Grundlegendes zu den EU-Compliance-Mandaten: Betriebstechnologie und kritische Systeme

In meinem erster Beitrag In Bezug auf das Verständnis der EU-Compliance-Mandate habe ich die gesamte Compliance-Landschaft erörtert — und darauf, dass die verschiedenen Branchen und Bereiche jeweils ihre eigenen behördlichen Mandate oder Leitlinien zur Cybersicherheit haben. Heute werde ich mich auf Vorschriften und Sicherheitskontrollen konzentrieren, die speziell für einen wirklich interessanten Sektor gelten — kritische Systeme und Betriebstechnologie.

Lassen Sie uns der Übersichtlichkeit halber zunächst einige häufig verwendete Akronyme definieren:

• NICHT — Betriebstechnologie (im Gegensatz zu IT, Informationstechnologie)
• ES — Informationstechnologie, die typischen Computersysteme und Netzwerke, mit denen wir alle vertraut sind
• ICS — Industrielle Steuerungssysteme
• SCADA — Überwachung und Datenerfassung

Es ist wichtig, die wichtigsten Unterschiede zwischen OT- und IT-Sicherheit zu verstehen, bevor wir uns mit der Einhaltung von Vorschriften befassen, die in der Branche gelten, da die grundlegenden Anforderungen sehr unterschiedlich sind. Für diejenigen, die in diesem Bereich arbeiten oder dort Erfahrung haben, haben wir wahrscheinlich alle Variationen des folgenden Diagramms gesehen:

In einer OT-Umgebung kann der Ausfall eines Systems oder eine Inkonsistenz der Daten zu realen, physischen Auswirkungen auf die Welt führen. Beispielsweise kann der Ausfall eines Sicherheitssystems oder das Anhalten einer Produktionslinie zu physisch schädlicheren Ergebnissen führen als ähnliche Ausfälle in der IT. Das bedeutet natürlich, dass bei der Entwicklung der Systeme selbst (einschließlich der Software) auf Belastbarkeit und Redundanz geachtet wurde — und auf die entsprechenden Compliance-Mandate berücksichtigen Sie dies.

Schauen wir uns vor diesem Hintergrund einige der Compliance-Typen an, die möglicherweise zutreffen, und besprechen Sie dann, wie Mikrosegmentierung und Kontrolle spielt in ihnen eine Rolle.

Die wichtigsten Mandate, die wir in der EU sehen, sind:

• Die Netzwerk- und Informationssicherheitsrichtlinie (NIS-D). Dabei handelt es sich um eine EU-weite Reihe von Cyberkontrollen, die auf zentraler Ebene unter Mitwirkung aller Staaten eingerichtet wurden, jedoch unter Anleitung und Aufsicht vor Ort, von Land zu Land, erfolgen.
• LPM. Ähnlich, aber stärker lokal ausgerichtet, ist LPM ein französisches, OT-spezifisches Mandat oder „Gesetz zum Schutz kritischer Informationsinfrastrukturen“. Dies war teilweise die Grundlage für das NIS-D und beinhaltet ähnliche Konzepte eines Betreibers wesentlicher Dienste. Der Unterschied zu LPM besteht darin, dass es sich um ein Mandat handelt. Daher müssen Systeme, die in den Geltungsbereich des Mandats fallen, den LPM-Sicherheitsrichtlinien entsprechen. In Frankreich wird dieses Gesetz von der ANSSI (Agence nationale de la sécurité des systèmes d'information — Nationale Agentur für Cybersicherheit Frankreichs) geregelt, die auch das NIS-D in der Region beaufsichtigt.

Wie sich Mikrosegmentierung auf die OT-Systemkonformität auswirkt

Sowohl das NIS-D als auch das LPM erwähnen ausdrücklich einige Schlüsselbereiche.

Für LPM sind die 20 Kategorien:

• Richtlinien zur Informationssicherung
• Sicherheitsakkreditierung
• Netzwerkkartierung
• Wartung der Sicherheit
• Protokollierung
• Loggt Korrelation und Analyse
• Erkennung
• Umgang mit Sicherheitsvorfällen
• Umgang mit Sicherheitswarnungen
• Krisenmanagement
• Identifikation
• Authentifizierung
• Zugriffskontrolle und Rechteverwaltung
• Zugriffskontrolle für Administratoren
• Administrationssysteme
• Segregation in Systemen und Netzwerken
• Verkehrsüberwachung und Filterung
• Fernzugriff
• Systeme einrichten
• Indikatoren

Für den NIS-D veröffentlichen die lokalen Mitgliedstaaten spezifische Leitlinien. Im Vereinigten Königreich wird dies beispielsweise von der NCSC (Nationales Zentrum für Cybersicherheit) — mit ihrem Rahmen für Cyber-Assessments (CAFÉ). Weitere Informationen dazu finden Sie hier Webinar, und lese dieses Papier.

