Ohne OT kann man Zero Trust nicht buchstabieren

00:02 Carlos Buenano

Sie sind jetzt für die Sicherheit verantwortlich. Bisher waren sie nicht dafür verantwortlich, grundsätzlich für Sicherheit zu sorgen. In Ordnung. Natürlich sind sie besorgt, dass der Betrieb gestört wird.

00:14 Raghu Nandakumara

Willkommen bei The Segment: A Zero Trust Leadership Podcast. Ich bin Ihr Gastgeber, Raghu Nandakumara, Leiter der Abteilung Branchenlösungen bei Illumio, dem Unternehmen Zero Trust Segmentation. Heute gesellt sich Carlos Buenano, CTO of OT bei Armis, einem führenden Anbieter von Asset-Intelligence-Cybersicherheit, zu mir. Carlos verfügt über mehr als 30 Jahre Erfahrung in den Bereichen Steuerungssysteme und Telekommunikation. Er hat für Unternehmen auf der ganzen Welt gearbeitet und verschiedene Rollen inne, die vom Lösungsarchitekten über den Chefingenieur bis hin zum ICS-Berater für Cybersicherheit reichten. In den letzten fünf Jahren konzentrierte er sich speziell auf die Operationalisierung von Cybersicherheitslösungen in industriellen Netzwerken. In dieser Folge spricht Carlos mit uns über den Weg zur OT-Sicherheit, die Bedeutung von Zero Trust in industriellen Umgebungen und darüber, wie Fortschritte bei der Sicherheit erzielt werden können, ohne die Produktivität zu beeinträchtigen. Es ist mir daher eine große Freude, Carlos Buenano, CTO für OT bei Armis, dem führenden Anbieter von OT-Sicherheit, in dieser Folge von The Segment begrüßen zu dürfen. Carlos, willkommen bei The Segment.

01:24 Carlos Buenano

Vielen, vielen Dank. Danke, dass du mich eingeladen hast. Es ist eine Freude, eine wahre Freude, hier zu sein.

01:28 Raghu Nandakumara

Oh, ich glaube, das Vergnügen liegt ganz bei mir. Weil wir in der zweiten Staffel des Podcasts sind und wenn meine Erinnerung stimmt. Ich denke, das ist die erste Folge, in der wir jemanden hatten, der Experte für OT-Sicherheit ist, und das ist heutzutage so, ganz oben auf der Liste. Ich denke also, dass der Weg in die OT-Sicherheit kein natürlicher Weg ist, wenn die Leute über Karrieren im Bereich Informationssicherheit nachdenken. Erzählen Sie uns also etwas über Ihren Hintergrund.

01:51 Carlos Buenano

Ja, also, ich bin Elektronikingenieur, ich spezialisiere mich auf Steuerungssysteme. Ich erinnere mich, dass ich zur Universität gegangen bin und dieses eine Fach hatte: Steuerungssysteme. Und ich war süchtig danach. Also, das Programmieren, meine SPS, die Konfiguration von SQL Server und das Abrufen von Informationen, die Verbindung zu den Sensoren und Aktoren und die Automatisierung, das hat mich von Anfang an begeistert. Im Laufe meiner Karriere habe ich im Wesentlichen die Fähigkeiten entwickelt, um ein Ingenieur für Steuerungssysteme zu werden. Ich erinnere mich an die Zeit, als Netzwerke tatsächlich Teil des Übergangs zwischen Nullnetzwerken und Ethernet-Netzwerken waren. Und ich [war] sehr neugierig darauf. Und ich wollte ein Teil davon sein, aber Teil dieses Übergangs, und dann der Verschmelzung der gesamten Netzwerk- und Steuerungssysteme zu einem. Und dann fing ich an, Steuernetzwerke zu entwerfen, was eigentlich ziemlich interessant war. Und es gibt eine Menge. Eigentlich ging es mehr um die Konfiguration von SPS. Laut SCADA handelte es sich um DCS. Es ging um die Vernetzung, Programmierung und Definition von Steuernetzwerken, die mit IEC 62443 vergleichbar sind und wie sie Netzwerksegmentierung aus Sicht des Green Seals definiert. Und langsam, langsam begann ich, mich mit Systemen, Zugriffsverzeichnissen und EDRs zu beschäftigen und all diese verschiedenen Systeme zu integrieren, die all diese Systeme in die Domäne eingliederten. Und diese Geräte zu schützen und zu sichern und sicherzustellen, dass die entsprechenden Verfahren eingerichtet sind. Als ich ASC 62443 zu dieser Zeit befolgt habe, ist es fast so, als wäre ich einfach darauf reingefallen, und in den letzten 10 Jahren habe ich mich ausschließlich auf Cybersicherheit für OT-Umgebungen konzentriert. Wissen Sie, mein Verständnis der Umgebung, der OT-Umgebung, als solches, wenn es darum geht, mit dem OT-Personal, den Technikteams und den Werksleitern zu kommunizieren und ihnen die Informationen zu geben, die sie hören müssen, weil es tatsächlich sehr, sehr komplexe Gespräche mit den Werksleitern sein können, weil sie die Produktion schützen wollen. Und dann müssen wir anfangen, Sicherheitsthemen einzuführen; das ist eigentlich eine unserer Freuden.

04:18 Raghu Nandakumara

Ich liebe das, danke. Vielen Dank, denn ich finde es faszinierend, dass Sie jemand sind, dessen Hintergrund eine Expertise in Steuerungssystemen ist. Das heißt, wenn Sie heute diese Gespräche mit Betriebsleitern usw. führen, können Sie diese Gespräche aus einer sehr informierten Perspektive führen.

04:38 Carlos Buenano

Ich war die einzige Person, die hinter der Laptop-Programmierung, den SPS, steckte das Kabel ein. Ich verstehe also genau, worauf die Werksleiter achten müssen, um die Produktion aufrechtzuerhalten und gleichzeitig die Sicherheit der Menschen zu gewährleisten.

