Blog
/
Zero-Trust-Segmentierung

So schützt Illumio OT-Netzwerke vor Ransomware und anderen Sicherheitsangriffen

Wassim Daghash
,
Leitender Systemingenieur
November 19, 2021
23 min. Lesedauer

Netzwerke der Betriebstechnologie (OT) verbinden Spezialgeräte — darunter Sensoren, Motoren, verteilte Steuerungssysteme (DCS), speicherprogrammierbare Steuerungen (SPS), Remote Terminal Units (RTUs), SCADA-Systeme (Supervisory Control and Data Acquisition), Historian-Anwendungen und Datenbanken, technische Kioske und andere Arten von Servern —, um den Betrieb in Fabriken, Kraftwerken, Versorgungsnetzen, Bergbauanlagen, medizinischen Einrichtungen, Lebensmittelherstellern und anderen Standorten voranzutreiben, die Folgendes benötigen zuverlässige Automatisierung in Echtzeit.

Diese Geräte bieten unternehmenskritische Dienste. Das macht sie zu wertvollen Zielen für Cyberkriminelle und andere Angreifer.

Bedrohungen können natürlich von überall her kommen: Phishing-Angriffe, Brute-Force-Angriffe, böswillige Insider — die Liste geht weiter. Sie können auch von OT-Geräten stammen, die von Malware angegriffen wurden, die speziell für den Angriff auf bestimmte Modelle von OT-Geräten entwickelt wurde.

Manchmal werden OT-Geräte in Netzwerken ausgeführt, die von IT-Netzwerken „air gapped“ sind. Das heißt, sie arbeiten ohne physische Verbindung zu IT-Netzwerken, um zu verhindern, dass Sicherheitsangriffe auf IT-Netzwerke den OT-Betrieb erreichen. Aber selbst innerhalb einer einzelnen Einrichtung kann es vorkommen, dass einige OT-Geräte und Netzwerke einen Air-Gap aufweisen und andere nicht. Und selbst Werksleiter haben nicht unbedingt den Überblick, um zu erkennen, welche Netzwerke Airgaps aufweisen und welche nicht.

Immer mehr Unternehmen finden Gründe, Geräte überhaupt nicht mit Air-Gap auszustatten. Ein Lebensmittelhersteller möchte beispielsweise möglicherweise Webanwendungen und die Wahlmöglichkeiten der Verbraucher direkt bei der Herstellung bestimmter Zutaten in einer Fabrik beeinflussen lassen. Aufgrund solcher geschäftlicher Anwendungsfälle wird Air-Gapping zur Abwehr von Cyberangriffen von Tag zu Tag weniger wirksam.

Wenn es keine physische Luftlücke gibt, sind OT-Umgebungen mit Netzwerken verbunden, in denen IT-Geräte laufen. Diese Konnektivität birgt Risiken. Plötzlich können Angriffe aus dem Internet OT-Geräte erreichen.

Eine der Methoden zur Kategorisierung von Workloads in einer OT-Umgebung basiert auf dem Purdue Reference Model, einem vertrauenswürdigen Modell zur Trennung und Verteilung von Workloads über OT- und IT-Netzwerke. Die der US-Regierung Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) empfiehlt dass Unternehmen mit OT-Umgebungen ihre Netzwerke auf der Grundlage der logischen Kategorisierung in den verschiedenen Ebenen des Purdue-Modells segmentieren.

Diese Art der Segmentierung ist jedoch keine leichte Aufgabe. OT-Netzwerke sind flache Netzwerke: Alle Geräte laufen auf derselben Steuerungsebene und demselben Adressraum. Um sie zu segmentieren, müssten Dienste und Geräte in einer umsatzgenerierenden Umgebung heruntergefahren werden, um das Netzwerk für die Implementierung der Segmentierung neu zu konfigurieren. Dies ist eine kostspielige und zeitaufwändige Arbeit. In vielen Unternehmen wird die Idee, geschäftskritische OT-Geräte abzuschalten, sofort abgelehnt oder endlos verschoben, während IT-Teams auf eine Gelegenheit warten, OT-Dienste abzuschalten, ohne die umsatzgenerierenden Aktivitäten zu unterbrechen.

