In Unternehmen werden in der IT unterschiedliche Sicherheitslösungen, von der Firewall bis hin zu aufgefeilten Sicherheitskonzepten auf Gerätebasis eingesetzt. Die verfügbaren Sicherheitslösungen für OT-Sicherheit lassen sich in drei Generationen unterteilen, meint der Sicherheitsanbieter OTORIO.
Anzeige
Mir ist gerade ein entsprechender Text zugegangen, in dem Michelle Balderson, Global Security Executive & OT Security Evangelist für OTORIO, die Entwicklung der vergangenen Jahre und den Status Quo beschreibt. Ich fand die Information für Leute, die vielleicht nicht so tief in der Thematik drin sind, ganz interessant, und stelle daher den Text nachfolgend mal unkommentiert ein.
Zum Hintergrund: Michelle Balderson hat Anfang der 2000er Jahre bei Sonicwall mit der Entwicklung von Lösungen für sichere Betriebsprozesse begonnen und noch früher in den 90er Jahren bei Tech Data und D-Link. Der Markt für OT-Sicherheit besteht schon seit langem. Die Lösungen von Sonicwall waren auf den Einzelhandel ausgerichtet, als Unternehmen von seriellen auf IP-Netzwerke umstellten und dann von der SPI-Firewall-Engine (Stateful Packet Inspection) von Sonicwall inspiziert wurden. Als Branchenveteran mit jahrzehntelanger Erfahrung auf dem Gebiet der cyber-physischen Sicherheit hat Michelle Balderson eine einzigartige Perspektive auf die Entwicklung des OT-Sicherheitsmarkts. In den vergangenen Jahren hat sie oft gehört, dass IT-Sicherheitsexperten diesen Markt als "emerging" oder neu bezeichnen. Als jemand, der seit über 25 Jahren in diesem Markt tätig ist, kann sie jedoch versichern, dass er alles andere als neu ist.
Erste Generation von OT-Sicherheitslösungen
Einer der Pioniere auf diesem Markt ist Eric Byers, der Gründer von Tofino Networks. Balderson verfolgt seine Arbeit seit 2001 und betrachtet Tofinos "Firewalls" als die erste Generation von Sicherheitskontrollen aus der Netzwerkperspektive auf dem OT-Markt. Diese Firewalls gehören seit über 20 Jahren zum Standard in Fertigungsanlagen und haben eine entscheidende Rolle bei der Sicherung industrieller Prozesse gespielt. Sie wurden hauptsächlich innerhalb des Purdue-Modells Level 1 eingesetzt, das Zellen-/Bereichszonen voneinander abtrennt und Richtlinien- und Protokollkontrollen von einem Segment zum anderen ermöglicht.
Aus ihrer persönlichen Erfahrung bei Fortinet in den 2000er Jahren kann Balderson bestätigen, dass die Konkurrenz in diesem Markt den industriellen Markt damals kaum kannte. Dies ermöglichte es ihr, Fortinet in jenen Jahren als dominierenden Marktführer für OT-Sicherheit in Westkanada zu etablieren, indem sie Fortigate und IPS (IDS) von einer Zone zur anderen einsetzte. Diese Signaturen stammten ursprünglich von einem anderen Pionier in der Branche, Digital Bond und Dales Peterson. Die Branche kennt die S4-Konferenz, die Dale und sein Team jedes Jahr veranstalten, als wichtigstes Event, welches die ICS-Sicherheitsbranche in Miami South Beach zusammenbringt. Bei der Fortigate-Firewall handelt es sich ebenfalls um eine Lösung der ersten Generation, die IDS von Zone zu Zone einsetzt und es den Kunden ermöglicht, ihre Umgebung auf der Netzwerkebene auf natürliche Weise zu segmentieren. In den letzten Jahren hat Fortinet die Anwendungskontrolle hinzugefügt, um Kunden die Möglichkeit zu geben, Anwendungen, Protokolle und Sollwerte zu kontrollieren.
Zweite Generation von OT-Sicherheitslösungen
Die zweite Generation von Sicherheitslösungen führte das Konzept der Gerätesichtbarkeit und IDS auf Ebene 1 des Purdue-Modells ein. Anstatt an eine Firewall-Engine gebunden zu sein, hören diese Lösungen den Datenverkehr ab, indem sie den Switching-Datenverkehr (Layer 2 OSI) an die Inspection-Engine der Appliance weiterleiten. Diese Geräte und Anbieter bieten verschiedene technische Lösungen an, die es den Kunden ermöglichen, ihre Umgebungen und die Zusammenschaltung von Geräten und Kommunikationsprotokollen zu visualisieren. Sie ermöglichen eine „Sichtbarkeit mit einem gewissen Maß an Kontext". Die Lösungen umfassen IDS, sind aber im Allgemeinen nicht in der Lage, auf Risiken zu reagieren, da es sich um Nearline-Technologien und nicht um Inline-Technologien handelt.
