Beschützen: Verstehen, Priorisieren und Reduzieren von industriellen Cyber-Risiken

Dies ist der zweite Teil einer vierteiligen Blogserie, in der die vier wesentlichen Säulen der industriellen Cybersicherheit eingehend erläutert werden: Aufdecken, Schützen, Erkennen und Verbinden. Ziel dieser Serie ist es, Sicherheitsverantwortlichen ein Verständnis für die einzigartigen Herausforderungen zu vermitteln, die mit der Erfüllung dieser Anforderungen im industriellen Kontext verbunden sind, sowie für die Zeit und die Ressourcen, die Claroty in die kohärente Bewältigung dieser Herausforderungen in beispielloser Weise investiert hat.

-

Im ersten Teil dieser Serie haben wir uns eingehend mit der Frage befasst, warum die Transparenz von Industrieumgebungen oft eine Herausforderung darstellt, aber dennoch sehr wichtig ist, und welche Funktionen erforderlich sind, um diese Herausforderungen zu meistern. Nachdem Sie Ihre industrielle Umgebung in ihrer Gesamtheit offengelegt haben, besteht der nächste Schritt darin, sich gegen die mit dieser Umgebung verbundenen Risiken zu schützen.

Im Großen und Ganzen besteht der Schutz vor industriellen Cybersicherheitsrisiken aus einem dreistufigen Prozess:

Industrielle Cybersicherheitsrisiken verstehen

Es ist schon schwierig genug, Einblicke in komplexe Industrieumgebungen zu gewinnen, aber diese Einblicke können nur wenig zu Ihrer Cyber-Abwehrstrategie beitragen, wenn Sie nicht auch über die Technologie verfügen, um Risiken zu erkennen und ihre Auswirkungen im Kontext Ihrer einzigartigen Umgebung zu bewerten.

Ein sehr einfaches Beispiel: Sicherheitsteams sollten verstehen, dass der Fernzugriff auf die industrielle Umgebung ihres Unternehmens ohne robuste, OT-spezifische Schutzmaßnahmen ein enormes Risiko darstellt, das sie nicht ungeschehen machen können. Leider ist das nicht immer so einfach.

ICS-Schwachstellen haben in den letzten Jahren zu Recht ein wachsendes Interesse bei Cybersecurity-Forschern und -Praktikern geweckt. Da jedoch eine gegebene industrielle Umgebung mehr Schwachstellen aufweist, als jemals entschärft werden könnten, erfordert die Bewältigung des von Sicherheitsmängeln ausgehenden Risikos eine differenziertere Bewertung. Die erste Voraussetzung für eine solche Bewertung ist die Fähigkeit, Ihr detailliertes Anlageninventar mit einer umfassenden Datenbank abzugleichen, aus der hervorgeht, welche Sicherheitsschwachstellen in welchen spezifischen Anlagenmodellen vorhanden sind.

Bei der qualitativen Risikoanalyse gilt: Risiko = Wahrscheinlichkeit x potenzielle Auswirkung. Um das von einer bestimmten Schwachstelle ausgehende Risiko zu verstehen, müssen Sie in der Lage sein, die Möglichkeit ihrer Ausnutzung durch Angreifer sowie das Ausmaß zu bewerten, in dem eine Ausnutzung die Möglichkeit des Zugriffs auf kritische Systeme, des weiteren Eindringens in Ihr Netzwerk oder einer anderweitigen Störung des Betriebs bieten würde.

Claroty Continuous Threat Detection (CTD) ermöglicht es den Anwendern, das Risiko auf der Basis der einzelnen Assets zu verstehen. Das Asset Risk Scoring quantifiziert die Wahrscheinlichkeit auf der Grundlage der Zugänglichkeit eines verwundbaren Assets für Bedrohungsakteure aufgrund seines Netzwerkstandorts, der Kommunikation mit anderen Assets und der Anzahl der offenen Ports. Gleichzeitig werden die potenziellen Auswirkungen anhand der Art der vorhandenen Schwachstellen, der Kritikalität der Anlage und des Ausmaßes, in dem eine Anlage in der Lage ist, bösartige Inhalte an andere Anlagen zu verbreiten, auf der Grundlage ihrer Richtlinien, grundlegenden Verhaltensweisen, Berechtigungen und Protokolle bewertet.

ClarotyDie Risikobewertungsfunktionen der Software bieten den Benutzern differenzierte Risikobewertungen für einzelne Anlagen, virtuelle Zonen und ganze Industriestandorte.

Um den Anwendern ein ganzheitliches Verständnis des Risikos innerhalb ihrer industriellen Umgebung zu ermöglichen, ergänzt Claroty seine Risikobewertungsfunktionen auf Anlagenebene durch die Möglichkeit, das Risiko für alle Anlagen innerhalb einer virtuellen Zone oder - noch umfassender - für einen gesamten Industriestandort zu bewerten.

