ipopba - stock.adobe.com
Exposure Management für cyberphysische Systeme
Die zunehmende Vernetzung in Unternehmen bis hin zu Steuerungssystemen vergrößert die Angriffsfläche. Es gilt Schwachstellen strategisch proaktiv zu identifizieren und zu bewerten.
Die digitale Transformation schreitet in allen kritischen Infrastrukturen immer weiter voran und führt zu einer stärkeren Vernetzung cyberphysischer Systeme (CPS) als jemals zuvor. Dabei hat diese Konnektivität auch die Angriffsfläche für Cyberkriminelle und staatlich unterstützte Angreifer wesentlich erweitert. Deshalb müssen Unternehmen mit kritischen Infrastrukturen über die herkömmlichen Workflows für das Schwachstellenmanagement hinausgehen und einen dynamischeren und zielgerichteteren Ansatz für das Risikomanagement entwickeln.
Was ist Exposure Management?
Im Bereich der Cybersicherheit bezieht sich der Begriff „Gefährdung“ (Exposure) auf die Anfälligkeit für potenzielle Cyberangriffe aufgrund von Schwachstellen oder Sicherheitslücken in der CPS-Umgebung eines Unternehmens. Aufgrund der wachsenden Angriffsfläche haben KRITIS-Unternehmen zahlreiche Sicherheitslücken, die Cyberkriminelle ausnutzen können. Diese Einstiegspunkte können dazu führen, dass sich Angreifer unbefugten Zugang verschaffen, wichtige Dienste unterbrechen oder andere Formen von Schaden verursachen. Aus diesem Grund spielt ein wirkungsvolles Exposure Management eine Schlüsselrolle. Dieser proaktive Ansatz identifiziert, bewertet und beseitigt potenzielle Schwachstellen und Risiken, bevor sie ausgenutzt werden können, und reduziert auf diese Weise die Angriffsfläche und das Risiko.
Herausforderungen beim Exposure Management
Unternehmen, die ihre kritischen Ressourcen vor Cyberbedrohungen schützen wollen, stehen bei der Entwicklung eines umsetzbaren Programms für das Exposure Management vor einigen Herausforderungen:
- Unzureichende Transparenz und blinde Flecken: CPS-Ressourcen verwenden in der Regel proprietäre Protokolle, die sie für herkömmliche Sicherheitstools nahezu unsichtbar machen. Dies führt zu erheblichen Kontextlücken, die Entscheidungen zur Priorisierung und Abhilfe erschweren.
- Priorisierung: Zahlreiche Sicherheitslösungen basieren auf dem Common Vulnerability Scoring System (CVSS) und nicht auf der Wahrscheinlichkeit der Ausnutzung von Schwachstellen. Die alleinige Anwendung dieser traditionellen Methode führt dazu, dass das ohnehin schon überlastete Security-Personal Ressourcen für die Priorisierung von Schwachstellen aufbringt, die nicht ausgenutzt werden können oder nie ausgenutzt werden.
- Patch-Management: CPS-Umgebungen haben aufgrund der von ihnen unterstützten Produktionsprozesse in der Regel eine geringe oder gar keine Toleranz für Ausfallzeiten. Infolgedessen gibt es nur sehr wenige Wartungsfenster. Genau das macht die Systeme besonders anfällig für Angriffe, bei denen bekannte Schwachstellen ausgenutzt werden – einfach deshalb, weil sie nicht zeitnah geschlossen werden (können).
- Starre Standardlösungen: CPS-Risikobewertungen, die mit Standardlösungen erstellt werden, sind in der Regel sehr irreführend. Dies liegt daran, dass Standardlösungen dazu neigen, einen starren Ansatz für die Risikoberechnung zu verfolgen. Obwohl jede CPS-Umgebung einzigartig ist, bieten sie nur wenige oder gar keine Optionen, um die Gewichtung der verschiedenen Risikofaktoren auf der Grundlage der für die jeweiligen Unternehmen entscheidenden Aspekte anzupassen. Werden alle cyber-physischen Systeme gleich gewichtet, können die Betreiber nicht die für sie wichtigsten Prozesse priorisieren.
- Compliance: Die Einhaltung verschiedener Branchenvorschriften und -standards erhöht die Komplexität des Exposure Managements zusätzlich. Die spezifischen Anforderungen sind oftmals umfangreich und müssen immer wieder aktualisiert werden. Zudem drohen bei einer Nichteinhaltung rechtliche und finanzielle Konsequenzen.