Anzeige
Diese Lösungen ermöglichten den Kunden eine Implementierung in ihre Umgebungen mit geringer oder ohne Unterbrechung des Betriebs. Die Firewall-Lösungen erfordern hingegen ein viel tieferes Verständnis der Umgebungen, aber bieten dennoch Lösungen, die einen Inline-Schutz ermöglichen. Die eigentliche Arbeit bei diesen Technologien besteht darin, die Ergebnisse zu nutzen, um den Kontext der Prozesse zu verstehen und dann die Risiken anzugehen. Wenn dies nicht geschieht, kommen viele Kunden zu dem Schluss, dass sie in der Lage waren, von einer manuellen Inventarisierung von Assets auf eine Lösung für digitale Assets umzustellen, doch ohne Prozessänderungen kommt es zu einer Ernüchterung, wie Gartner es nennt, dem Tal der Enttäuschung. Es wurden eindeutig fortschrittliche Ansätze benötigt. Diese Lösungen der zweiten Generation sind im Allgemeinen das, was wir heute auf dem Markt finden.
Da sich der Einsatz von Technologie in industriellen Prozessen ständig weiterentwickelt, steigt auch der Bedarf an sicheren und zuverlässigen Lösungen. Die Integration von IoT-Geräten (Internet der Dinge) und die Nutzung von Datenanalysen haben zur Entwicklung fortschrittlicherer Lösungen geführt, die den industriellen Betrieb besser schützen können. Wenn in der Branche von Digitalisierung oder digitaler Transformation die Rede ist, geht es in Wirklichkeit um die Nutzung von Daten, IoT, Sensoren und älteren ICS-Daten, um bessere Geschäftsentscheidungen treffen zu können. Diese Daten können jedoch auch dazu verwendet werden, einen Verständniskontext zu schaffen, der Sicherheitsteams hilft, bessere Sicherheitsentscheidungen zu treffen.
OT-Sicherheit ist kein neuer oder „emerging" Markt
Den Markt für OT-Sicherheit gibt es schon seit Jahrzehnten und er hat eine lange Geschichte. Als jemand, der schon lange in diesem Markt tätig ist, kann Balderson bestätigen, dass er sich im Laufe der Jahre erheblich weiterentwickelt hat und dies auch weiterhin tut. Da die Technologie immer weiter voranschreitet, ist es für die IT-Sicherheitsbranche wichtig, den Reifegrad und die Entwicklung dieses Markts zu verstehen, um seine Bedeutung und den Bedarf an Lösungen zum Schutz industrieller Prozesse im heutigen digitalen Zeitalter voll zu erfassen.
Die OTORIO-Gründer Daniel Bren, CEO, und Yair Attar, CTO, haben unter anderem für die israelischen Streitkräfte gearbeitet. Brigadegeneral a.D. Daniel Bren ist ein führender Experte mit mehr als 25 Jahren bereichsübergreifender Erfahrung in den Bereichen Cybersicherheit und SecOps. Yair, ein ehemaliger hochrangiger Offizier des IDF-Cyberkommandos, leitete die militärische Abteilung für die Reaktion auf Zwischenfälle und die Jagd auf Bedrohungen zum Schutz nationaler missionskritischer Systeme. Attars Hintergrund in der Bedrohungsjagd trägt dazu bei, dass er und sein Team die Tools verstehen, die zum Schutz, zur Erkennung, zur Reaktion und zur Wiederherstellung nach Cybervorfällen und cyber-physischen Angriffen erforderlich sind.
Erfahrungen aus der israelischen Regierung und den Verteidigungsstreitkräften
Die israelische Regierung gilt als fortschrittlich bei der Abwehr von Cyberangriffen, was sie einer Kombination aus einer speziellen Cyberabwehrbehörde, hochqualifizierten Arbeitskräften und einem starken Forschungs- und Entwicklungssystem verdankt. Das Land verfügt über eine spezielle Cyberabwehrbehörde, das Israel National Cyber Directorate (INCD), die für den Schutz der Regierungsnetze und kritischen Infrastrukturen zuständig ist. Das INCD arbeitet bei der Entwicklung und Umsetzung von Cyberabwehrstrategien eng mit anderen Regierungsbehörden und Unternehmen des Privatsektors zusammen.