CISA Purdue Model Recommendation Security Network Architecture
„Empfohlene sichere Netzwerkarchitektur.“ Quelle: CISA.

Um eine gewisse Trennung zwischen IT- und OT-Geräten zu gewährleisten, konfigurieren einige Einrichtungen dedizierte VLANs (virtuelle LANs) für ihre OT-Geräte. Dieser Ansatz weist jedoch auch Mängel auf. Erstens ist es schwierig, VLANs in großem Maßstab zu verwalten. Zweitens verhindert die Installation von Geräten in VLANs nicht, dass Angreifer im selben VLAN von Gerät zu Gerät wechseln und dabei die Vorteile von Ports und Protokollen nutzen, die durch die VLAN-Konfiguration unverändert bleiben. Fazit: Wenn ein Angreifer Zugriff auf ein Gerät erhält, werden ihn die VLAN-Kontrollen nicht unbedingt daran hindern, andere Ziele zu erreichen.

Wenn Geschäfts- und IT-Führungskräfte verhindern wollen, dass sich Angreifer frei zwischen OT- und IT-Geräten bewegen, benötigen sie drei wichtige Dinge:

  • Sichtbarkeit: Führungskräfte benötigen Einblick in die Aktivitäten und Konfigurationsdetails von IT- und OT-Geräten, damit sie herausfinden können, welche Kommunikationspfade offen sind, und so mögliche Wege für seitliche Bewegung von Angreifern.
  • Definition der Richtlinie: Führungskräfte benötigen eine Richtlinien-Engine für die Mikrosegmentierung, um Konfigurationsrichtlinien für die Segmentierung von Netzwerken und die Trennung aller Geräte, die getrennt werden sollten, unabhängig davon, ob IT oder OT, zu definieren. Diese Segmentierungsrichtlinien gelten auf einer höheren Ebene als Firewallregeln. Sie ermöglichen es Führungskräften, bewährte Verfahren zu definieren, ohne sich in den spezifischen Firewall-Regeln des jeweiligen Produkts zu verzetteln, das eine Richtlinie durchsetzt.
  • Durchsetzung von Richtlinien: Führungskräfte müssen diese Richtlinien auch durchsetzen, ohne geschäftskritische IT- und OT-Netzwerke herunterfahren zu müssen, um IT- und OT-Geräte neu zu konfigurieren und dann neu zu starten. Darüber hinaus benötigen sie eine Möglichkeit, diese Richtlinien durchzusetzen, ohne OT-Geräte austauschen zu müssen, die ansonsten erwartungsgemäß funktionieren. Sie sollten auch keine speziellen Softwareanwendungen installieren müssen, die die Leistung von IT- oder OT-Geräten beeinträchtigen könnten.

Um sowohl OT- als auch IT-Geräte vor Malware und anderen Arten von Cyberangriffen zu schützen, benötigen Geschäfts- und IT-Führungskräfte einen besseren Einblick in Netzwerke und eine schnelle, einfache Methode zur Mikrosegmentierung von Netzwerken, um zu verhindern, dass sich Angriffe auf alle Arten von Geräten im Netzwerk ausbreiten.

Dieser Bedarf an Transparenz und Kontrolle wird immer dringlicher, da immer mehr Unternehmen gute geschäftliche Gründe dafür finden, die Welt von IT und OT zusammenzuführen, wodurch alte Geräte wie Air-Gapping überflüssig werden.

Wenn IT-Netzwerke und OT-Netzwerke zusammenlaufen

Warum sollten Sie diese verschiedenen Arten von Netzwerken und Geräten verbinden? In schnelllebigen Märkten, die agile Reaktionen auf Kunden und Partner erfordern, ist es sinnvoll, Geschäftssysteme mit den OT-Netzwerken zu verbinden, die den täglichen Betrieb unterstützen.