Priorisierung der industriellen Cybersicherheitsrisiken

Risikomanagement ist naturgemäß mit Abwägungen verbunden: Kein Unternehmen verfügt über die Ressourcen, die Bandbreite oder die zulässigen Ausfallzeiten, die erforderlich sind, um jedes Risiko vollständig zu minimieren. Dies gilt insbesondere für das Risikomanagement in industriellen Technologieumgebungen, in denen eine geringe Toleranz gegenüber Ausfallzeiten im Widerspruch zu den häufig unterbrechenden Patching-Maßnahmen steht. Daher müssen Teams in der Lage sein, zwischen Schwachstellen (oder anderen potenziellen Sicherheitslücken) zu unterscheiden, die nicht priorisiert werden müssen, und solchen, die durch kompensierende Kontrollen gemildert werden müssen, entweder auf unbestimmte Zeit oder bis Wartungsfenster ein Patching ermöglichen.

Um diese Prioritäten effektiv setzen zu können, müssen die Entscheidungsträger wissen, wie ein potenzieller Angriff auf ihre industrielle Umgebung ablaufen könnte. Claroty CTD unterstützt diesen Bedarf mit seiner Attack Vector Mapping-Funktion, die jede mögliche Art von Kommunikation entlang der verschiedenen Pfade simuliert, über die ein Angreifer ein bestimmtes Netzwerk kompromittieren könnte. Dabei werden Kriterien verwendet, die von Claroty, einem hochkarätigen Team von Forschern für industrielle Cybersicherheit, entwickelt wurden. Mit einer visuellen Darstellung der möglichen Angriffswege und kontextbezogenen Details, die erklären, warum bestimmte Angriffsketten identifiziert wurden, können die Benutzer von Claroty die Prioritäten für die Abhilfemaßnahmen auf der Grundlage kontextbezogener Informationen setzen, die direkt aus der zu schützenden Umgebung gewonnen werden.

Verringerung des industriellen Cyber-Risikos

Nachdem Sie sich ein Bild von den Risiken in Ihrer Umgebung gemacht und Prioritäten gesetzt haben, um sich auf die Risikofaktoren zu konzentrieren, die für Ihren Betrieb am kritischsten sind, besteht der nächste Schritt darin, die geeigneten Maßnahmen zur Minderung dieser Risiken zu ergreifen. In vielen Fällen kann die Identifizierung potenzieller Angriffsmuster mit Hilfe von Attack Vector Mapping dabei helfen, anfällige Kommunikationsflüsse zu identifizieren, bei denen der Datenverkehr einer zusätzlichen Überprüfung oder anderen kompensierenden Kontrollen unterzogen werden sollte, bis ein Patch eingespielt werden kann.

Zusätzlich zur - oder in bestimmten Situationen anstelle der - Implementierung spezifischer kompensierender Kontrollen zur Behebung bestimmter Schwachstellen oder Angriffsmuster setzen immer mehr Praktiker der industriellen Cybersicherheit das Zero-Trust-Modell ein, das als IT-Sicherheitsprinzip weithin bekannt ist, aber auch im OT-Kontext sehr effektiv ist. Zero Trust schreibt vor, dass alle Benutzer - ob intern oder extern - ständig überprüft und authentifiziert werden müssen und nur auf die autorisierten Anlagen, Anwendungen und Daten zugreifen können, die für ihre Arbeit erforderlich sind. Durch die Einführung von Zero Trust-Prinzipien zur Sicherung ihrer industriellen Umgebung können Unternehmen das Risiko drastisch reduzieren, dass Benutzer - interne oder externe, unbeabsichtigte oder böswillige - Aktionen durchführen, die die Sicherheit, Zuverlässigkeit und Verfügbarkeit industrieller Umgebungen gefährden.

Claroty xDome Secure Access ermöglicht es Unternehmen, Zero Trust auf effiziente und benutzerfreundliche Weise umzusetzen, indem es Funktionen und Prinzipien wie Security Assertion Markup Language (SAML), das Prinzip der geringsten Privilegien, Passwort-Vaulting und starke rollenbasierte Zugriffskontrollen unterstützt. Die Kombination dieser Funktionen bietet Administratoren völlige Diskretion und Flexibilität bei der Implementierung und Durchsetzung von Authentifizierungsrichtlinien, während den Benutzern eine optimierte Erfahrung geboten wird, die sie nicht in ihrer Arbeit beeinträchtigt.

Wenn Sie mehr darüber erfahren möchten, wie Claroty es Anwendern ermöglicht, industrielle Cyberrisiken proaktiv zu verstehen, zu priorisieren und zu reduzieren, fordern Sie eine Demo an.