.png)
Warum die Herstellung von IIoT-Ressourcen vor Ransomware schützen muss
Ransomware ist keine neue Sicherheitsbedrohung. Es erschien erstmals 1989 und wurde via Disketten verteilt.
Aber es hat ein dramatisches zweites Leben als ideales modernes kriminelles Geschäftsmodell angenommen: The entführung kritischer Ressourcen in industriellen Umgebungen gegen Lösegeld.
Tastaturen sind effektiver als Waffen, wenn es darum geht, industrielle Infrastrukturen als Geiseln zu nutzen. Das Problem wird nur noch verschärft, bevor die Sicherung digitaler Vermögenswerte als Cybersicherheitspriorität in den Bereichen Fertigung und kritische Infrastrukturen ausdrücklich behandelt wird.
Eine große Anzahl der jüngsten Ransomware-Angriffe richtete sich gegen das verarbeitende Gewerbe und die kritische Infrastruktur, wobei sich diese Sektoren traditionell auf die Schaffung physischer Vermögenswerte konzentrierten.
Der Großteil der Produktionsindustrie migriert, aber schnell viele ihrer Computerplattformen und Fernsteuerungslösungen in die Cloud, wo ihre industriellen Steuerungssysteme und Fabriksensoren von der Cloud abgeschaltet werden.
Ransomware-Angriffe kosten die Produktion jedes Jahr Millionen
Das Verarbeitungsgeschäft ist möglicherweise zu traditionell, da es gegen digitale Kriminalität weitgehend immun ist. Aber sie irren sich.
21 Prozent all Ransomware-Attacken richten sich gegen das verarbeitende Gewerbe, und der Sektor zahlt von allen Branchen durchschnittlich den höchsten Lösegeldbetrag 2.036 Millionen $ im Jahr 2021.
Ein motivierter Hacker muss nur gegen einen Hersteller verstoßen Cloud-Sicherheit Werkzeuge und Fernzugriff auf wichtige Steuerungen oder Sensoren — IIoT-Geräte —, die in einer Industrie- oder Fabrikumgebung verwendet werden, und deaktivieren. Dies birgt echte physische Risiken durch digitale Angriffe und zwingt den Anbieter vor der Wahl, ob es Geld verliert oder Nummern mit den folgenden deaktivierten Betriebsprozessen es tun werden.
Die meisten Angebote entscheiden, dass die Barzahlung die billigere Variante ist, was die Produktionsfirma Millionen kostete.
Ransomware ist für moderne Cyberkriminelle ein viel zu sicheres Ziel, da sie eine schnelle und sichere Garantie für finanziellen Gewinn sind. Ransomware als Service Es gibt sogar im Dark Web, komplett mit Supportverträgen und Helpdesks, die ankommenden Cyberkriminellen bei der Auswahl ihrer nächsten Angebote helfen.
Und der Einsatz von Ransomware ist oft der letzte Schritt beim Eindringen von Cyberkriminellen in einer industriellen Umgebung. Sie suchen zunächst nach kritischen Ressourcen, die sie deaktivieren können, geistiges Eigentum offenlegen und erfahren, welcher Versicherungsschutz das beabsichtigte Angebot für Cybersicherheit hat, um einen Preis für das Lösegeld festzulegen. als diese Informationen abgerufen wurden, ist der letzte Schritt innerhalb, die Infrastruktur als Geisel und erhalten gegen Bezahlung den Großteil des Angebots freiwillig bezahlt. Das ist wahr, der Traum von einer Cyberkriminalität.
Ransomware-Angriffe auf die Fertigung bergen reale Risiken
Das Verarbeitungsgeschäft hat lange Zeit auch außerhalb des Sektors der Cyberkriminalität eine große Rolle gespielt. Wenn es sich um eine industrielle Kette von Fabriken handelt, beispielsweise in den Bereichen Energie, Stahl, Lebensmittelproduktion oder Bergbau, wie groß ist dann das Risiko für Cyberkriminalität?
In Wirklichkeit ist das Risiko von Cyberkriminalität hoch.
Im Jahr 2015 wurde berichtet, dass ein Stahlwerk in Deutschland stattgefunden hat, beansprucht um das erste Beispiel für physische Schäden infolge eines Cyberangriffs zu sein. Cyberkriminellen gelang es, von der Ferne aus auf einige wichtige Steuerungssysteme in der Fabrik zuzugreifen, die mit ihrem IT-Netzwerk verbunden waren, und diese wurden deaktiviert. Dies hatte zur Folge, dass wichtige Sensoren die Hitzeentwicklung in der Fabrik nicht überwachen konnten, was auch dazu führte, dass ein Hochofen erheblich beschädigt wurde, da er nicht automatisch durch diese Sensoren abgeschaltet wurde.