„Durch einen proaktiven Ansatz können Sicherheitsverantwortliche potenzielle Risiken und Schwachstellen angehen, bevor sie zu einem ernsthaften Problem werden können. So werden die Risiken sukzessive gesenkt und die Cyberresilienz nachhaltig gesteigert.“
Thorsten Eckert, Claroty
5 Schritte zum Exposure Management
Um diese Herausforderungen zu adressieren und ein effektives Exposure Management umzusetzen, bedarf es eines mehrschichtigen Ansatzes. Die Analysten von Gartner definieren Continuous Threat Exposure Management (CTEM) als „eine Reihe von Prozessen und Fähigkeiten, die es Unternehmen ermöglichen, die Verfügbarkeit, Gefährdung und Ausnutzbarkeit der digitalen und physischen Ressourcen eines Unternehmens kontinuierlich und konsistent zu bewerten.“ Um CTEM auf cyber-physische Systeme zu übertragen und so von den Vorteilen zu profitieren, sollten Unternehmen folgende Schritte in Betracht ziehen:
- Scoping: Zuallererst müssen Unternehmen den Umfang der Angriffsfläche erkennen. Diese geht in der Regel deutlich über den Fokus herkömmlicher Schwachstellenmanagement-Programme hinaus und muss so weiterentwickelt werden, dass sie alle cyber-physischen Systeme in der Umgebung umfasst. Unternehmen sollten dabei eine Lösung in Betracht ziehen, die auch traditionell nicht verwaltete Ressourcen jenseits der IT schützt, wie beispielsweise IoT, OT oder medizinische Geräte. Hierbei müssen die geschäftskritischsten Assets priorisiert und entsprechend ihrer Kritikalität gruppiert werden.
- Erkennung: Sobald das Scoping abgeschlossen ist, müssen Unternehmen damit beginnen, die CPS-Ressourcen in ihrer Umgebung zu identifizieren und ihre Risikoprofile zu bestimmen. Eine umfassende Geräteerkennung ermöglicht es ihnen, die Angriffsfläche und alle ausnutzbaren Einstiegspunkte vollständig zu erfassen. Da in modernen Umgebungen ständig neue Geräte und Assets hinzugefügt werden, kann die Bedeutung eines stets aktuellen Inventars nicht hoch genug eingeschätzt werden.
- Priorisierung: Sobald die Schwachstellen identifiziert und die Wahrnehmungslücken erkannt wurden, sollten Unternehmen die wichtigsten Schwachstellen anhand ihrer potenziellen Auswirkungen priorisieren. Dies erfolgt mit Hilfe einer standardisierten Formel zur Berechnung des Geräterisikos und ermöglicht eine bessere Entscheidungsfindung bei der Festlegung von Prioritäten. Auf diese Weise können Unternehmen im Laufe der Zeit ihre Risikoreduzierung messen und überprüfen.
- Validierung: In der Validierungsphase prüfen Unternehmen, wie ein potenzieller Angreifer eine identifizierte Schwachstelle ausnutzen könnte und wie Überwachungs- und Kontrollsysteme darauf reagieren würden. Ist ein Exploit nicht veröffentlicht, müssen Unternehmen möglicherweise mit anderen Mitteln wie der Software Bills of Materials (SBOMs) oder VEX-Dateien (Vulnerability Exploitability eXchange) arbeiten. Möglicherweise sind sogar zusätzliche Erkennungstaktiken wie aktive Scanning-Techniken erforderlich, um Risikobewertungen zu validieren und geeignete Abhilfetechniken zu entwickeln.
- Umsetzung: Schließlich sollte überprüft werden, welche Lösungen eine echte Umsetzung des CPS-Cybersicherheitsprogramms unterstützen. Dies erfordert die Integration in bestehende Cybersicherheits-Workflows, OEM-Allianzen zur Unterstützung von Abhilfemaßnahmen vor Ort, Berücksichtigung von Ausfallzeiten und Wartung sowie Techniken, um den Wert der Security-Maßnahmen im Laufe der Zeit nachzuweisen.
Angesichts des zunehmenden Ausmaßes und der Raffinesse von Cyberangriffen ist es für Unternehmen aller Größen wichtiger denn je, ihr Sicherheitskonzept, um ein Exposure Management zu erweitern. Ohne Exposure Management wird es für Unternehmen nahezu unmöglich, eine starke Cybersicherheitslage aufrechtzuerhalten, ihre kritischen Systeme zu schützen, Vorschriften einzuhalten und die potenziellen Auswirkungen von Cyberbedrohungen zu minimieren. Durch einen proaktiven Ansatz können Sicherheitsverantwortliche jedoch potenzielle Risiken und Schwachstellen angehen, bevor sie zu einem ernsthaften Problem werden können. So werden die Risiken sukzessive gesenkt und die Cyberresilienz nachhaltig gesteigert.
Über den Autor:
Thorsten Eckert ist Regional Vice President Sales Central bei Claroty.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.