Gesponserte Funktion Die Internetkonnektivität hat alles verändert, einschließlich industrieller Umgebungen der alten Schule. Während Unternehmen ihre Betriebsabläufe modernisieren, verbinden sie immer mehr ihrer Maschinen mit dem Internet. Es ist eine Situation, die klare und aktuelle Sicherheitsbedenken aufwirft, und die Branche braucht neue Ansätze, um damit umzugehen.
Die Einführung des Industrial Internet of Things (IIoT) schreitet voran. Forschung von Inmarsat fand heraus, dass 77 Prozent der befragten Organisationen mindestens ein IIoT-Projekt vollständig umgesetzt haben, wobei 41 Prozent von ihnen dies zwischen dem zweiten Quartal 2020 und 2021 getan haben.
Dieselbe Studie warnte auch davor, dass Sicherheit ein Hauptanliegen von Unternehmen sei, die mit IIoT-Implementierungen beginnen, wobei sich 54 Prozent der Befragten beschwerten, dass sie dadurch daran gehindert würden, ihre Daten effektiv zu nutzen. Die Hälfte nannte auch das Risiko externer Cyberangriffe als Problem.
IIoT-Lösungen sind entscheidend für die Konvergenz von IT und OT (Operational Technology). OT-Plattformen, häufig industrielle Steuerungssysteme (ICS), helfen Unternehmen bei der Verwaltung ihrer physischen Geräte wie Pressen und Förderbänder, die die Produktion antreiben, oder der Ventile und Pumpen, die das kommunale Wasser fließen lassen.
Dabei erzeugen sie riesige Datenmengen, die für Analysezwecke nützlich sind. Aber diese Informationen in die entsprechenden Unternehmenstools zu bringen, bedeutet, die Lücke zwischen IT und OT zu schließen.
Betreiber möchten auch, dass diese OT-Systeme aus der Ferne zugänglich sind. Indem konventionellen IT-Anwendungen die Möglichkeit gegeben wird, diese Geräte zu steuern, können sie mit denselben Back-End-Prozessen verknüpft werden, die in IT-Systemen definiert sind. Auch die Ermöglichung des Fernzugriffs für Techniker, die keine Hin- und Rückfahrt von mehreren Kilometern zurücklegen können oder wollen, nur um eine Betriebsänderung vorzunehmen, kann ebenfalls Zeit und Geld sparen.
Dieser Bedarf an Fernzugriff verschärfte sich während der COVID-19-Krise, als soziale Distanzierung und Reisebeschränkungen Techniker daran hinderten, überhaupt Vor-Ort-Besuche durchzuführen. Inmarsat stellte fest, dass die Pandemie beispielsweise eine Hauptursache für die beschleunigte Einführung des IIoT war, wobei 84 Prozent angaben, dass sie ihre Projekte als direkte Reaktion auf die Pandemie beschleunigt haben oder beschleunigen werden.
Für viele ist die Konvergenz von IT und OT also mehr als nur bequem; Es ist wichtig. Aber es hat auch einen perfekten Sturm für Sicherheitsteams geschaffen. Ein von außen zugängliches ICS-System erhöht die Angriffsfläche für Hacker.
ICS-Angriffe in Aktion
Manchmal kann diese IT/OT-Konvergenz so einfach sein wie jemand, der Fernzugriffssoftware auf einem PC in einer Einrichtung installiert. Das ist die Einrichtung, die erlaubt Hacker im Jahr 2021 über die Installation eines Fernzugriffstools auf Kontrollsysteme im städtischen Wasserwerk in Oldsmar, Florida, zugreifen, bevor sie versuchen, die Anwohner mit Natriumhydroxid zu vergiften. Der PC, den der Angreifer kompromittiert hatte, hatte Zugriff auf die OT-Ausrüstung im Werk. Der Sheriff der Stadt berichtete, dass der unsichtbare Eindringling den Mauszeiger vor einen seiner Arbeiter gezogen hatte.
Es ist nicht klar, was Hacker dazu veranlasste, unschuldige Floridianer zu vergiften, aber einige Angriffe haben finanzielle Motive. Ein Beispiel ist der EKANS-Ransomware-Angriff, der Honda getroffen im Juni 2020, Schließung der Produktionsbetriebe in Großbritannien, den USA und der Türkei.
Angreifer nutzten die EKANS-Ransomware, um interne Server des Unternehmens anzugreifen, was zu erheblichen Störungen in seinen Werken führte. In einem (n Analyse des Angriffs erklärte das Cybersicherheitsunternehmen Darktrace, dass EKANS eine neue Art von Ransomware sei. Ransomware-Systeme, die auf OT-Netzwerke abzielen, tun dies normalerweise, indem sie zuerst IT-Geräte treffen und dann schwenken. EKANS ist relativ selten, da es direkt auf die ICS-Infrastruktur abzielt. Es kann bis zu 64 spezifische ICS-Systeme in seiner Kill Chain angreifen.
