Vollständige und genaue Anlageninformationen sind die Grundlage für einen sicheren Industriebetrieb

Cybersicherheit war noch nie so wichtig und herausfordernd für Hersteller und Betreiber kritischer Infrastrukturen.

Cybersicherheit war noch nie so wichtig und herausfordernd für Hersteller und Betreiber kritischer Infrastrukturen. Diese Organisationen sind zu Hauptzielen für Ransomware und raffinierte staatliche Angriffe geworden. Viele müssen mit strengeren Sicherheits-Compliance-Anforderungen rechnen. Die meisten verfügen über begrenzte Sicherheitsressourcen und haben Schwierigkeiten, die Abwehrmaßnahmen aufrechtzuerhalten und mit den neuen Risiken Schritt zu halten, die durch die Bemühungen zur digitalen Transformation entstehen. Industrieunternehmen müssen sicher sein, dass ihre Sicherheitsprogramme für industrielle Kontrollsysteme (ICS) diesen Herausforderungen gewachsen sind. Ein einziger Cyber-Vorfall könnte die Sicherheit, die Geschäftskontinuität und das Überleben des Unternehmens gefährden. Eine unzureichende Beachtung der Compliance-Anforderungen kann zu erheblichen finanziellen Strafen und zum Verlust der Betriebsgenehmigung einer Einrichtung führen. Um die Cyber-Risiken von Steuerungssystemen und die Wirksamkeit bestehender Sicherheitspraktiken zu verstehen, sind vollständige und genaue Informationen zu Anlagen unerlässlich. Um effektiv zu sein, müssen Asset-Informationen eine vollständige Auflistung aller Systemelemente, einschließlich Endpunkte und Netzwerkkomponenten, sowie detaillierte Informationen zu den Hardware-, Firmware- und Softwarekonfigurationen jedes Geräts enthalten. Die Entwicklung und Verwaltung dieser Informationen ist zeitaufwändig und erfordert eine Lösung, die die Datenerfassung, die Erkennung von Änderungen und die Aufbereitung von Informationen für Verwaltung und Compliance automatisiert. In diesem Dokument werden die Funktionen beschrieben, die Endbenutzer bei der Entwicklung einer Asset-Informationsstrategie berücksichtigen sollten. Ein Überblick über die Lösung von Industrial Defender ist enthalten, um zu zeigen, wie ein Unternehmen für industrielle Cybersicherheit Unternehmen dabei hilft, diese Anforderungen zu erfüllen.

Das Industrial/OT Cybersecurity Maturity Model von ARC bietet ein nützliches Werkzeug zum Verständnis und zur Verwaltung des Status industrieller Cybersicherheitsprogramme. Dieses Modell bietet einen Fahrplan für die Implementierung der Sicherheitstechnologien und Personalressourcen, die zur Unterstützung der Empfehlungen des NIST-Cybersicherheitsrahmens erforderlich sind. Die Schritte im ARC-Modell spiegeln die Reihenfolge wider, die Unternehmen bei Investitionen in Sicherheitstechnologie einhalten sollten. Dadurch wird sichergestellt, dass solide, grundlegende Fähigkeiten vorhanden sind, um die Anforderungen nachfolgender Schritte zu unterstützen. Die Farben im Modell unterscheiden passive Verteidigungsmaßnahmen, die zum Schutz von Systemen vor herkömmlichen Hackern erforderlich sind, von den aktiven Verteidigungsfähigkeiten, die für komplexere Angriffe erforderlich sind. Ein wesentlicher Vorteil des ARC-Modells besteht darin, dass es die Notwendigkeit hervorhebt, die Abstimmung von Menschen, Prozessen und Technologiefähigkeiten aufrechtzuerhalten. Die Wirksamkeit oder Reife eines Cybersicherheitsprogramms wird durch die Kategorie mit dem niedrigsten Reifegrad bestimmt. Das Modell von ARC betont auch die Notwendigkeit von Investitionen in Asset-Informations- und Cybersicherheitsmanagementlösungen, um sicherzustellen, dass begrenzte Sicherheitsressourcen die Sicherheitslage effizient bewerten, Abwehrmaßnahmen aufrechterhalten, Angriffe verwalten und Management- und Compliance-Berichte erstellen können. Viele Unternehmen haben die Bedeutung dieser Fähigkeiten unterschätzt und betreiben kritische Anlagen, die weiterhin dem Risiko schwerwiegender Cybervorfälle ausgesetzt sind.