Israel ist dafür bekannt, dass es über eine große Zahl hochqualifizierter Mitarbeiter im Bereich der Cybersicherheit verfügt, da viele seiner Bürger in militärischen Nachrichtendiensteinheiten gedient haben, die auf Cyberabwehr spezialisiert sind. Dies hat dem Land geholfen, ein robustes Cyberabwehrsystem zu entwickeln, das sowohl staatliche als auch privatwirtschaftliche Organisationen umfasst.
Die israelische Regierung hat auch stark in die Forschung und Entwicklung im Bereich der Cybersicherheit investiert und gilt als Vorreiter bei der Entwicklung neuer Technologien und Techniken zur Abwehr von Cyberangriffen. Das Land unterhält außerdem enge Beziehungen zu den USA, die eine Zusammenarbeit und den Austausch von nachrichtendienstlichen Erkenntnissen und Fähigkeiten zur Cyberabwehr ermöglichen. Israel ist auch für seine Fähigkeit bekannt, offensive Cyberoperationen durchzuführen, sowohl zur Verteidigung als auch im Rahmen seiner nationalen Sicherheitsstrategie.
Anmerkung: Das Ökosystem als Grundlage von OTORIOs RAM² basiert auf den Erkenntnissen von Daniel Bren, Yair Attar und ihren Kollegen, die den Bedarf an der Zusammenführung von Informationen in einem Ökosystem (Plattform) definiert haben. In ähnlicher Weise stellte Balderson fest, dass Kollegen, die zu ihr zu Fortinet kamen und eine Vergangenheit bei der NSA hatten, sich wegen des Security Fabric-Konzepts meldeten, das auf demselben Bedarf an einem Ökosystem zur Bewältigung der Risiken von cyber-physischen Systemen beruht. Die NSA hat den gleichen internen Fokus auf Fabrics und Ökosysteme entwickelt, um die Interessen der US-Regierung zu schützen. Es geht darum, die Zeit bis zum Schutz zu verkürzen und sich auf echte Vorfälle zu konzentrieren, anstatt auf das Rauschen eines IDS oder IPS.
Dritte Generation der cyber-physischen Sicherheit
Die dritte Generation der cyber-physische Sicherheit ist die Entwicklung weg von eigenständigen punktuellen Produkten hin zu cyber-physischen Schutzplattformen. Gartner erklärt hierzu: „CPS-Schutzplattformen, sind zu einer beliebten Sicherheitslösung für operative Technologien (OT) avanciert, da sich zusätzliche Sicherheitsfunktionen ergänzen lassen, sobald eine Bestandsaufnahme der CPS-Familien abgeschlossen ist. Dies reicht von Threat Intelligence über Schwachstellenmanagement bis hin zu kontinuierlicher Überwachung und Alarmierung. Das CPS-Risikomanagement sollte sich auf die menschliche Sicherheit und die betriebliche Belastbarkeit konzentrieren – über das traditionelle IT-Risikomanagement hinaus …". Dies setzt Folgendes voraus:
- Mit der Erkennung von Assets – der IT-OT-IoT-Sichtbarkeit – beginnen.
- Risikoprofile für Assets und Systeme definieren und diese entsprechend verfolgen.
- Bestehende Sicherheitskontrollen identifizieren, Lücken bestimme und Prioritäten setzen.
- Funktionsübergreifend mit Kollegen zusammenarbeiten, um eine Vision und Strategie für das Risikomanagement zu entwickeln.
Mit der NIS 2 (siehe NIS-2-Richtlinie zu Cybersicherheit und Resilienz im Amtsblatt der EU veröffentlicht) und weiteren Regularien zum Thema, beispielweise auch dem European Cyber Resilience Act, wird auch der Gesetzgeber dafür sorgen, dass die cyber-physische Sicherheit in Zukunft ein herausforderndes Thema für zahlreiche Unternehmen bleiben wird.
Anzeige
Nachdem mir "OT" ohne Kontext nix sagt – das Akronym "OT" sollte vielleicht irgendwo ganz am Anfang des Texts einmalig als "operative Technologien" entraetselt werden, und nicht erst im aller-aller-allerletzten Abschnitt…