04:53 Raghu Nandakumara

Also, ich möchte einfach zu deiner Zeit zurückkehren, in der du Ingenieurwissenschaften studiert hast, während du Steuerungssysteme studierst. Denken Sie zu diesem Zeitpunkt über Sicherheit nach?

05:01 Carlos Buenano

Nein, niemals. Mein ganzer Fokus lag eigentlich immer auf Automatisierung. Du weißt schon, wie man automatisiert. Und natürlich waren wir es gewohnt, mit den Anbietern, Rockwell, Siemens, zum Beispiel Schneider, ins Gespräch zu kommen und ihre Tools kennenzulernen, zu lernen, wie die Automatisierung am effizientesten durchgeführt werden kann. Und wenn es um OT-Systeme geht, gibt es auch intern eine Hierarchie. Sie haben die Prozessingenieure, die definieren, was die Kunden tun müssen, wie sie sich verhalten müssen und was erwartet wird, aus Sicht der Automatisierung. Aber dann haben Sie die Steuerungssysteme in der Nähe; sie müssen so strukturiert sein, dass sie alle von den Verfahrenstechnikern erstellten Narrative verstehen und diese dann umsetzen. Und dann entwerfen und implementieren. Dann schaust du dir andere Dinge an und denkst darüber nach. Man denkt über Standards nach, man denkt darüber nach, wie man Vorlagen für die Programmierung der Systeme programmieren kann, sodass die nächste Person, die aus der Wartung kommt, das tun muss, was sie tun muss, um es zu warten, es zu verstehen [und es] sehr gut zu dokumentieren. Sie konzentrieren sich also mehr auf die Implementierung dieser Steuerungssysteme und nutzen das, was verfügbar ist. Sie verwenden das Netzwerk, Sie schließen das Netzwerk an, Sie erhalten eine IP-Adresse. Wenn Sie ein Netzwerk haben oder wenn Sie eine ID-Nummer erhalten haben, wenn Sie ein serielles Netzwerk haben, und sie haben die Gateways und wie sie kommunizieren, und Sie konfigurieren den SCADA-Server mit verschiedenen Tags, um Informationen abzurufen. Es ist also eine Menge Wissen, das Sie bei der Implementierung dieser Systeme implementieren müssen. Also, es gibt fast keinen Raum, um wirklich über Sicherheit nachzudenken; die ganze Sache geht darum, dass sie funktioniert. Es ist wie bei jedem anderen Projekt, Sie haben einen Projektmanager, und alles dreht sich um Zeit, eine Ressource, die sich der Umsetzung dieses spezifischen Projekts widmet. Und wenn Sie im Betrieb sind, geht es vor allem darum, die Anforderungen aus Produktionssicht zu erfüllen und sicherzustellen, dass das Gerät tatsächlich so funktioniert, wie es soll, wenn Sie nicht an die Kommunikation denken, weil eine der Hauptanforderungen in OT-Netzwerken darin besteht, die Geräte zu kommunizieren, mit denen kommuniziert werden muss. Sie denken nicht an eine Anwendung, wenn ich mehr Optionen hinzufügen möchte, wenn es um ein neues Tool geht, damit Sie es tatsächlich verwenden können. Und nein, nein, nein, das heißt, Sie haben tatsächlich eine SPS, Sie haben ein HMI und Sie haben einen SCADA-Server, Sie haben ein Netzwerk, das drei verbindet, und wenn sie einmal verbunden sind, berühren Sie es nicht. Schauen wir mal. Es funktioniert. Sie müssen tatsächlich ein sehr strenges Änderungsmanagement durchlaufen, nur um sicherzustellen, dass alle Änderungen, die vorgenommen, validiert, tatsächlich von den Werksleitern genehmigt werden und dass sie sich nicht negativ auf die Leistung des Netzwerks auswirken. Deshalb ist es so, okay, wenn es einmal entworfen ist, haben Sie eine Person, die das Steuernetzwerk entworfen hat, oder das war später diese Person. Und dann wurde es so konzipiert, dass man es ändern kann, man hat einen ganz bestimmten Grund, es zu ändern.

08:38 Raghu Nandakumara

Danke für diese sehr ausführliche Erklärung. Ich werde paraphrasieren, also, ich entschuldige mich dafür, dass ich es oft verharmlost habe. Aber um es zusammenzufassen, es ist so, als ob die Priorität dieser Kontrollsysteme darin besteht, die Anlage betriebsbereit, effizient und sicher zu halten. Richtig? Aber wenn ich darüber nachdenke, sind das die Prioritäten. Wenn ich das also, sagen wir, in einer Umgebung für die Anwendungsentwicklung verstecke, ist es so, als ob das Anwendungsteam sich um die Verfügbarkeit und Zuverlässigkeit seiner Anwendung kümmert. Und fast, wenn diese gefährdet sind, die Sicherheit, sagen sie: „Nun, wenn die Anwendung nicht funktioniert, wen interessiert dann die Sicherheit?“ Also, wollen Sie es irgendwie auf Ihre heutige Rolle übertragen? Wie führen Sie dieses Gespräch mit den Werksleitern oder mit wem auch immer Sie bei Ihren Aufträgen zusammenarbeiten, um ihnen zu erklären, wie Sie die Sicherheit, die sie benötigen, auf die richtige Art und Weise einführen können, ohne die Dinge zu gefährden, die ihnen am wichtigsten sind?