In der physischen Welt gab es plötzlich nur noch digitale Risiken, und seitdem ist diese Tatsache von Cyberkriminellen nicht unbekannt.
Zahlen zum Verlieren von Geld: Was sind die Risiken?
Die Entscheidung, während eines Risikos ein Lösegeld zu zahlen, trägt das Risiko des Opfers selbst.
Höhere Cyberversicherungsprämien
Cyberversicherungsträger sehen sich nun mit großen Umsatzeinbußen konfrontiert, weil sie sich für Ransomware-Angriffe auszahlen, wovor sie vor der Wiederentdeckung von Ransomware weitgehend betroffen waren.
Netzbetreiber zwingen nun ihre Kunden, irgendeine Form der Segmentierung in ihr Netzwerk zu implementieren, um Malware zu verhindern, sie bewegen sich im Netzwerk. Wenn die Kunden damit einverstanden sind, können ihre monatlichen Prämien sinken — doch die Prämien für Cyberversicherungen sind es immer noch deutlich gestiegen in den letzten Jahren.
Es liegt jetzt im besten finanziellen Interesse aller möglichen Optionen, proaktive Cybersicherheit zu ergreifen, als zu gehen, nur um die Versicherung zu verlassen, um abzudecken.
Unerwünschte rechtliche Folgen
Das zweite Risiko ist die Tatsache, dass viele Ransomware-Banden ihren Sitz in Ländern haben, die auf der schwarzen Liste der US-Regierung stehen, den sogenannten OAC-Sanktionsliste (Amt für die Kontrolle ausländischer Vermögenswerte).
Dies ist eine Liste ausländischer Diktatorregime, Drogenhändler, Terrororganisationen und Waffenhändler, gegen die USA, im Interesse der nationalen Sicherheit, Wirtschafts- und Handelssanktionen. Es ist eine Pause für jeden in den Vereinigten Staaten, Geschäfte mit ihnen zu machen, die auf der Liste stehen.
Wenn eine Ransomware-Band aus einem sandizierten Land, einer Produktionsstätte mit Sitz in den Vereinigten Staaten, wie Geisel und die Organisation angegeben haben, das Kreditgeld, Risiko der Organisation, für Geschäfte mit der Band strafrechtlich in die Verantwortung genommen werden.
Die Wahl einer scheinbar finanziell günstigeren Variante der Losegeldzahlung kann das Angebot leicht unbeabsichtigten strafrechtlichen und nachteiligen Rechtsfolgen herausholen.
Schutz von Industrieanlagen vor Cyberkriminalität: Laterale Bewegung von Ost nach West stoppen
Ransomware kommt von irgendwoher, und das ist in der Regel von der IT-Seite der gesamten Cyberarchitektur. Alle Arten von Ransomware haben ein Detail gemeinsam: Sie bewegen sich gerne alle.
Wenn ein Workload erfasst wurde, suchen Sie Ransomware nach Open Ports auf diesem Workload, um ihn als Vektor für die laterale Migration zum nächsten Workload und von dort auf die industrielle Seite der Struktur zum geplanten zum Ziel zu verwenden.
Wenn die meisten Sicherheitstools an der Nord-Süd-Grenze eingesetzt werden, um die Malware in einem Rechenzentrum oder einer Cloud zu verhindern, verwenden Sie Ransomware, da die Kontrolle der Seitenausbreitung von Ost nach West ein Problem ist, das immer nicht verloren geht.
Die meisten der besten Sicherheitstools, die an der Nord-Süd-Grenze eingesetzt werden, bieten wenig Schutz vor unvermeidlichen Sicherheitslücken und die damit verbundenen seitlichen Ausbreitungen von Ost nach West innerhalb des vertrauenswürdigen Netzwerks.
Zero-Trust-Segmentierung stoppt die Ausbreitung von Ransomware
Zero Trust erfordert die Aktivierung der Mikrosegmentierung, auch genannt Zero-Trust-Segmentierung, für jede Arbeitslast in einer Computerumgebung, in beliebiger Größenreihenfolge, und Implementierung ein Modell für den Zugriff mit den Mindestrechten zwischen allen.
Diese Mikrosegmentierungslösung muss für jeden Workload eine eindeutige Vertrauensgrenze haben und darf nur auf einer Appliance im basierten Netzwerk oder in der Cloud-Fabric verwendet werden. Segmentierung der Arbeitslast sollte agnostisch wie möglich gegenüber allen anderen Formen der Segmentierung sein.
Das Zugriffsmodell mit den geringsten Rechten zwischen allen Workloads bedeutet, dass alle Ports zwischen allen Workloads standardmäßig verweigert werden. Es besteht selten ein legitimes Bedürfnis, dass Workloads über SSH oder RDP lateral übertragen werden. Diese Ports sind auf allen modernen Betriebssystemen aktiviert, da sie von Administratoren für Remote-Verwaltungs-Workloads verwendet werden. Der Zugriff ist aber immer schnell immer auf bestimmte zentrale Admin-Hosts beschränkt. Diese Ports müssen standardmäßig überall abgeschaltet sein, und dann können Ausnahmen definiert werden, um den Zugriff nur auf die autorisierten administrativen Hosts zu ermöglichen.