Das Modell von ARC zeigt, wie effektive Sicherheitsprogramme durch spezifische, inkrementelle Investitionen in Mitarbeiter, Prozesse und Technologiefähigkeiten aufgebaut werden, um bestimmte Sicherheitsziele zu erreichen. Entscheidungen in jedem Schritt basieren auf Informationen, die in der ersten Identifizierungsphase gesammelt wurden. Dazu gehören die gesammelten Informationen zu Geräten, Konfigurationen, Schwachstellen, Bedrohungen und Compliance-Anforderungen. Die Vollständigkeit und Genauigkeit dieser Asset-Informationen hat einen direkten Einfluss auf die Gesamteffektivität des Programms. Unvollständige Informationen schränken beispielsweise die Fähigkeit von Erkennungslösungen ein, umsetzbare Sicherheitswarnungen bereitzustellen. Daher verschwenden Verteidiger wertvolle Zeit damit, Informationen zu beschaffen, die leicht verfügbar sein sollten. Die Wartung der Cybersicherheit benötigt Informationen, um die Abwehrmaßnahmen aufrechtzuerhalten, wenn in der Umgebung neue Sicherheitsrisiken auftauchen. Umweltrisiken werden im Allgemeinen durch Feeds von Quellen überwacht, die häufige Schwachstellen und Gefährdungen (CVEs), Patch-Releases und Aktivitäten von Bedrohungsakteuren melden. Um die Relevanz zu bewerten und entsprechende Antworten zu entwickeln, sind aber auch genaue und detaillierte Asset-Informationen erforderlich. Verteidiger benötigen genaue, detaillierte Anlageninformationen, um neue Risiken zu erkennen, die innerhalb von Systemen durch die Aktionen von Bedienern, Wartungspersonal oder raffinierten Angreifern entstehen können, die der Verteidigung der Anlage entgehen. Die einzige Möglichkeit, viele dieser Bedrohungen zu erkennen, ist die Erkennung von Änderungen in den Asset-Informationen. Die Vollständigkeit der Anlageninformationen bestimmt, welche Arten von Bedrohungen erkennbar sind, während die Häufigkeit der Datenerfassung bestimmt, wie lange diese Bedrohungen für Einrichtungen bestehen. Compliance-Berichte und Governance sind belastende Sicherheitsbereiche, die Sicherheitsteams von ihren primären Verantwortlichkeiten für das Cybersicherheitsmanagement ablenken können. Um eine Beeinträchtigung der Sicherheitsmaßnahmen zu vermeiden, ist ein bequemer Zugriff auf vollständige und genaue Asset-Informationen, die regulatorische und Governance-Anforderungen unterstützen, von entscheidender Bedeutung. Angesichts der entscheidenden Bedeutung genauer und vollständiger Anlageninformationen empfiehlt ARC jedem Industrieunternehmen, sicherzustellen, dass seine Anlageninformationsstrategie die folgenden Anforderungen unterstützt:

1. Systemgeräteinformationen : Vollständige, detaillierte Informationen zu jedem am Steuerungssystembetrieb beteiligten Gerät, einschließlich Prozesssteuerungen (SPS, DCS, IEDs usw.), Benutzergeräten (HMIs, Workstations usw.), Servern und allen aktiven Netzwerkgeräten. Dies sollte alle Informationen abdecken, die für das Verständnis des Sicherheitsstatus, die Auswahl von Sicherheitsmaßnahmen und die Wiederherstellung von Geräten im Falle eines Ausfalls oder einer Kompromittierung relevant sind. Dazu gehören Gerätekennungen; Hardware-, Software- und Firmware-Anwendungen, Versionierung und Konfigurationseinstellungen; Patch-Status; usw.2.Informationen zur Systemkommunikation: Vollständige, detaillierte Informationen zu Verbindungen und Datenflüssen, die zwischen Systemgeräten und externen Ressourcen bestehen. Diese Informationen sollten ausreichend sein, um die Auswahl und Konfiguration von Netzwerksicherheitslösungen während der Entwicklung von Sicherheitsprogrammen sowie die Erkennung nicht autorisierter Änderungen und anomaler Kommunikation während der Sicherheitswartungsphase zu ermöglichen.3. Informationen zu Systemänderungen und Ereignissen: Historische Aufzeichnungen aller Änderungen und bemerkenswerten Ereignisse, die innerhalb des geschützten Systems aufgetreten sind. Dazu gehören in Systemgeräten erfasste Informationen (Syslogs, Netflows, NAC-Anmeldeinformationen usw.) sowie von Systemsicherheitslösungen generierte Warnungen. Es sollte auch Aufzeichnungen aller vom Asset Information Management System selbst erkannten Änderungen enthalten, wie z. B. Änderungen in SPS- und DCS-Programmen, Firewall-Regeln usw.

