Industrial Security

Industrieumgebungen wirksam schützen

Seite: 2/2

Anbieter zum Thema

Detektive Sicherheitsmaßnahmen

Normalerweise sind zentrale SIEM-Systeme dafür zuständig, verschiedene sicherheitsrelevante Daten zu erfassen, diese zu analysieren, zu korrelieren und – basierend auf vordefinierten Regeln – Alarm auszulösen. Es gibt jedoch auch einige Punktlösungen und Netzwerkflussanalysen, die Cybergefahren erkennen können.

Auch IBM Bigfix für IT und Verve für OT sollen beispielsweise helfen, Bedrohungen schnell zu erkennen, indem sie anomales Prozessverhalten registrieren und unbekannte sowie Zero-Day-Bedrohungen identifizieren. Durch eine Kombination dieser Security-Lösungen wäre Wannacry womöglich einfacher zu identifizieren gewesen: Sie hätten die typischen Aktionen der Ransomware, die die Malware ergreifen muss, um die Datenwiederherstellung zu verhindern, wahrscheinlich schneller erkannt und Alarm geschlagen.

Korrektive Maßnahmen

Aktuelle Patch-Anwendungen können Angriffe, die auf bereits bekannte Sicherheitslücken abzielen, erkennen und potenziell unterbrechen. In einem üblichen Szenario wäre Wannacry vermutlich rechtzeitig identifiziert, wenn auch nicht verhindert worden. Ein modernes SIEM-System hätte zusätzlich gewarnt, sodass laufende Aktionen gestoppt und weitere Zugriffsversuche verhindert worden wären. So ist die Endpoint-Lösung von IBM und Verve beispielsweise fähig, Systemänderungen nahezu in Echtzeit zu erkennen und das System manuell in den ursprünglichen Zustand zurückzuversetzen. Korrektive Maßnahmen werden in OT-Netzwerken nur dann eingesetzt, wenn der Sicherheitsprozess garantiert funktioniert – andernfalls ist das Risiko unerwünschter Nebeneffekte (zum Beispiel Prozessunterbrechungen) zu groß.

Incident Response

Schnelle Reaktion auf Sicherheitsvorfälle: Incident Response zielt darauf ab, auf einen Vorfall möglichst schnell zu reagieren. Kann ein Schadcode nicht zeitnah erkannt werden, muss die Analyse gegebenenfalls nachträglich erfolgen. Das Potenzial, Angriffe nachträglich zu identifizieren, ihren Angriffsweg und -zeitpunkt nachzuverfolgen und potenziell gefährdete Systeme zu verorten sowie eine schnelle Rückkehr in den Regelbetrieb aufzunehmen, trägt hier wesentlich zur Reduzierung von Kosten eines Angriffs bei.

Insbesondere bei gezielten Angriffen kann die forensische Analyse die erste, letzte und einzige Möglichkeit sein, einen Sicherheitsverstoß überhaupt zu identifizieren.

Protokolle, Konfigurationen, Firmware und Daten sollten stets gesichert werden, damit Mitarbeiter im schlimmsten Fall eine Wiederherstellung durchführen können.
Protokolle, Konfigurationen, Firmware und Daten sollten stets gesichert werden, damit Mitarbeiter im schlimmsten Fall eine Wiederherstellung durchführen können.
(Bild: ©momius - stock.adobe.com)

Letzte mögliche Maßnahme

Wiederherstellung: Protokolle, Konfigurationen, Firmware und Daten sollten in jedem Fall gesichert werden. Das Back-up sollte archiviert und die Mitarbeiter sollten jederzeit in der Lage sein, Wiederherstellungsprozesse durchzuführen.

Fazit: Natürlich sind nicht alle Angriffe immer vermeidbar, insbesondere, wenn sie sehr intelligent und ausgeklügelt durchgeführt werden. Allerdings gibt es in jedem Fall Alarmzeichen, mit denen Cyberattacken schneller erkannt und auch gestoppt werden können. Dazu müssen jedoch rechtzeitig entsprechende Sicherheitsmaßnahmen getroffen werden, zu denen auch automatische OT-System-Updates und der Einsatz von SIEM-Systemen gehören.

Teil 1 des Beitrags gibt einen Überblick über Risiken und Folgen von Malwareattacken auf OT-Netzwerke:

* Marcel Kisch ist weltweiter Leiter IBM Security Manufacturing IoT (Industrie 4.0) in 71139 Ehningen, Tel. (08 00) 2 25 54 26, halloibm@de.ibm.com, www.ibm.com/de-de

(ID:45326921)