krunja - stock.adobe.com
OT-Netzwerke: Was beim Schwachstellen-Management wichtig ist
Die störungsfreie Funktion der Betriebstechnik (OT) ist für viele Unternehmen von entscheidender Bedeutung. Daher sollte man Schwachstellen kennen und priorisieren können.
Zahlreiche Unternehmen, deren Grundlage physische Prozesse und Geräte bilden, hängen vom reibungslosen Funktionieren ihrer Betriebstechnik (OT, Operational Technology) ab. Mit der zunehmenden Integration von OT-Systemen in die Informationstechnologie (IT) ist gleichzeitig das Risiko von Schwachstellen und anderen Cyberbedrohungen zu einer ernsten Herausforderung geworden. Angesichts der zunehmenden Cyberbedrohungen und der sich fortentwickelnden Sicherheitslandschaft benötigen deshalb Unternehmen mit kritischen Infrastrukturen wirkungsvolle Strategien für das Management von OT-Schwachstellen, um ihre industriellen Prozesse vor Cyberangriffen zu schützen.
Laut der US-amerikanischen Cybersicherheitsbehörde CISA „konzentriert sich der Bereich Schwachstellenmanagement auf den Prozess, mit dem Unternehmen Schwachstellen in der Betriebsumgebung eines kritischen Dienstes identifizieren, analysieren und verwalten“. Im Vergleich zum IT-Schwachstellenmanagement ist das OT-Schwachstellenmanagement wesentlich komplizierter: Obwohl das übergreifende Ziel der Identifizierung und Behebung von Sicherheitslücken dasselbe ist, liegt der Schwerpunkt in der IT auf der Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
Das OT-Schwachstellenmanagement hingegen konzentriert sich auf industrielle Steuerungen (ICS), Überwachungs- und Datenerfassungssysteme (SCADA) und andere Geräte, die zur Kontrolle und Steuerung physischer Prozesse in kritischen Infrastrukturumgebungen eingesetzt werden. Das Ziel besteht darin, die Verbreitung und die Auswirkungen von Schwachstellen und ausnutzbaren Bedingungen in Unternehmen und Technologien zu reduzieren, welche die funktionale Sicherheit (Safety), Verfügbarkeit und Funktionalität von Industrieprozessen beeinträchtigen könnten. Dieses Ziel gerät jedoch zunehmend außer Reichweite, da Unternehmen immer häufiger von Angreifern ins Visier genommen werden, die vorhandene Schwachstellen als Waffe einsetzen wollen.
„Gerade Unternehmen mit kritischen Infrastrukturen sind immer größeren Cyberbedrohungen ausgesetzt. Deshalb ist es von entscheidender Bedeutung, die eigenen Schwachstellen zu kennen und zu beheben.“
Thorsten Eckert, Claroty
Herausforderungen beim Aufbau eines erfolgreichen OT-Schwachstellenmanagements
Die meisten Unternehmen mit kritischen Infrastrukturen sind sich der schwerwiegenden Auswirkungen bewusst, die Cyberangriffe auf ihre OT-Systeme haben können. Dennoch fällt es ihnen oft schwer, OT-Schwachstellen zu priorisieren, um die gefährlichsten Bedrohungen in ihrer Umgebung wirksam zu entschärfen. Dies liegt vor allem an folgenden Herausforderungen:
- Mangelnde Transparenz von OT-Anlagen: Die OT-Assets in industriellen Umgebungen verwenden oft proprietäre Protokolle, die sie für herkömmliche IT-Sicherheitstools nahezu unsichtbar machen. Ohne ein detailliertes Profil der einzelnen Geräte ist es nicht nur unmöglich, sie zu bewerten, sondern auch ihre Schwachstellen und Risiken zu verwalten.
- Herkömmliche Schwachstellen-Scanner sind unsicher: Lösungen, die häufig zum Scannen von IT-Ressourcen auf Schwachstellen verwendet werden, erzeugen zu viel Datenverkehr, um in OT-Umgebungen bedenkenlos eingesetzt werden zu können. Werden sie dennoch genutzt, können sie den Betrieb stören oder, noch schlimmer, ihn komplett lahmlegen.
- Unzureichende Strategien zur Priorisierung von Schwachstellen: Herkömmliche OT-Sicherheitslösungen und traditionelle Herangehensweisen führen zu einer Priorisierung von Schwachstellen auf der Grundlage des Common Vulnerability Scoring System (CVSS) und nicht auf der Grundlage der Wahrscheinlichkeit einer Ausnutzung. Dies führt dazu, dass das ohnehin schon überlastete Personal vieler Unternehmen Ressourcen für die Priorisierung von Schwachstellen aufwendet, die wahrscheinlich nie ausgenutzt werden.