Wenn Vertriebs-, Marketing- und Fulfillment-Prozesse von IT-Netzwerken verwaltet werden, können diese Prozesse von aktuellen Informationen aus Produktions- und Logistiksystemen profitieren, die von OT-Netzwerken gesteuert werden. Und wenn Geschäftsprozesse die Nachfrage ankurbeln, können Bestellungen zur Fertigstellung direkt an OT-Netzwerke gesendet werden, wie in dem oben genannten Beispiel für die Lebensmittelherstellung.

Darüber hinaus bietet die Nutzung von Cloud-Anwendungen und Cloud-Speichern, auf die nur über IT-Netzwerke zugegriffen wird, Vorteile in Bezug auf Effizienz und Kosteneinsparungen. Darüber hinaus möchten einige Unternehmen sicherstellen, dass Mitarbeiter im Homeoffice IT-Netzwerke und Cloud-Anwendungen zur Überwachung, Steuerung und Sicherung von OT-Geräten verwenden können, da sie immer häufiger von zu Hause aus arbeiten.

Wie die NSA (National Security Agency) und die CISA in einem Sicherheitswarnung veröffentlicht im Jahr 2020: „Über das Internet zugängliche OT-Assets gewinnen in den 16 CI-Sektoren der USA zunehmend an Bedeutung, da Unternehmen den Betrieb und die Überwachung aus der Ferne ausbauen, eine dezentrale Belegschaft einrichten und das Outsourcing wichtiger Qualifikationsbereiche wie Instrumentierung und Steuerung, OT-Asset-Management/-Wartung und in einigen Fällen Prozessbetrieb und Wartung ausweiten.“

Neue Risiken durch IT/OT-Konvergenz

Die Verbindung dieser Netzwerke ist für Unternehmen hilfreich, aber riskant für die Sicherheit. Die NSA und die CISA haben Cyberkriminelle unter anderem folgende Taktiken beobachtet:

  • Spear-Phishing, um Zugang zu IT-Netzwerken zu erhalten, um dann OT-Netzwerke zu erreichen.
  • Einsatz von Standard-Ransomware zur Verschlüsselung von Daten in beiden Netzwerken.
  • Verwendung bekannter Ports und Protokolle zum Herunterladen modifizierter Steuerlogik auf OT-Geräte.

Leider ist es für Angreifer einfach, nützliche Informationen über OT-Netzwerke und -Geräte zu finden. Und sie können gängige Exploit-Frameworks verwenden wie Kernwirkung um Netzwerke und Geräte zu untersuchen und bekannte Sicherheitslücken zu durchdringen.

In einigen Fällen, wie zum Beispiel Angriff auf das ukrainische Stromnetz 2016, werden Angreifer sogar Malware verwenden, die explizit für die Steuerung von SCADA-Systemen entwickelt wurde. Sicherheitsforscher stellten fest, dass die maßgeschneiderte Malware bei diesem Angriff offenbar für die Wiederverwendung mit anderen Zielen bestimmt war.

Wie Illumio zum Schutz von IT- und OT-Netzwerken beiträgt

Illumio bietet den Überblick, den Sicherheitsteams in IT- und OT-Netzwerken gefehlt haben, und hilft dabei, Netzwerke vor Ransomware und anderen Sicherheitsangriffen zu schützen. Illumio erkennt und meldet schnell aktive Verkehrsmuster, ohne dass spezielle Appliances oder zeitaufwändige Neukonfigurationsprojekte erforderlich sind. Außerdem werden Verbindungen aufgedeckt, die zuvor leicht übersehen worden wären. Durch diese Transparenz werden OT-Umgebungen von „Blackboxen“ zu Netzwerken, die verstanden, überwacht und gesichert werden können.