Experten glauben, dass andere ICS-Angriffe staatlich gefördert werden. Die Triton-Malware, die 2017 erstmals gegen petrochemische Anlagen gerichtet wurde, ist immer noch eine Bedrohung nach Angaben des FBI, das Angriffe staatlich unterstützten russischen Gruppen zuschreibt. Diese Malware ist laut Bureau besonders gefährlich, weil sie physische Schäden, Umweltauswirkungen und den Verlust von Menschenleben zuließ.
Herkömmliche Sicherheitslösungen funktionieren hier nicht
Herkömmliche Cybersicherheitsansätze sind bei der Lösung dieser OT-Schwachstellen nicht effektiv. Unternehmen könnten Endpoint-Sicherheitstools einschließlich Anti-Malware verwenden, um ihre PCs zu schützen. Aber was wäre, wenn der Endpunkt eine speicherprogrammierbare Steuerung, eine KI-fähige Videokamera oder eine Glühbirne wäre? Diese Geräte haben oft nicht die Kapazität, Software-Agenten auszuführen, die ihre internen Prozesse überprüfen können. Einige verfügen möglicherweise nicht über CPUs oder Datenspeichereinrichtungen.
Selbst wenn ein IIoT-Gerät über die Verarbeitungsbandbreite und Leistungsfähigkeit verfügt, um einen integrierten Sicherheitsagenten zu unterstützen, würden die benutzerdefinierten Betriebssysteme, die sie verwenden, wahrscheinlich keine generischen Lösungen unterstützen. IIoT-Umgebungen verwenden oft mehrere Gerätetypen von verschiedenen Anbietern, wodurch ein vielfältiges Portfolio von Nicht-Standard-Systemen entsteht.
Dann ist da noch die Frage nach Umfang und Verteilung. Administratoren und Sicherheitsexperten, die es gewohnt sind, mit Tausenden von Standard-PCs in einem Netzwerk umzugehen, werden eine IIoT-Umgebung, in der es Hunderttausende von Sensoren geben kann, ganz anders finden. Sie können sich auch über ein weites Gebiet ausbreiten, insbesondere wenn Edge-Computing-Umgebungen an Bedeutung gewinnen. Sie können ihre Verbindungen zum Netzwerk in einigen entfernteren Umgebungen einschränken, um Strom zu sparen.
Bewertung traditioneller ICS-Schutz-Frameworks
Wenn herkömmliche IT-Sicherheitskonfigurationen diese Herausforderungen nicht bewältigen können, dann vielleicht OT-zentrierte Alternativen? Das Go-to-Standardmodell ist das Cybersicherheitsmodell von Purdue. Es wurde an der Purdue University entwickelt und von der International Society of Automation als Teil ihres ISA 99-Standards übernommen und definiert mehrere Ebenen, die die IT- und ICS-Umgebung beschreiben.
Ebene Null befasst sich mit den physischen Maschinen – den Drehmaschinen, Industriepressen, Ventilen und Pumpen, die Dinge erledigen. Die nächste Ebene umfasst die intelligenten Geräte, die diese Maschinen manipulieren. Dies sind die Sensoren, die Informationen von den physischen Maschinen und den Aktuatoren, die sie antreiben, weiterleiten. Dann finden wir die SCADA-Systeme (Supervisory Control and Data Acquisition), die diese Maschinen überwachen, wie z. B. speicherprogrammierbare Steuerungen.
Diese Geräte verbinden sich mit den Manufacturing Operations Management-Systemen auf der nächsthöheren Ebene, die industrielle Arbeitsabläufe ausführen. Diese Maschinen sorgen für einen optimalen Betrieb der Anlage und erfassen ihre Betriebsdaten.
Auf den oberen Ebenen des Purdue-Modells befinden sich die Unternehmenssysteme, die direkt im Bereich der IT angesiedelt sind. Die erste Ebene beinhaltet hier die produktionsspezifischen Anwendungen wie das Warenwirtschaftssystem, das die Produktionslogistik abwickelt. Auf der obersten Ebene befindet sich dann das IT-Netzwerk, das Daten aus den ICS-Systemen sammelt, um die Geschäftsberichterstattung und Entscheidungsfindung voranzutreiben.
Früher, als nichts mit irgendetwas außerhalb des Netzwerks sprach, war es einfacher, ICS-Umgebungen mit diesem Ansatz zu verwalten, da Administratoren das Netzwerk entlang seiner Grenzen segmentieren konnten.