09:31 Carlos Buenano

Ja, also, das ist ein sehr schwieriges Gespräch. Ja, Werksleiter und Ingenieurteams schützen die Netzwerke sehr. Es gibt jedoch Bedenken, zunächst die Leistung und dann das Design der Netzwerke zu überprüfen. Die Kommunikation, der diese Netzwerke tatsächlich ausgesetzt sind. Es gibt also im Grunde genommen zwei Methoden, glaube ich, zwei Strategien. Die erste ist, was ist sie für mich? Was ist das für mich als Werksleiter? Wie kann ich eigentlich oder warum sollte ich mit Sichtbarkeit beginnen wollen? Ich habe bereits meine Inventare; ich habe schon, ich verstehe, was das Gerät machen soll. Und dann fängst du damit an, du fängst an, okay, also, ich führe Inventuren auf den neuesten Stand. Wissen Sie, welche Geräte Sie am Ende ihrer Lebensdauer haben, was sich potenziell auf Ihre Produktion auswirken kann? Können Sie wirklich, können Sie wirklich sicher sein, dass diese Geräte tatsächlich das tun, was sie tun sollen? Sie haben keine Fehlkonfigurationen. Wer nimmt eigentlich Änderungen an Ihrem System oder Ihren SPS vor? Wissen Sie, wann sie tatsächlich die Änderungen vornehmen? Bei dem Ansatz geht es also eher darum, Hey, das sind die Vorteile, die Ihnen die Einführung eines Sicherheitssystems bringen wird, und es wird im Grunde einige der Prozesse erleichtern, an denen Sie arbeiten müssen. Und dann vielleicht eine Roadmap, die am effizientesten ist, und sie verstehen die Schwachstellen. Und es gibt Ihnen ein sehr, sehr konkretes Beispiel, einen unserer Kunden im Team. Sie fragten mich: „Okay, nun, ich habe ein Problem mit einer IP-Adresse. Wissen Sie, ich versuche, dieses Gerät im Netzwerk einzusetzen. Und er sagt, es wird zu einem Konflikt mit der IP-Adresse kommen, und ich kann sie nicht finden.“ Und dann stellt sich heraus, dass jemand anderes zu mir kam und ein anderes Gerät eingeführt hat, eine IP-Adresse verwendet hat, die in seiner Tabelle kostenlos war, und dann die Tabelle aktualisiert hat. Und dann kam die andere Person rein, es ist wie, nun, ich wollte das benutzen. Und dann kamen sie und nutzten die Sichtbarkeit, die Sichtbarkeitsplattform, und dann tippten sie auf die IP-Adresse und suchen nach zwei Geräten. Und dann sagt der Werksleiter: „Ist das einfach?“ Nun, früher habe ich Wochen gebraucht, um herauszufinden, wie das geht. Und dann, wenn Sie diesen Vorteil tatsächlich aufgedeckt haben. Wir sagten: „Okay, erzähl mir mehr. Was kann ich noch tun?“ Deshalb kann ich dir die Dinge in Bezug auf das Rezept nicht direkt beantworten, aber ich kann dir die Ideen nennen. Binden Sie sie ein, helfen Sie ihnen, die Sicherheitsplattform zu verstehen, die Sie auch verwenden, wird, sie wird einige Vorteile bringen, und heben Sie dann die Vorteile auf ihrer Seite hervor. Weil der Sicherheitsaspekt erfüllt werden muss, werden sie nicht daran interessiert sein, weil sie dann Vorteile bringen werden. Es wird der gesamten Organisation als solcher einen gewissen Nutzen bringen, aber nicht speziell dem Team.

12:50 Raghu Nandakumara

Das ist fantastisch. Die Nachverfolgung von IP-Adressen mithilfe einer Tabelle ist lustig, weil sie mich in meine Zeit auf der Kundenseite zurückversetzt. Und diese Tabellen oder wer auch immer die Schlüssel zur Tabelle hat, ist König oder Königin. Ich finde es toll, wie du beschreibst, dass es wirklich bringt; es geht nicht darum, die Agenda nach dem Motto „Oh, du musst sichern“ durchzusetzen, sondern es geht darum, ihnen kleine Dinge zu zeigen, die sie wissen, sie nicht sehen oder sie nicht wissen. Richtig? Und diese, wie du schon sagtest, diese Aha-Momente wie: „Oh mein Gott, ist das so einfach?“ Und ich habe ewig damit gekämpft. Aber ich kann nur, wie ich glaube, eines der Dinge, die Sie sehr leicht angesprochen haben, war die Menge an veralteter Infrastruktur in OT-Umgebungen. Und wir hören oft darüber, wie viele sehr alte Versionen von Windows weiterhin laufen, weil sie so, kritisch sind. Um zum Beispiel auf das zurückzukommen, was wir zuvor darüber gesagt haben, wie wichtig sie für einen sicheren Betrieb sind. Wie lösen Sie das?