Um diese Netzwerke abzusichern, wendet Illumio eine Mikrosegmentierung an. Dabei werden die in den Geräten bereits integrierten Firewalls verwendet, um Verkehrsrichtlinien durchzusetzen, die die Wahrscheinlichkeit einer lateralen Bewegung zwischen Netzwerken minimieren. Seitliche Bewegung ist die Migration von Schadsoftware oder nicht autorisierten Benutzern durch ein Netzwerk, um wertvolle Ressourcen zu entdecken oder um Malware wie Ransomware zu installieren, um sich auf einen störenden Angriff vorzubereiten. Durch das Schließen unnötiger Ports und Adressen auf IT- und OT-Geräten können Sicherheitsteams verhindern, dass es zu einer seitlichen Übertragung kommt. Selbst wenn ein einzelnes Gerät oder eine kleine Gruppe von Geräten kompromittiert wird, stecken die Angreifer fest und können sich nicht weiter im Netzwerk bewegen.

Wenn Sicherheitsteams versuchen würden, diese Firewalls manuell von Hand zu konfigurieren, würden sie dies wahrscheinlich als zeitaufwändig empfinden. Darüber hinaus müssten sie wahrscheinlich geschäftskritische OT-Netzwerke herunterfahren, und das Herunterfahren dieser Netzwerke könnte sogar mehr Arbeit bedeuten, wenn IP-Adressen und Netzwerkrouting-Konfigurationen im Rahmen des Herunterfahrens und Neustarts von Netzwerken geändert werden müssten.

Illumio rationalisiert und automatisiert diese Arbeit, indem es Tools bereitstellt, mit denen Sicherheitsteams und IT-Führungskräfte Richtlinien für die Netzwerkkommunikation von OT- und IT-Geräten definieren können. Sobald Richtlinien definiert sind, können sie schnell auf die Geräte verteilt und durchgesetzt werden. Innerhalb eines Tages kann selbst ein großes, komplexes Unternehmensnetzwerk viel einfacher zu überwachen und viel sicherer sein. Und diese Arbeit kann erledigt werden, ohne dass Netzwerke heruntergefahren oder Netzwerkfirewalls oder Routing-Tabellen neu konfiguriert werden müssen.

In Bezug auf das Purdue-Modell bietet Illumio Mikrosegmentierung und Sicherheit für die Stufen 3, 4, DMZ und höher für OT-Umgebungen. Illumio verhindert seitliche Bewegungen innerhalb jeder dieser Ebenen. Es verhindert auch, dass Angreifer diese Ebenen in die OT-Umgebung verschieben.

OT Purdue Model Illumio Segmentation


Illumio unterstützt Unternehmen, die OT-Umgebungen betreiben, auf folgende Weise:

Sofortiger Einblick in IT- und OT-Netzwerke

Mit Illumio können Sie leicht herausfinden, wie Geräte untereinander kommunizieren. Welche Benutzer greifen auf welche Anwendungen und Dienste zu? Welche Ports sind geöffnet? Welche Protokolle werden verwendet? Die Erfassung dieser Daten ist der erste Schritt, um die Risiken potenzieller Querbewegungen zu verstehen und Maßnahmen zu entwickeln, mit denen diese Bewegungen eingedämmt werden können.

application dependency map for OT network visibility
Die Anwendungsabhängigkeitskarte von Illumio bietet Einblicke in die Netzwerkkommunikation in Echtzeit.
Mikrosegmentierung für IT- und OT-Netzwerke

Illumio bietet risikobasierte Einblicke in Netzwerke, sodass Unternehmen Richtlinien definieren, erstellen, verteilen und durchsetzen können, die nur legitimen Datenverkehr zulassen, der für das Unternehmen erforderlich ist, das Netzwerk durchqueren kann. Illumio macht es Sicherheitsteams einfach, hostbasierte Firewalls zu verwenden, um die Ports und Protokolle zu blockieren, von denen Ransomware abhängig ist, und hilft verhindern Sie die Ausbreitung von Ransomware. Darüber hinaus kann Illumio Ransomware-Infektionen eindämmen, indem infizierte Geräte schnell vom Rest des Netzwerks getrennt werden. Die automatische Eindämmung ermöglicht es Unternehmen, die Ausbreitung von Ransomware zu verhindern, selbst wenn sich die betroffenen Geräte an entfernten Standorten befinden.