- Patches sind nur selten möglich: Das Beheben von Schwachstellen erfordert in der Regel Ausfallzeiten, die in den meisten OT-Umgebungen aufgrund der ihnen zugrunde liegenden Prozesse kaum vorgesehen sind. Daher gibt es nur selten Wartungsfenster – unabhängig von der Schwachstelle oder dem Risiko.
Bewährte Verfahren für das OT-Schwachstellenmanagement
Aufgrund der Komplexität und der Herausforderungen, die ein industrielles OT-Schwachstellenmanagement mit sich bringt, sollten sich Unternehmen an den folgenden Best Practices orientieren. Auf diese Weise können sie das Vulnerability-Management auf ihre speziellen Umgebungen anpassen:
- Assets erkennen: Ohne eine umfassende Transparenz können effektive Cybersecurity-Kontrollen wie ein OT-Schwachstellenmanagement nicht umgesetzt werden. Details zur Asset-Erkennung, wie zum Beispiel Asset-Typ, Modell, Gerätehersteller, IP-Adresse und Gerätestandort, sind entscheidend, um Schwachstellen effektiv zu priorisieren und zu verwalten. Unternehmen sollten ein OT-Sicherheitstool verwenden, das über mehrere hochflexible Erkennungsmethoden verfügt, die miteinander kombiniert werden können. So erhalten sie einen umfassenden Einblick auf eine Weise, die ihren individuellen Anforderungen am besten entspricht.
- Schwachstellen identifizieren: Sobald die Transparenz der Anlagen sichergestellt ist, können Unternehmen die Schwachstellen in ihren Umgebungen identifizieren. Durch die Korrelation ihres Asset-Inventars etwa mit dem CVE-System (Common Vulnerabilities and Exposures) können Sicherheitsverantwortliche anfällige Assets ausfindig machen und die Wahrnehmungslücken der Risiken in ihrer OT-Umgebung beseitigen.
- Schwachstellen priorisieren: Nach der Identifizierung von Schwachstellen und der Beseitigung von Wahrnehmungslücken können Sicherheitsverantwortliche die wichtigsten Schwachstellen in ihrer OT-Umgebung priorisieren, je nachdem, welche Schwachstellen bereits aktiv beziehungsweise am wahrscheinlichsten ausgenutzt werden. Hierbei ermöglicht eine standardisierte Formel zur Berechnung des Geräterisikos eine bessere Entscheidungsfindung für die Priorisierung und hilft, die Risikoreduzierung im Laufe der Zeit zu messen.
- Workflows skalieren: Um die Taktiken für das OT-Schwachstellenmanagement zu skalierbaren Workflows auszubauen, ist es wichtig, spezielle OT-Workflows, bestehende IT-Ticketing-Orchestrierung und/oder verwandte Tools zu verwenden. Mit Hilfe einer fortschrittlichen OT-Cybersecurity-Plattform können bestehende IT-Workflows für das Schwachstellenmanagement problemlos auf die OT-Umgebung ausgeweitet werden, indem es sie nahtlos in CMDB, Orchestrierung, Ticketing, SIEM und verwandte Quellen integriert.
- Risikomanagement optimieren: Für eine weitere Optimierung des OT-Schwachstellenmanagements ist es ratsam, dass Sicherheitsverantwortliche strategische OT-Analysen und Risikoempfehlungen nutzen, um proaktive Risikominderungsmaßnahmen zu ergreifen. Es ist sogar möglich, bestehende IT-Endpunktsicherheitslösungen auf kompatible Geräte in der OT auszuweiten und damit die Sicherheitslage weiter zu verbessern.
Gerade Unternehmen mit kritischen Infrastrukturen sind immer größeren Cyberbedrohungen ausgesetzt. Deshalb ist es von entscheidender Bedeutung, die eigenen Schwachstellen zu kennen und zu beheben. Jede OT-Umgebung ist einzigartig und erfordert einen maßgeschneiderten Ansatz für das OT-Schwachstellenmanagement. Deshalb müssen die Betreiber ihre Risikolage verstehen, ihre vorhandenen Ressourcen besser nutzen und ihre Anstrengungen im Bereich der OT-Security beschleunigen. Nur so können sie der steigenden Bedrohungslage Herr werden und einen reibungslosen Betrieb sicherstellen.
Über den Autor:
Thorsten Eckert ist Regional Vice President Sales Central bei Claroty.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.