13:45 Carlos Buenano

Ja. Also, lass uns zuerst die Geschichte erzählen. Also, warum haben wir so, viele Altsysteme in OT-Umgebungen? Richtig. Also, wenn Sie tatsächlich an einem Projekt beteiligt sind und sich auf das Projekt einigen, ist die erste Voraussetzung, dass die Lebensdauer dieser Anlage, dieser Produktionslinie oder was auch immer es ist, 30 Jahre beträgt. Das ist die erste Anforderung. Da es sich um eine Investition in Höhe von mehreren Milliarden Dollar handelt, müssen sie sicherstellen, dass sie so lange wie möglich expandieren müssen. Okay. Also, wenn wir den Moment tatsächlich in eine Umgebung eintraten, können wir tatsächlich sehen, dass es eine Menge veralteter Systeme gibt. Das ist also die erste Herausforderung. Also, wir haben Geräte, auf denen Windows 10, Windows NT ausgeführt wird. Auf einigen Systemen werden tatsächlich serielle Schnittstellen ausgeführt. Manche Geräte sind am Ende ihrer Lebensdauer tatsächlich noch keine Jahre alt, da sie einem Risiko ausgesetzt sind. Es ist mir passiert, als ich tatsächlich Teil des Entwicklungsteams war und eine Produktionslinie ausgefallen ist. Und wir haben versucht, das Problem zu lösen und haben herausgefunden, dass die Karte ausgefallen ist, das war das Ende des Lebens. Und es ist seit zehn Jahren das Ende seines Lebens. Weil sie so, nun ja, so robust konzipiert sind, können sie tatsächlich jahrelang und jahrelang durchhalten, bis sie versagen. Das Problem ist, dass wir in die Geschäfte gegangen sind und keine Ersatzteile finden konnten, weil die letzten Ersatzteile verbraucht waren. Und dann gingen wir natürlich zum Verkäufer: „Hey, wir brauchen eine Notfalllieferung dieser speziellen Karte“, und weißt du was? „Wir haben sie nicht; wir haben vor langer Zeit aufgehört, sie zu produzieren.“ Also, was machst du? Richtig? Denn um die Ausrüstung selbst auszutauschen, bedarf es eines koordinierten Projekts, okay, weil Sie wissen müssen, worauf Sie sie umstellen müssen und so weiter. Und am Ende haben wir alles auf eBay geliefert und die Karte gefunden und gekauft, aber das hat ein Projekt zum Austausch von Geräten ausgelöst, weil es ein System ist, das 100.000$ pro Stunde kostet, wenn es tatsächlich nicht läuft. Es gibt also die Probleme mit den Altsystemen, die man sehr, sehr häufig sieht, dass es an der Umgebung liegt. Und die andere Sache ist, dass sie so konzipiert sind, dass sie die ganze Zeit laufen. Und für uns ist es nicht so einfach wie: „Okay, das war's, wir ersetzen es einfach und ersetzen es durch das nächste.“ Nein, nein, Sie müssen ein bestimmtes Projekt erstellen. In einigen Fällen handelt es sich dabei um ein Windows-Fenster, oder wir nennen es ein Shutdown-Fenster, in dem Sie nur eine sehr begrenzte Zeit haben, um diese Änderungen vorzunehmen. Okay, denn so sind sie eigentlich so konzipiert, dass sie 30 Jahre laufen, und dann können Sie Änderungen vornehmen. Es müssen kleine Änderungen sein, die in dieses Zeitfenster passen, die den Prozess tatsächlich zum Erliegen bringen. Es wird tatsächlich auch von einem Projekt angetrieben. Sie haben also eine bestimmte Aufgabe, und dann werden sie gesteuert, indem sie sagen: „Hey, ich muss eine neue Firmware-Version für diese spezielle Karte installieren oder diese Karte austauschen.“ Aber wenn der Prozess dann das Asset ist, das sie ändern müssen, ist dies Teil des Testens einiger der anderen Aufgaben innerhalb des Elements mit dem Autor des Shutdown-Vorgangs, der Ihnen sagen wird: „Leider müssen Sie ein weiteres Jahr warten, bis das nächste Shutdown-Fenster es ersetzt. Weil wir es uns nicht leisten können, diese Änderung zu testen, die wir vornehmen und die für das Unternehmen vorteilhafter ist oder auf den Schutz der Menschen ausgerichtet ist, weil sie tatsächlich zu mehr Sicherheit führt.“ Sie können sich also vorstellen, dass all das Design, das Langlebigkeitsdesign, all diese verschiedenen Herausforderungen bei der Änderung und Aktualisierung von Systemen mit sich bringt. Es wird einfach ständig gezogen, gezogen, gezogen, und das ist der Grund, warum wir jetzt, also, viele ältere Systeme sehen.

18:17 Uhr Raghu Nandakumara

Ich liebe die Geschichte. Ich meine, ich war immer frustriert, wenn ich dachte, ich hätte lange Wechselfenster im Finanzwesen, aber das ist nicht mal vergleichbar mit dem, wovon du sprichst. Also, ich habe nur eine Frage, bevor wir zum nächsten Teil übergehen. Ich habe eine Frage dazu. Also, wie Sie ein Beispiel genannt haben, sind diese Pläne mit einer sehr langen Lebensdauer konzipiert, von der Sie erwähnt haben, dass sie 30 Jahre beträgt, oder? Ich sehe also beides. Es gibt zwei Herausforderungen: Sie haben es mit der Absicherung der Legacy-Umgebung zu tun, die quasi seit bis zu 30 Jahren läuft. Aber auch bei der Sicherung der neuen Anlage, die Sie bauen, müssen Sie fast 30 Jahre im Voraus schauen und dies aus Sicherheitsgründen planen. Wenn ich das richtig verstanden habe,

18:57 Carlos Buenano

Ja, nein, das ist alles. Und einige der Systeme, die Sie finden werden, um das zu erreichen, hinken hinterher, wenn es zum Beispiel um die Implementierung von Standards für Ethernet geht. Ich kann Ihnen also sagen, dass ich bei der Implementierung der ISO 62443-Netzwerksegmentierung eigentlich die Zonen und den Conduit erstellt habe, nur um sicherzustellen, dass es eine Whitelisting-Richtlinie für die Kommunikation zwischen Geräten gibt. Und es gibt Ihnen nur ein Beispiel dafür, wie wichtig oder wie schwierig es ist, Sicherheit in einem Altsystem zu implementieren. Es handelt sich also um einen speziellen Schwingungsregler, einer der wichtigsten Teile eines geschäftskritischen Bereichs, da er die Betriebsdauer misst. Wenn etwas schief geht, löst es das System aus, weil Sie die Mitarbeiter schützen möchten. Sie haben also keine Gateways implementiert. Sie haben also eine IP-Adresse und eine Maske, Sie hatten kein Gateway. Sie können also nicht, Sie könnten den Verkehr nicht einmal zur Firewall leiten, geschweige denn, wie blockieren Sie ihn? Wie implementieren Sie die Richtlinie, wenn Sie nicht zulassen können, dass sie über das Gateway kommuniziert? Dann kannst du dir vorstellen, okay, nun, was machen wir? Ich meine, das müssen wir einer Risikoabwägung unterziehen. Sie erstellen die Risikobewertung und versuchen herauszufinden, was Sie tun. Und dann haben Sie eine wirklich nette Whitelisting-Richtlinie, jedes Segment ist segmentiert und der eine Bösewicht, der rüberkommt. Können Sie sich einen Teil der Komplexität vorstellen, die entsteht, wenn versucht wird, sie umzusetzen? Und zurück zu deiner Frage. Sie versuchen also, das Sicherheitsnetz zu entwerfen, das langfristig benötigt wird. Sie müssen jedoch Risikobewertungen erstellen, die es Ihnen ermöglichen, mit dem zu interagieren, was Sie haben, mit dem zu arbeiten, was Sie haben, die Risiken zu ermitteln und zu minimieren und die Lösung entsprechend mit dem, was Sie haben, zu implementieren. Manchmal haben Sie also keine Option. Und dann muss man sich im Grunde genommen irgendwie isolieren, aber die Kommunikation muss fließen, weil sie im Prozess benötigt wird.

