Ich komme aus dem Bereich und ich interessiere mich für
genuscreen
Schutz für Datentransfers und Netze
genugate
Für höchste Netzwerksicherheit an kritischen Schnittstellen durch umfassende Datenanalyse
genuwall
Starker Schutz für Produktionsnetze
genucrypt
Stark verschlüsselte Datentransfers
genubox
Sicherer Wartungszugriff in sensible Netze
GS.Gate
Hochsichere Digitalisierung mit Cloud Edge Gateway
cyber-diode
Hochsicheres Industrial Monitoring von Maschinen, Anlagen und KRITIS
vs-diode
Performante Einbahn-Datentransfers in GEHEIM-eingestufte Netze
genucenter
IT-Sicherheit im Griff mit genucenter
ECOS SecureBootStick SX
VS-NfD-konformes Arbeiten im Home Office
  1. Home
  2. Knowledge Base
  3. OT-Netzwerke mit Anomalieerkennung absichern in fünf Schritten

Insights

Security in Brownfield-Anlagen

OT-Netzwerke mit Anomalieerkennung absichern in fünf Schritten

  • Arnold Krille

Es ist ein Dilemma: Mit Industrie 4.0 werden Maschinen und Anlagen auf dem Shopfloor oder Systeme der Gebäudeleittechnik nicht nur smart sondern auch anfällig für Angriffe von außen. Im Ergebnis finden Schadprogramme trotz Firewall und Virenscanner regelmäßig einen Weg in industrielle Steuersysteme und Betriebstechnik. Das Netzwerk-Monitoring ist eine bewährte Schutzmaßnahme der IT Security, die sich auch für industrielle Systeme empfiehlt. Was solch eine AI-gestützte Anomalieerkennung leisten kann und wie sich gewachsene OT-Netze in fünf Schritten damit schützen lassen, erklärt dieser Beitrag.

Zero-Trust-Architekturen für die Industrie
genua smart security

Netzmonitoring und Anomalieerkennung sind bewährte Schutzmaßnahme der IT Security, die mit der Industrie 4.0 auch in industrielle Steuerungssysteme (ICS) und Betriebstechnik (Operational Technology, OT) Einzug halten. Auch die Cyber-Sicherheits-Empfehlung des BSI (BSI-CS 134) sowie das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) empfehlen die Anomalieerkennung als eine geeignete Methode zum Schutz von Netzwerken. Dafür haben sich Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) etabliert, die bereits seit vielen Jahren in IT- und Office-Netzen eingesetzt werden. IDS-Systeme analysieren den Datenstrom im IT- Netz und alarmieren den Administrator bei einem verdächtigen Verhalten.

Der genua cognetix Threat Defender analysiert den Datenverkehr zwischen Netzwerk-Assets
Wer spricht im OT-Netzwerk mit wem? Der cognitix Threat Defender zeigt aufsummiert, welche Assets in der letzten Stunde oder den vergangenen 30 Tagen wie viel Datenverkehr initiiert (Source Assets) bzw. beantwortet (Destination Assets) haben sowie den Datenverkehr zwischen den Assets.

Ein wesentlicher Nachteil von IDS- und IPS-Systemen ist, dass sie auf Auffälligkeiten im Datenstrom begrenzt sind. Schickt beispielsweise eine beliebige Netzkomponente einen Steuerungsbefehl an eine Zentrifuge, ist im Datenstrom selbst nichts auffälliges und wird deshalb nicht detektiert. Das IDS-System überprüft nicht, ob diese Netzkomponente überhaupt berechtigt ist, ein solches Signal zu senden. Es überprüft auch nicht, ob dieses Verhalten für diese Netzkomponente ungewöhnlich ist. So können Angreifer Geräte und Anlagenkomponenten im Netz übernehmen, ohne dass dies sofort auffällt.

Moderne AI-gestützte Threat Defender schließen die Sicherheitslücke von IDS und IPS. Sie überwachen nicht nur den gesamten Netzwerkverkehr sondern analysieren auch das Verhalten der Netzkomponenten (Assets). Der Threat Defender richtet hierfür ein überwachtes sicheres Netzwerk ein, in dem er Verhaltensmuster der Netzwerkgeräte erkennt und definierten Regeln zuordnet. Dabei werden bisher getrennte Funktionen wie Netzwerkanalyse, Intrusion Detection, Asset Tracking und eine dynamische Policy Engine in einem System zusammengeführt.

AI-gestützte Anomalieerkennung in 5 Schritten umsetzen

Um solch eine Anomalieerkennung schnell in gewachsenen OT-Netzen einzurichten, haben sich in der Praxis fünf Phasen bewährt:

  1. Assets katalogisieren
  2. Assets identifizieren
  3. Kommunikationspfade abbilden
  4. Stabilisierung
  5. Aktives Blocking

Phase 1: Assets katalogisieren

Cognitix: Verlauf und Summen der Nutzung der verschiedenen Layer-7 Protokolle für die letzte Stunde.
Der cognitix Threat Defender zeigt Verlauf und Summen der Nutzung der verschiedenen Layer-7 Protokolle für die letzte Stunde.