1. Informationssammlung: Die Informationserfassung sollte so weit wie möglich automatisiert werden, mit Methoden, die eine häufige, unterbrechungsfreie Erkennung von Systemänderungen ermöglichen. Passive Netzwerk-Scan-Methoden sind nützlich, erfassen jedoch nicht alle erforderlichen Informationen und erkennen keine isolierten Geräte. Vollständige, genaue Anlageninformationen erfordern eine Mischung aus Datenerfassungsansätzen, zu denen intelligentes aktives Scannen zur Erfassung und Überwachung von Gerätekonfigurationen, Agenten innerhalb von Geräten zur Erfassung anomaler Aktivitäten und bidirektionale Integration mit anderen Systemen gehören, die relevante Anlageninformationen bereitstellen können. Die Unterstützung der manuellen Datenerfassung ist auch erforderlich, um Informationen zu sammeln, die für die automatische Datenerfassung nicht geeignet sind. Dazu gehören manuelle Eingabebildschirme und die Aufnahme verschiedener Arten von Datendateien (Excel-Tabellen usw.).2.Informationsspeicher: Asset-Informationen sind eine wichtige Ressource und müssen auf eine Weise gespeichert werden, die einen angemessenen Schutz und gleichzeitig eine breite Verfügbarkeit für autorisierte Benutzer gewährleistet. Speicherstrategien sollten mehrere Kopien, regelmäßige Archivierung mit Zeitstempel und eine schnelle Wiederherstellung von Systemen anhand vertrauenswürdiger Backup-Informationen unterstützen.3.Informationszugang: Der bequeme Zugriff auf Anlageninformationen ist von wesentlicher Bedeutung und muss für eine Vielzahl von Benutzerperspektiven und -bedürfnissen unterstützt werden. Für die Planung von Patch-Bereitstellungen werden Gerätelisten nach Typ und Standort benötigt. Aber Verteidiger benötigen auch schnellen Zugriff auf Informationen über Systemkarten und Konnektivitätsdiagramme, wenn sie auf Sicherheitswarnungen reagieren.4. Unterstützung beim Sicherheitsmanagement: Das Sicherheitsmanagement umfasst eine Vielzahl routinemäßiger Wartungsaktivitäten wie die Bewertung allgemeiner Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVEs), die Erstellung regelmäßiger Compliance- und Managementberichte sowie die Verwaltung von Benutzerrechten. Die Unterstützung dieser Art von Aktivitäten sollte in das Asset-Informationssystem aufgenommen werden, um die Arbeitsbelastung begrenzter OT-Cybersicherheitsteams zu minimieren. Es besteht ein allgemeiner Mangel an diesen Fachkräften und die Reduzierung der Zeit, die für unkritische Aufgaben aufgewendet wird, ist der Schlüssel dazu, sicherzustellen, dass Einrichtungen alle kritischen Probleme angehen, die für die Aufrechterhaltung der Sicherheit erforderlich sind.

Industrial Defender gilt allgemein als das erste Unternehmen, das eine Cybersicherheitsmanagementlösung anbietet, die sich ausschließlich auf industrielle OT-Systeme konzentriert. Das seit 2006 bestehende Unternehmen hat sich einen guten Ruf für Cybersicherheitsmanagement in der Energie- und Prozessindustrie erarbeitet und verfügt über eine umfangreiche Liste erfolgreicher Installationen.

Die Industrial Defender OT-Sicherheitsmanagementplattform wurde speziell für industrielle Steuerungssysteme entwickelt und erfüllt die sich überschneidenden Anforderungen von Cybersicherheit, Compliance und Änderungsmanagement. Dieses Produkt bietet die Unterstützung bei der Datenerfassung und Informationsverwaltung, die Unternehmen in allen Phasen des Aufbaus und der Aufrechterhaltung effektiver OT-Cybersicherheitsprogramme benötigen.

Präzise, ​​vollständige Anlagendaten sind von entscheidender Bedeutung, um sicherzustellen, dass Industrieunternehmen ihre Systeme gegen die anspruchsvolle Bedrohungsumgebung von heute verteidigen können. Der schnelle und bequeme Zugriff auf diese Informationen hilft Anlagen dabei, effektive Cybersicherheitsprogramme aufzubauen und aufrechtzuerhalten. Unsere Überprüfung der Cybersecurity-Management-Plattform von Industrial Defender zeigt, dass es Unternehmen gibt, die Ihnen dabei helfen können, die Asset-Informationsfunktionen einzurichten, die für effektive OT-Cybersicherheitsprogramme erforderlich sind. Das größte Risiko für Ihre OT-Sicherheit besteht darin, die Dringlichkeit der Lösung dieses kritischen Problems zu ignorieren.

Sid Snitkin ist Vizepräsident für Cybersecurity Services bei der ARC Advisory Group. Zu Sids Aufgaben gehört die Leitung der ARC-Abteilung für industrielle Cybersicherheit, die Produkte und Dienstleistungen zum Schutz von Industrieanlagen entwickelt. Sid unterstützt ARC-Kunden auch im Asset Lifecycle Information Management und im Industrial Internet of Things (IIoT).

Schauen Sie sich unsere kostenlosen E-Newsletter an, um weitere tolle Artikel zu lesen.