21:23 Raghu Nandakumara

Ja, wenn Sie etwas im Netzwerk haben und das Gateway nicht definieren können, könnte es genauso gut nicht im Netzwerk sein, oder? Ich kann mit nichts sprechen.

21:29 Carlos Buenano

Aber du brauchst es, weil du das gerade erledigen musst. Ja, alles im HMI, was sie zum Abrufen von Informationen benötigen, manchmal muss die eigentliche, die Logik, die Strategie rund um das Sicherheitssystem kommunizieren. In einer normalen Situation ist es schwierig; warum sie kommunizieren, wie, warum, wann und Ihre Sicherheit. Wenn es darum geht, den Status zu erfahren, muss er sich im Netzwerk befinden. Das SCADA-System oder DCS muss also Informationen abrufen, um zu verstehen, um was es sich handelt. Und wissen Sie, das ist eine Voraussetzung; Sie müssen sie trotzdem haben.

22:07 Raghu Nandakumara

Jep. Also, bevor wir über Zero Trust sprechen, wollte ich auf etwas zurückkommen, was Sie darüber gesagt haben, dass der Werksleiter, was ihm wichtig ist, richtig, aber wenn ich sozusagen die Sicherheitsnachrichten lese, wir viel über Angriffe auf Produktionsanlagen, Energie- und Versorgungsunternehmen und diese Art von echter Sorge sehen, dass Angreifer jetzt auf kritische nationale Infrastrukturen abzielen. Richtig? Und zwar nicht unbedingt die Datenstelle, um Daten zu stehlen, sondern tatsächlich, um Dienste oder die Produktion zu stören. Findet das nicht Anklang bei Betriebsleitern, und ist das nicht etwas, was sie angeht?

22:48 Carlos Buenano

Es ist definitiv ein Problem, aber es ist nicht ihre Sorge, weil sie keine Sicherheitsleute sind, sie sind nicht für die Sicherheit verantwortlich. Bisher waren sie nicht dafür verantwortlich, grundsätzlich für Sicherheit zu sorgen. Natürlich sind sie besorgt, dass der Betrieb gestört wird. Sie verlassen sich jedoch auf das Design des Netzwerks. Und der Anbieter sagte, dass dies tatsächlich unter Berücksichtigung der Sicherheit entwickelt wurde. Aber die Realität ist, dass sie sich nicht wirklich darum kümmern, weil das nicht in ihren Zuständigkeitsbereich fällt. Heutzutage, zum Beispiel mit Industrie 4.0, ändert sich das tatsächlich, weil CISOs zur Rechenschaft gezogen werden. Und aus diesem Grund werden sie aus nordöstlicher Sicht immer mehr zu Interessenvertretern. Und dann sickert das in die Werksleiter und das Technikteam ein und sagen: „Nun, das ist keine Option mehr.“ Du musst mir helfen, dir irgendwie zu helfen. Und dieses Konzept fängt an, viel mehr Resonanz zu finden. Ich meine, weil wir das können, wir können sehen, welche Auswirkungen die CISOs tatsächlich dafür sorgen, dass diese Kommunikation an das Team weitergegeben wird, und sie beginnen, bei der Sicherheit und den Prozessen zu helfen, die befolgt werden müssen. Es gibt immer noch verschiedene Prozesse, ich kann immer noch zuhören, ja, ich verstehe. Aber Sicherheit und Produktion stehen an erster Stelle, und dann komme ich später zur Sicherheit.

24:19 Raghu Nandakumara

Jep. Jep. Nein, das verstehe ich vollkommen und das findet großen Anklang. Angesichts dieser Entwicklung hin zu Industrie 4.0, einer stärkeren Integration zwischen der IT- und der OT-Seite von Unternehmen, beobachten wir eine reelle Einführung von Zero-Trust-Strategien in allen Branchen weltweit. Erstens, was bedeutet Zero Trust für Sie als Praktiker? Und zweitens, was bedeutet das in dem Bereich, in dem Sie tätig sind?