Die Segmentierung aller Workloads von allen anderen Workloads und das seitliche Herunterfahren aller Ports zwischen ihnen bedeutet, dass Ransomware ist nicht möglich, sie durchqueren das IT-Netzwerk und von dort aus auf die industrielle Betriebsseite des Netzwerks.
Ransomware kann die Perimeter-Security-Lösungen durchbrechen — wie stark sie auch sein mögen — und wenn es einen Angriff gibt, kann die Ransomware den ersten Workload finden, sie können ihn finden. Die Zero-Trust-Segmentierung kann den ersten Capated Workload isolieren, wenn alle Ports zwischen den Workloads deaktiviert sind und kein Vektor verfügbar ist, sodass Ransomware in das Netzwerk eindringen kann.
Zero-Trust-Segmentierung verhindert, dass sich Sicherheitslücken in der gesamten IT-Infrastruktur ausbreiten. Und schützt im Gegensatz zu den Industriesystemen, die sich tiefer in der Kernarchitektur befinden.
Die Zero-Trust-Segmentierung gibt Einblick in industrielle Infrastruktursysteme
Ein zweiter Aspekt der Zero-Trust-Segmentierung ist der Einblick in den Verkehr zwischen allen Systemen, die sowohl industriell als auch auf der IT-Seite des Netzwerks eingesetzt werden. Verkehrsabhängigkeiten und das Verhalten zwischen Sensoren und Steuerungssystemen müssen ebenso deutlich sichtbar sein wie der Verkehr zwischen Systemen im IT-Netzwerk, sowohl am Standort als auch in der Cloud.
Illumio bietet volle Sichtbarkeit für beide:
Verwaltete Workloads — also, auf denen ein virtueller Erzwingungsknoten (VEN) bereitgestellt werden kann, um Anwendungstelemetrie direkt zu erfassen
Nicht verwaltete Workloads — Geräte, auf denen kein VEN bereitgestellt wird, z. B. IoT-Geräte als Steuerungen, Sensoren und IoT-Kameras, die in den Kernnetzwerken der Branche verwendet werden
Illumio ermöglicht die Sichtbarkeit von IoT-Geräten, wenn es Telemetriedaten von Netzwerk-Switches und Load Balancern über Protokolle wie Netflow, sFlow, IPFIX und Flowlink sammelt. Der gesamte Datenverkehr zwischen all diesen Systemen läuft zusammen mit allen verwalteten Workloads in der PCE (Policy Control Engine) von Illumio.
Die Richtlinie wird auf dem PCE für verwaltete und nicht verwaltete Workloads auf die gleiche Weise definiert, wobei Labels zur Identifizierung von Workloads verwendet werden und nicht auf deren Netzwerkadresse basieren. Richtlinien für nicht verwaltete Workloads werden auf Switches übertragen und in Access Control Lists (ACLs), die der Switch verwenden kann, in Richtlinien zwischen Switch-Ports und in iRules übersetzt. Ein Load-Balancer kann diese Informationen dann verwenden, um seine Richtlinien zu verwenden.
Illumio beseitigt durchgängig blinde Flecken zwischen digitalen Geräten. Auf diese Weise können ein vollständiges Zero-Trust-Bild und ein grundlegendes Richtlinienmodell für das gesamte industrielle Steuerungssystem und die gesamte IT-Infrastruktur implementiert werden.
Holen Sie sich Ransomware-Schutz für IIoT-Systeme mit Zero-Trust-Segmentierung
Illumio Zero Trust Segmentation schützt alle industriellen Umgebungen, kontrolliert die gesamte laterale Ausbreitung zwischen Workloads und entfernt die Angriffsvektoren, die für die Ausbreitung von Ransomware erforderlich sind.
Keine industrielle Umgebung ist immun gegen Ransomware, egal ob groß oder klein. OT-Systeme und IIOT-Systeme, die innerhalb der industriellen Architektur eingesetzt werden, müssen die nächsten opportunistischen Ransomware-Bands nicht ausgesetzt werden, die nach ihrem nächsten Ziel suchen.
Illumio kann die gesamte kritische industrielle IIoT-Umgebung vor den Auswirkungen eines Ransomware-Angriffs schützen und verhindern, dass Ihr Unternehmen ab morgen als neue Reihe von Ransomware in der Zeitung steht.
Würden Sie mehr über Ransomware mit Zero-Trust-Segmentierung erfahren? Besuchen Sie unsere Unsicherheit durch Ransomware Seite.