In der ersten Phase werden die Kommunikationspartner innerhalb des OT-Netzwerks ermittelt. Der Netzwerkverkehr wird zum Threat Defender gespiegelt und alle aktiven Geräte im beobachteten Netzwerkbereich in einer Asset-Datenbank erfasst. Dabei werden für die Geräte Metadaten wie zum Beispiel das verwendete Betriebssystem identifiziert. Die Erfassung erfolgt rein passiv anhand des beobachteten Netzwerkverkehrs. In dieser Phase werden bereits nach wenigen Stunden Fehlkonfigurationen, Netzwerkprobleme, veraltete Gerätesoftware oder nicht erlaubte Geräte erkannt.

So fällt zum Beispiel eine fehlerhafte Konfiguration einer Active-Directory-Synchronisation auf. Diese kann einen konstanten Hintergrund-Traffic erzeugen, der zu keiner merklichen Einschränkung führt. Dennoch kann dieser Anzeichen eines Fehlers sein, weil die richtige Konfiguration eines AD nur bei Änderungen der Daten eine Synchronisation erfordert und damit wesentlich weniger Netzwerkverkehr erzeugt.

Phase 2 – Assets identifizieren

Im nächsten Schritt steht der Aufbau des Netzwerks im Fokus, um dort bisher unbekannte Geräte aufzuspüren und ggf. zu deaktivieren. Dazu wird die Asset-Datenbank manuell konsolidiert. Der Administrator des OT-Netzes ordnet die automatisch erfassten Assets einzelnen Geräten bzw. Geräteklassen zu. Dabei vergibt er aussagekräftige Namen und organisiert die Assets mittels Tags in domänenspezifischen Gruppen. Dieser manuelle Aufwand ermöglicht es, die Kommunikationsstrukturen zu vereinfachen und erleichtert die weitere Arbeit zur Analyse und Überwachung des Netzwerks.

Phase 3 – Kommunikationspfade abbilden

Anschließend wird die Kommunikation der Geräte untereinander analysiert, um die zulässige Kommunikation in der Netzwerk-Policy zu modellieren. Unerwünschte Kommunikationspfade, nicht benötigte Dienste oder unerwünschte Protokolle wie Multicast werden deaktiviert. Für diese zulässige Kommunikation werden nach und nach in einem iterativen Prozess Regeln angelegt, bis eine feingranulare Netzwerk-Policy entsteht.

Wer darf mit wem sprechen? Ausschnitt eines cognitix Regelwerks
Wer darf mit wem sprechen? Ausschnitt eines Regelwerks. Zusammengefasst in Policies sorgen aufeinander aufbauende Rules für Ordnung im Netzwerk.

Phase 4 – Stabilisierung

Die erstellte Policy wird validiert und das Netzwerk passiv überwacht. Dazu läuft das erstellte Modell über mehrere Wochen passiv im OT-Netz. Der Administrator wird per E-Mail, Slack oder Syslog benachrichtigt, wenn die Logging-Regel greift und somit neue, noch nicht abgebildete Kommunikation erfasst wird. Gegebenenfalls muss die Policy dann nachjustiert werden. Wahrscheinlicher ist es jedoch, dass der neuartige Netzwerkverkehr eine Anomalie darstellt, die auf ein Problem oder gar eine Störung bzw. einen Eindringling hinweist.

Aktives Blocking als Ausbaustufe

Diese vier Phasen erfolgen lediglich anhand eines gespiegelten Netzwerkverkehrs, so dass für das OT-Netz keinerlei Risiko durch Latenzen oder Datenverlust besteht. Erst in einer optionalen fünften Phase wird aktiv in den Netzwerkverkehr eingegriffen, um unerwünschte Kommunikation zu unterbinden. Für ein solches aktives Blocking sollten die in den Phasen drei und vier angelegten Regeln für die explizit erlaubte Kommunikation um Regeln ergänzt werden, die explizit verbotene und bei Bedarf auch jede unbekannte Kommunikation blockieren. Hierbei steigt mit der Sicherheit auch das Risiko für Unterbrechungen im OT-Netz, da nun keine unerwarteten Ereignisse mehr zulässig sind und vom Threat Defender blockiert werden.

 

 

Jetzt mehr erfahren

T + 49 89 991950-902

E vertrieb(at)genua.de

Kontaktieren Sie uns

Mehr zu AI & IT Security

Special Force für den AI-Einsatz

Mit Artificial Intelligence und Data Analytics das IoT-Netz schützen

Netzwerkschutz mit Artificial Intelligence, Data Analytics und Anomalieerkennung

Zurück zur Übersicht

Autor

  • Arnold Krille

Topics

Artikel teilen

Produkte

IT-Sicherheitsplattform cognitix Threat Defender

Performante Angriffserkennung für zuverlässigen Schutz von IT- und OT-Netzen
cognitix Threat Defender Software