NIS-D hat eine ähnliche Anzahl spezifischer Bereiche, die sich auf Mikrosegmentierung und Sichtbarkeit des Netzwerkflusses beziehen:

• Risikomanagement-Prozess: Ihr organisatorischer Prozess stellt sicher, dass Sicherheitsrisiken für Netzwerke und Informationssysteme, die für grundlegende Dienste relevant sind, identifiziert, analysiert, priorisiert und verwaltet.
• Datensicherheit: Sie halten eine aktuelle Verständnis der Datenverbindungen, die zur Übertragung von Daten verwendet werden das ist wichtig für Ihren grundlegenden Service
• Daten während der Übertragung: Du hast alle Datenverbindungen identifiziert und angemessen geschützt die Daten enthalten, die für die Erbringung der grundlegenden Dienstleistung wichtig sind.
• Von vornem Design sicher: Ihre Netzwerke und Informationssysteme sind in entsprechende Sicherheitszonen aufgeteilt, z. B. sind die Betriebssysteme für den grundlegenden Dienst in einer äußerst vertrauenswürdigen, sichereren Zone getrennt.
• Design für Resilienz: Die Betriebssysteme Ihres grundlegenden Dienstes sind getrennt von anderen Geschäfts- und externen Systemen durch geeignete technische und physische Mittel, z. B. eine separate Netzwerk- und Systeminfrastruktur mit unabhängiger Benutzerverwaltung. Auf Internetdienste kann von Betriebssystemen aus nicht zugegriffen werden.
• Schwachstellenmanagement: Du unterhältst eine derzeitiges Verständnis der Exposition von Ihrem unverzichtbaren Service für öffentlich bekannte Sicherheitslücken.
• Sicherheitsüberwachung: Ihre Überwachungsabdeckung umfasst neben Ihrer Netzwerkgrenze intern und hostbasiertes Monitoring.

Wir können sehen, dass Illumio sowohl für LPM als auch für NIS-D helfen kann.

So erreichen Sie die Einhaltung gesetzlicher Vorschriften durch Mikrosegmentierung

Nachdem Sie die Mandate verstanden haben, wie können Sie die Mikrosegmentierung vor Ort einsetzen, um diese (und andere) Kontrollen zu erfüllen? Hier sind ein paar Beispiele:

1. Zuordnung von Anwendungsabhängigkeiten sowohl der OT- als auch der IT-Umgebung, wobei die IT/OT-Grenze entscheidend berücksichtigt wird. Dies kann durch Datenerfassung auf Workload-Ebene oder, was wahrscheinlicher ist, durch Erfassung des Datenflusses aus der Netzwerkinfrastruktur auf der OT-Seite erreicht werden, um eine umfassende, detailgetreue Landkarte zu erstellen.
2. Umweltsegmentierung der OT- und IT-Umgebungen unter Beibehaltung kritischer Überwachungs-, Protokollierungs- und Kontrollkanäle. Zero Trust als Netzwerksicherheitskonzept war noch nie so zutreffend wie in diesem Szenario.
3. Warnung vor neuen Flows/Verbindungen von der IT in die OT-Umgebung oder aus der OT-Umgebung selbst. Es ist wichtig, die Initiierung neuer Verbindungen aus zwei Gründen zu überwachen: Erstens ist OT in der Regel eine eher statische Umgebung als die gesprächigere und dynamischere IT-Seite. Zweitens: Ob vorsätzlich (gezielte bösartige Aktivitäten, um sich Zugriff auf die ICS/SCADA-Systeme zu verschaffen) oder versehentlich (eine Reihe von hochkarätigen OT-Angriffen waren eher einem Kollateralschaden durch Standard-Malware, die auf die kritische Systemseite zugreift), der unbefugte, erfolgreiche Zugriff auf die kritische Seite des Netzwerks ist im Grunde das, was Mikrosegmentierungslösungen verhindern.
4. Bewertung von Sicherheitslücken gegenüber der OT-Infrastruktur. Wie wir anhand des NIS-D sehen können, ist das Schwachstellenmanagement von entscheidender Bedeutung. Illumio scannt beispielsweise nicht nach Sicherheitslücken, ordnet sie aber den beobachteten Gruppierungen und Anwendungsabläufen zu, zeigt kritische Pfade auf und hilft dabei, Mikrosegmentierungsrichtlinien und Patches zu priorisieren.

Die sich ständig weiterentwickelnde Landschaft

Da sich die Agilität und Überwachung kritischer Systeme verändert, sind sie zunehmend mit weniger kritischen Netzwerken und Anwendungen und manchmal sogar mit dem Internet verbunden. Eine schnelle Suche nach dem OT-Protokoll auf shodan.io kann einem die Augen öffnen! Gleichzeitig wird die Konnektivität und Sicherheit dieser Systeme immer genauer unter die Lupe genommen, und das sollte auch der Fall sein. Diese Gegenüberstellung bedeutet, dass Sichtbarkeit unglaublich wichtig wird, noch bevor die Richtlinien für die Mikrosegmentierung klar definiert und eingehalten werden.

In meinem ersten Beitrag erwähnt, bieten die verschiedenen Mandate ein breites Spektrum an Durchsetzungsmöglichkeiten — von strengen, vorgeschriebenen Gesetzen (im Fall von LPM) bis hin zu derzeit eher einer Leitposition im Fall des NIS-D. Ein Teil des Unterschieds hängt hier von der Reife und der Dauer der Existenz ab.

In den umfassenderen, weniger genau definierten Fällen wird die Interpretation der Leitlinien wichtig, und ähnlich wie bei der DSGVO berücksichtigt das NIS-D sowohl die Absicht als auch die technische Umsetzung und die spezifische Konfiguration.

In beiden Fällen denke ich, dass es klar ist, dass die Sichtbarkeit und Segmentierung dieser zunehmend vernetzten kritischen Systeme die grundlegende Kontrolle ist, mit der wir sie sichern können.

Seien Sie gespannt auf meinen nächsten Beitrag, in dem ich mich mit den Mandaten der Finanzbranche in der EU befassen werde.

Und mehr über Illumio ASP finden Sie in unserem Seite „Lösungsarchitektur“.