24:47 Carlos Buenano

Schauen Sie, es ist sehr wichtig und relevant, und ich denke, einer der Motivatoren aus OT-Sicht, besonders wenn es um Entwicklungsteams und Werksleiter geht. Es gibt einen sehr, sehr bekannten Vorteil, wenn es um Zero Trust geht, eine Plattform zu haben, die es Ihnen ermöglicht, Richtlinien festzulegen, anhand derer Sie dann die Kommunikation validieren können, die es Ihnen ermöglicht, Geräte sicher mit dem OT zu verwalten. Das findet großen Anklang. Tatsächlich habe ich selbst mehrere Zero-Trust-Strategien in Umgebungen implementiert. Und der Vorteil ist, dass die Werksleiter, nun ja, zuallererst wollen sie den Weg für Systeme ebnen, die von Anbietern verwaltet werden, die Möglichkeit haben, hereinzukommen und dann Wartungsarbeiten, Diagnosen und Kalibrierungen für ihre Systeme durchzuführen. Sie wollen es sicher machen, sie wollen wissen, wann es passiert und wer es macht, wie lange es dauert, also, dass es für sie wirklich sehr attraktiv ist? Denn nun, zuerst erhalten sie eine Benachrichtigung, jemand möchte eine Verbindung herstellen, er entscheidet, wie lange sie eine Verbindung herstellen wollen, zu diesem bestimmten Gerät, das höchstwahrscheinlich ein Techniker oder eine Station oder ein Unentschieden ist, oder etwas, das sich tatsächlich innerhalb des OT-Netzwerks befindet und gewartet werden muss. Auf diese Weise können Drittanbieter sicher in das OT-Netzwerk gelangen und dann überwacht, aufgezeichnet und validiert werden. Das findet großen Anklang, weil das alles Teil des Managements von Veränderungsprozessen ist und Teil dieses Prozesses wird. Und sie können im Grunde genommen sehr gut nachverfolgt werden.

26:41 Raghu Nandakumara

Und wie siehst du die Adoption? Weil ich finde, das ist ein großartiges Beispiel für einen perfekten Anwendungsfall für Zero Trust. Was sehen Sie im OT-Bereich? Wie hoch ist Ihrer Meinung nach die Akzeptanz von Zero Trust in Anwendungsfällen? Handelt es sich um eine echte Organisation, die gewissermaßen echte Programme hat? Oder ist es im Vergleich zu anderen Branchen noch ziemlich unausgereift?

27:07 Carlos Buenano

Ich war tatsächlich überrascht, dass es von der Branche abhängt. Wenn Sie zum Beispiel über Öl und Gas sprechen, ist das ein Muss, okay, das steht außer Frage. Die Adoptionsrate ist also sehr, sehr hoch. Der Bergbau folgt dem Verkehr und der Energiesektor, der immer noch zu reifen versucht. Auch das verarbeitende Gewerbe versucht, auf dieser Grundlage zu reifen. Aber Sie können tatsächlich sehen, dass das ein Schub ist, und das ist eine wirklich gute Übernahme einer Zero-Trust-Methode zum Schutz der Netzwerke. In Ordnung.

27:39 Raghu Nandakumara

Und das sind Branchen, in denen Sie zum Beispiel Energie, Versorgungsunternehmen und Bergbau erwähnt haben. Was treibt die beschleunigte Einführung dort voran? Ist es wie regulatorische Anforderungen? Oder ist es nur die Tatsache, dass sie sich über die Bedrohungen Sorgen machen?

27:55 Carlos Buenano

Es ist ein bisschen von beidem. Es ist also ein bisschen von beidem. Es ist auch so, ich werde auch die betrieblichen Vorteile hinzufügen. Wir haben also Bedrohungen, und sie wollen sicherstellen, dass sie intern über alle Systeme verfügen, die sie verwalten, die Sicherheitsrichtlinien haben, und sie sind nur diejenigen, die auf alle Geräte innerhalb des OT-Netzwerks zugreifen. Und dann schützt dieser Name natürlich davor, dass Dritte ein unbekanntes Gerät, Asset oder Laptop mit dem Netzwerk verbunden haben, dass sie das nicht sind. Also, das beseitigt dann diese Bedenken, und dann haben Sie auch noch die Einhaltung der Vorschriften. Also, nur um sicherzugehen, dass sie die Anforderungen erfüllen. Ich meine, hängt von dem Land ab, in dem du dich befindest. Also, Sie haben NIS2 in Europa und dann haben Sie noch andere hier in den USA. Aber das ist tatsächlich auch wichtiger geworden, weil es tatsächlich so ist, dass die Regulierung an sechster Stelle in Kraft tritt, und dann müssen sie diese Prozesse tatsächlich einrichten. Aber dann der Betrieb, wie ich bereits erwähnt habe, der Betrieb, denn auch hier ist die Konvergenz von IT und OT tatsächlich unter uns, und das ist wichtig, weil sie im Moment das Problem haben, Sie wissen schon, IT und OT müssen Waren vergleichen, weil es viele Systeme im IT-Netzwerk gibt, die heutzutage verwendet werden, um Berichte oder Planung bereitzustellen, die Produktion zu überwachen und all diese Dinge, die sie benötigen, im Grunde genommen, um sich mit der Umgebung zu verbinden, um diese Informationen abzurufen. Das wird also tatsächlich unvermeidlich. Und wenn dann die Verschmelzung der beiden Netzwerke offensichtlicher wird und wir über Altsysteme sprechen, vergrößert sich die Angriffsfläche zu stark. Und dann wird die Zero-Trust-Plattform oder das Zero-Trust-Framework die Risiken in all den verschiedenen Szenarien, die wir uns vorstellen können, tatsächlich minimieren. Sie wissen schon, wie Sie schon sagten, Datendiebstahl, Ransomware, Sie wissen schon, jeder andere Angriffsvektor, der ausgenutzt werden kann.

30:06 Raghu Nandakumara

Bevor wir also über die Herausforderungen sprechen, die sich aus der Anwendung von Zero in der gesamten bestehenden Infrastruktur ergeben, lassen Sie uns kurz darauf eingehen, dass IT und OT zunehmend zusammenwachsen müssen. Was sind die Cybersicherheitsherausforderungen, Bedrohungsrisiken, was auch immer, wie auch immer Sie es formulieren wollen, über die sich Unternehmen Sorgen machen, wenn sich diese Integration beschleunigt?

30:23 Carlos Buenano

Nun, zuallererst ist es das Know-how. Wenn es also um IT/OT-Netzwerke geht, die zuvor sehr unterschiedlich waren, führen OT-Netzwerke nur diese spezifische Aufgabe aus. ES ist genau das Gegenteil. Die IT wird tatsächlich Tools, Systeme und Prozesse bereitstellen, die darauf ausgelegt sind, die Effizienz der Mitarbeiter zu steigern, okay, als solche, und dann ist das Wesentliche, die Philosophie zwischen den beiden Netzwerken ist völlig entgegengesetzt. Die größte Sorge ist also, dass, wissen Sie, diese Philosophie kollidiert, sobald wir beginnen, die OT-Netzwerke für IT-Netzwerke zu öffnen, und das ist eine große Herausforderung. IT-Mitarbeitern helfen, die Anforderungen von OT zu verstehen, denn auch hier sind sie nicht damit vertraut. Außerdem verstehen wir die Dynamik der Geräte in unserem OT-Netzwerk und wie sie sich verhalten müssen, was Systeme benötigen, um miteinander zu kommunizieren. Wie können wir diese Segmentierung erreichen? Und es ist eine sehr schwierige und sehr steile Lernkurve, diese Informationen oder diese Mechanismen im Grunde in die OT-Umgebung zu implementieren. Und natürlich muss man aus Sicht der Fertigung und aus Sicht des OT-Prozesses die Zustimmung dazu bekommen, diese Prozesse zu implementieren, oder? Deshalb gibt es hier aufgrund der Natur der Netzwerke so, viele Herausforderungen.

32:03 Raghu Nandakumara

Und sich nur nach dieser Herausforderung zu erkundigen, ist nur ein bisschen weiter. Offensichtlich ist in anderen Branchen die gesamte Art der Cloud-Transformation, die digitale Transformation, ein großer Treiber, oder? Und es gibt große Bedenken darüber, wie wir die Workloads von Anwendungen schützen können, wenn sie in die Cloud migrieren? Ist das auch im OT-Sektor ein echtes Problem? Oder liegt der Schwerpunkt in dieser Phase viel mehr auf der OT/IT-Konvergenz?

32:27 Carlos Buenano

Schauen Sie, um ehrlich zu sein; wir sind motiviert, wenn es um neue Technologien und die Einführung von Technologien in IoT-Umgebungen geht; wir lassen uns von diesem Stift leiten, den die Anbieter haben. Und wenn die Anbieter das nicht unterstützen, werden wir einfach nicht gehen. Wir werden diesen Weg einschlagen, wenn es um die digitale Transformation geht, je nach Branche, je nach Hersteller, ob Sie bei der Entwicklung dieser Systeme möglicherweise die Möglichkeit haben, einen SCADA-Server in einem Hypervisor zu installieren oder ihn in der Cloud zu hosten, weil die Technologie noch nicht da ist oder der Anbieter sie nicht anbietet. Aus diesem Grund glaube ich nicht, dass das ein Treiber ist. Der Fahrer ist wirklich finanziell, er wird den Fußabdruck reduzieren. Sie verwenden die Verwaltungskosten, die Produktionskosten, aber nicht so viel zum Thema Sicherheit.

33:28 Raghu Nandakumara

Verstanden. Gehen wir zurück zu Zero Trust. Was sind die Herausforderungen bei der Einführung einer Zero-Trust-Strategie, wenn Sie über so viele veraltete Infrastrukturen verfügen?

33:39 Carlos Buenano

Die Herausforderung besteht also im Grunde darin, wie Sie diese Richtlinien umgesetzt haben, wie Sie diese Richtlinien im Grunde umsetzen können, wenn Sie so, viele Änderungen vornehmen müssen. Wie ich bereits erwähnt habe, unterstützen einige der Altsysteme nicht die Anforderungen oder die Technologie, die für die Implementierung von Zero Trust erforderlich sind. Das ist einer. Zweitens verfügen ältere Systeme möglicherweise nicht über die erforderliche Leistung. Sie sind definitiv nicht in der Lage, zu authentifizieren oder zu überprüfen, welche Richtlinien eingeführt wurden. Und natürlich, wie viel Zeit wir für die Implementierung haben. Also das Zeitfenster finden, um die Änderungen vorzunehmen, um ein Redesign umzustrukturieren oder neu zu definieren, und dann das Netzwerk, sodass wir die Netzwerkänderungen implementieren können, die erforderlich sind, damit Zero Trust funktioniert. Das sind also im Grunde die Herausforderungen, vor denen wir stehen.

34:42 Raghu Nandakumara

Wenn Unternehmen Sie also um Ihren Rat bitten und sagen: „Okay, ich möchte eine Zero-Trust-Strategie anwenden, um meine IT-/OT-Umgebung zu sichern“, wie leiten Sie sie an, wo sie anfangen sollen und wie sie anfangen sollen?