Zur Unterstützung dieser Art der Segmentierung wurde absichtlich eine demilitarisierte Zone (DMZ) hinzugefügt, die sich zwischen den beiden Enterprise-Layern und den ICS-Layern weiter unten im Stack befindet. Es fungiert als Luftspalt zwischen dem Unternehmen und den ICS-Domänen und verwendet Sicherheitsausrüstung wie Firewalls, um den Datenverkehr zwischen ihnen zu kontrollieren.
Nicht jede IT/OT-Umgebung wird diese Schicht haben, da ISA sie jedoch erst kürzlich eingeführt hat. Auch diejenigen, die es tun, stehen vor Herausforderungen.
Die heutigen Betriebsumgebungen unterscheiden sich von denen in den 1990er Jahren, als sich das Purdue-Modell zum ersten Mal entwickelte und die Cloud, wie wir sie kennen, noch nicht existierte. Ingenieure möchten sich direkt bei lokalen Verwaltungsvorgängen oder SCADA-Systemen anmelden. Anbieter möchten möglicherweise ihre intelligenten Geräte an Kundenstandorten direkt über das Internet überwachen. Einige Unternehmen sehnen sich danach, ihre gesamte SCADA-Schicht in die Cloud zu transportieren, wie Severn Trent Water entschieden 2020 zu tun.
Die Entwicklung von ICS as a Service (ICSaaS), das von Drittanbietern verwaltet wird, hat die Gewässer für Sicherheitsteams, die sich mit der IT/OT-Konvergenz auseinandersetzen müssen, weiter verschmutzt. All diese Faktoren riskieren, mehrere Löcher in der Umgebung zu öffnen und frühere Segmentierungsbemühungen zu umgehen.
Das ganze Wirrwarr durchschneiden
Stattdessen verfolgen einige Unternehmen neue Ansätze, die über die Segmentierung hinausgehen. Anstatt sich auf schnell verschwindende Netzwerkgrenzen zu verlassen, untersuchen sie den Datenverkehr auf Geräteebene in Echtzeit. Dies ist nicht weit entfernt von den ursprünglichen Deperimeterisierungsvorschlägen, die das Jericho Forum der Open Group in den frühen Nullerjahren vorschlug, aber die Analyse des Datenverkehrs an so vielen verschiedenen Punkten im Netzwerk war damals schwierig. Heute sind Verteidiger dank der KI besser in der Lage, ein wachsames Auge zu behalten.
Darktrace ist Anwendung einige dieser Konzepte innerhalb seines Industrial Immune System. Anstatt nach bekannten bösartigen Signaturen an den Grenzen von Netzwerksegmenten Ausschau zu halten, beginnt es damit, zu lernen, was überall in der IT- und OT-Umgebung normal ist, einschließlich aller Teile dieser Umgebung, die in der Cloud gehostet werden.
Der Dienst erstellt eine sich entwickelnde Basislinie der Normalität und analysiert dann den gesamten Datenverkehr auf Aktivitäten, die außerhalb davon liegen. Es kann Administratoren und Sicherheitsanalysten auf diese Probleme aufmerksam machen, da es war für einen europäischen Fertigungskunden.
Der Dienst ist auch autonom. Wenn ein Kunde seinen Entscheidungen genug vertraut, um den Schalter umzulegen, kann das Immunsystem von der bloßen Alarmierung zu angemessenen Maßnahmen übergehen. Dies kann das Blockieren bestimmter Arten von Datenverkehr, das Erzwingen des normalen Verhaltens eines Geräts oder in schweren Fällen das vollständige Isolieren von Systemen, einschließlich Geräten in den OT/ICS-Schichten, bedeuten.
Die Führungskräfte von Darktrace hoffen, dass diese Umstellung auf ein detaillierteres Modell der konstanten, allgegenwärtigen Verkehrsanalyse in Kombination mit einer Echtzeitbewertung bekannter normaler Verhaltensweisen dazu beitragen wird, die steigende Flut von ICS-Cyberangriffen zu vereiteln. Es wird Unternehmen hoffentlich auch ermöglichen, agiler zu werden, indem es Fernzugriff und Cloud-basierte ICS-Initiativen unterstützt. In Zukunft müssen Sie nicht riskieren, dass jemand das Licht ausschaltet, um das Licht anzuschalten.
Gesponsert von Darktrace
- AI
- Kunst
- KI-Kunstgenerator
- KI-Roboter
- künstliche Intelligenz
- Zertifizierung für künstliche Intelligenz
- Künstliche Intelligenz im Bankwesen
- Roboter mit künstlicher Intelligenz
- Roboter mit künstlicher Intelligenz
- Software für künstliche Intelligenz
- Blockchain
- Blockchain-Konferenz ai
- Einfallsreichtum
- dialogorientierte künstliche Intelligenz
- Krypto-Konferenz ai
- Dalls
- tiefe Lernen
- Google Ai
- Maschinelles Lernen
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- Skala ai
- Syntax
- Das Register
- Zephyrnet