Mikrosegmentierung für OT-Netzwerke

Illumio bietet dieselbe risikobasierte Sichtbarkeit und Segmentierung für OT-Netzwerke. Beispielsweise kann das OT-Team Illumio verwenden, um OT-VLANs wie vom Purdue-Modell empfohlen zu partitionieren, eine logische DMZ zwischen IT- und OT-Netzwerkebenen einzurichten und bestimmten OT-Geräten zu ermöglichen, nur mit bestimmten anderen vertrauenswürdigen OT-Geräten zu kommunizieren. Dies ermöglicht eine detailliertere Segmentierung, die nur für VLANs verfügbar ist. Es ermöglicht auch Richtlinien zur Mikrosegmentierung, um die Vorteile der kontinuierlich aktualisierten Bedrohungsinformationen und Schwachstellenanalysen zu nutzen, die über Illumio verfügbar sind.

Wenn Illumio eine neue Art von Bedrohung erkennt, die auf OT-Geräte abzielt, können Unternehmen ihre Richtlinien anpassen und ihre Geräte schnell und einfach aktualisieren, um zu verhindern, dass diese Art von Angriff ihre Netzwerke erreicht. Darüber hinaus erspart die Fähigkeit von Illumio, Angriffe automatisch einzudämmen, sobald sie erkannt werden, Unternehmen die Mühe, Techniker an entfernte Standorte zu entsenden, um die betroffenen Geräte manuell zu trennen. Anstatt „Truck Roll“ -Reaktionen durchzuführen, die Ransomware ausreichend Zeit geben, sich zu verbreiten, kann die automatische Eindämmung von Illumio Angriffe innerhalb von Minuten schnell „einsperren“, wodurch der Schaden durch Ransomware oder andere Arten von Malware minimiert und der normale Betrieb der OT-Geräte gewährleistet wird.

Sicherung der Brücke zwischen IT- und OT-Netzwerken

Durch den Schutz von IT-Netzwerken verhindert Illumio, dass Cyberangriffe IT-Netzwerke nutzen, um OT-Netzwerke zu erreichen. Illumio stoppt Angriffe, die darauf ausgelegt sind, IT-Netzwerke zu durchqueren, um OT-Ziele zu finden. Illumio kann auch verhindern, dass verdächtiger Datenverkehr von OT-Netzwerken IT-Geräte erreicht.

Um mehr zu erfahren:

  • Schauen Sie sich diesen Illumio Core an Video.
  • siehe Illumio's Sichtbarkeit in Aktion.

Verwandte Themen

IT/OT-Trennung

In Verbindung stehende Artikel

Ein Leitfaden für Architekten zum Einsatz von Mikrosegmentierung: Fünf Orte, an denen Sie sich „anlehnen“ können
Zero-Trust-Segmentierung

Ein Leitfaden für Architekten zum Einsatz von Mikrosegmentierung: Fünf Orte, an denen Sie sich „anlehnen“ können

Wir bei Illumio haben festgestellt, dass einige der erfolgreichsten Mikrosegmentierungseinsätze darauf zurückzuführen sind, dass wir uns im Voraus ein klares Bild von den Designüberlegungen, dem Prozess und dem Team gemacht haben, das benötigt wird.

Lesen Sie mehr
Besuchen Sie Illumio auf der RSA Conference 2023
Zero-Trust-Segmentierung

Besuchen Sie Illumio auf der RSA Conference 2023

Treffen Sie die Experten von Illumio Zero Trust Segmentation auf der diesjährigen RSA Conference in San Francisco vom 24. bis 27. April.

Lesen Sie mehr
Wie QBE mit Illumio Komplexität und Risiko weltweit reduziert
Zero-Trust-Segmentierung

Wie QBE mit Illumio Komplexität und Risiko weltweit reduziert

Erfahren Sie, wie QBE auf seinem Weg zu Zero Trust die Segmentierung implementiert hat.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr