für die Beantwortung von Ressourcenanforderungen erhöht oder wenn eine oder mehrere ZTA-Komponenten nicht mehr verfügbar sind? Auf der Grundlage dieser Analyse sollten Unternehmen in Erwägung ziehen, die ZTA-Implementierungen anzupassen, um die Latenzzeit zu minimieren und eine angemessene Redundanz zu gewährleisten, um die Risiken für die Betriebs- und Sicherheitsfunktionen zu minimieren."
Schwachstellen-Management
Software-Patching und Firmware-Updates sind entscheidend für ein erfolgreiches Risikomanagement. Anbieter und unabhängige Forscher richten ihre Aufmerksamkeit auf ICS und OT, um ausnutzbare Schwachstellen vor Angreifern aufzudecken. Claroty Der halbjährlich erscheinende ICS Risk & Vulnerability Report fasst eine Reihe dieser Trends zusammen: neue Enthüllungen, welche Arten von Produkten am anfälligsten sind und wie Sicherheitsprobleme entschärft werden.
In diesem Abschnitt der NIST-Revision sind die Anleitungen für das Patch-Management Standardkost: Sicherstellung von Sandbox-Tests für Software-Updates, um zu verstehen, wie sich ein Patch auf die Produktion auswirken könnte; Aktualisierung von Betriebssystemen und Anwendung kompensierender Kontrollen, um eine Umgebung vor bekannten Schwachstellen und Exploits zu schützen. Angesichts der statischen Natur vieler OT-Umgebungen wird Unternehmen außerdem empfohlen, eine Whitelist für Anwendungen (Zulassungslisten) zu erstellen, um die Ausführung nicht autorisierter Anwendungen zu verhindern.
Das Dokument enthält auch spezifische Anleitungen für die Anwendungshärtung und das allgemeine Konfigurationsmanagement, einschließlich Zugangskontrollen und Verschlüsselung des Datenflusses zwischen Systemen und gespeicherten Daten.
Schlussfolgerung
Die digitale Transformation, die vernetzte Systeme hervorbringt, ist nicht mehr aufzuhalten und schafft neue Effizienzen und Innovationen für Industrieunternehmen. Das NIST-Rahmenwerk gilt als Standard für das Risikomanagement in allen Branchen und kann für das Risikomanagement in allen Sektoren und Technologien verwendet werden, von der Informationstechnologie (IT) über industrielle Kontrollsysteme (ICS) und cyber-physische Systeme (CPS) bis hin zum erweiterten Internet der Dinge (XIoT). Es handelt sich jedoch nicht um einen Einheitsansatz für die Verwaltung von Cybersicherheitsrisiken, da jeder Bereich einzigartige Bedrohungen, Schwachstellen und Risikotoleranzen aufweist. Jedes Unternehmen wird seine Praktiken unterschiedlich anpassen, aber eine übergreifende Strategie ist ein wichtiger Schritt auf dem Weg zu einem sicheren und effizienten Betrieb.