34:53 Carlos Buenano

Also, diese Kommunikation, diese, weißt du, musst du natürlich sehr ehrlich sein. Aber es gibt immer eine Grenze. Man beginnt mit einer Grenze, und sie beginnen, tiefer in die Systeme vorzudringen. Im Grunde können Sie also beispielsweise eine neue DMZ einrichten, ohne zu viele Änderungen an Ihrem OT-Netzwerk vornehmen zu müssen. Und von dort aus versuchen Sie dann, den Weg in die verschiedenen Systeme zu finden, um diese Zero-Trust-Methode umzusetzen. Also das Netzwerk sichern. Man muss sehr kreativ sein; man muss das Netzwerk irgendwie verstehen, die Sichtbarkeit erlangen, verstehen, wie sie miteinander kommunizieren können, und dann anfangen, Entscheidungen zu treffen. Sie wissen schon, Risikobewertungen. Auch hier ist Kommunikation immer wichtig. Beschreiben Sie die Vorteile aus betrieblicher Sicht, wie ich bereits erwähnt habe. Und versuchen Sie, die Zustimmung aus betrieblicher Sicht zu gewinnen, da sie die Prozesse kennen und wissen, welche Möglichkeiten es aus Prozesssicht gibt, mit der Implementierung dieser Systeme zu beginnen. Das ist keine leichte Aufgabe. Sie müssen es nur aufschlüsseln, damit es weniger wichtig ist. Lassen Sie uns zuerst die Transparenz schaffen. Sie verstehen, welche Geräte wir schützen müssen, sie verstehen die geschäftskritischen Geräte und dann isolieren sie diese geschäftskritischen Geräte, und dann implementieren sie Zero Trust und beginnen dann mit der Erweiterung als programmatischen Prozess, bis Sie am Ende angelangt sind. Es wird keine sehr kleine oder kurze Reise sein; es wird eine lange Reise sein. Aber wenn wir das tun, können wir zumindest Schritt für Schritt das erste Ziel erreichen, nämlich die Sicherung des Netzwerks. Und dann das zweite, dann weitermachen, bis wir mit dem Schutz unseres Netzwerks fertig sind.

36:58 Raghu Nandakumara

Ich liebe es, wie du das ausdrückst. Und die Art und Weise, wie Sie das zusammenfassen, denn ich denke, das ist der wahre Weg, um tatsächlich messbare Verbesserungen der Sicherheit zu erzielen, oder? Und wie Sie schon sagten, trotz all der Herausforderungen, die in diesen Umgebungen bestehen, ist es so gut wie unmöglich, irgendetwas in großem Maßstab zu tun.

37:16 Carlos Buenano

Sofern Sie keine Greenfield-Projekte oder Brownfield-Projekte haben, ist das unmöglich.

37:20 Raghu Nandakumara

Ja. Weil es einfach fertig wird, wenn man aus einer echten Makroansicht herauskommt. Richtig? Und du verfeinerst, verfeinerst, verfeinerst. Sehen Sie eine Möglichkeit, beispielsweise Zero-Trust-Sicherheitsprinzipien auf Dinge wie Kontrollnachrichten anzuwenden, wenn ein Angreifer beispielsweise keinen Controller kapern und im Grunde illegale Nachrichten einschleusen kann? Und Entschuldigung, ich habe die Begriffe völlig falsch verstanden.

37:52 Carlos Buenano

Es ist okay. Es ist okay. Aber ich sehe, die Antwort lautet ja. In Ordnung. Die Antwort lautet definitiv ja. Ich denke, je reifer sich die Anbieter der Cybersicherheitsrealität und den Anforderungen bewusst werden, die wir noch nie gesehen haben, beginnen die Anbieter, ihr Design auf Sicherheit auszurichten. Sie beginnen also, nach Möglichkeiten zu suchen, Änderungen und Controller-Änderungen zu authentifizieren, um sicherzustellen, dass sie nicht spüren, okay, sie fangen an, die Protokolle zu verschlüsseln, die für diese Änderungen zuständig sind. Aber gerade jetzt gibt es Systeme, die tatsächlich in Reihe gebracht werden können. Sie haben das Gerät, das Sie in die Reihe stellen, und dann verbindet sich das Gerät mit dem SPS-Netzwerk. Und dann muss jede Konfiguration, die von einem Techniker mit einer Sitzung zu den SPS über das Netzwerk vorgenommen werden muss, diese Kommunikation authentifiziert werden. Und sie verwenden Zero Trust zur Authentifizierung, zur Zugriffskontrolle, um zu verstehen, darüber nachzudenken und die Richtlinien zu verfolgen, wer die Änderungen vornehmen kann, welche Änderungen diese Person vornehmen kann usw. Das kann sogar sehr, sehr gut sein, wenn es darum geht, Zugriff zu erhalten und mit den Systemen fortzufahren.

39:16 Raghu Nandakumara

Also fast wie eine, das Äquivalent einer WAF?

39:18 Carlos Buenano

Richtig, richtig.

39:20 Raghu Nandakumara

Also, während wir weitermachen, haben wir ein bisschen über die Einführung von Zero-Trust-Strategien in einer Reihe von Branchen gesprochen. Und wir sehen quasi die verschiedenen Herangehensweisen, mit denen in den verschiedenen Regionen dieser Schritt nach vorne erfolgt, Sie haben offensichtlich die Richtung, in der Sie, im Fall der USA, diese Richtung einschlagen und eine Zero-Trust-Strategie verfolgen können. Nehmen wir an, in der EU verfolgen wir einen viel stärker auf Einhaltung der Vorschriften beruhenden Ansatz. Was denken Sie über die Vor- und Nachteile dieser Ansätze und was brauchen wir, um dies zu beschleunigen?

39:52 Carlos Buenano

Ja, also, alles hängt im Wesentlichen von den Regierungen und Ländern und den Vorschriften ab, mit denen sie sich wohl fühlen. Okay, Sie können also in einigen Ländern, wie Sie sagten, tatsächlich sehen, dass wir bessere Ressourcen haben, die wir verstehen, was die Anforderungen angeht. Und wir sehen zum Beispiel, dass die USA Zero Trust eingeführt haben, eher so waren, wie Sie es gesagt haben, und dann in Europa ein bisschen mehr. Aber die Realität ist, dass je mehr wir tun können, um Systeme zu sichern, desto besser. Meiner Meinung nach ist das Compliance-Framework für diese ein guter Anfang, denn wenn Sie sich die Frameworks ansehen, sind einige der Frameworks so konzipiert, dass sie Sie an die Hand nehmen, um tatsächlich mit der Einrichtung von Prozessen zur Sicherung Ihrer Systeme zu beginnen. In Ordnung. Also, und das ist großartig, das ist ein toller Anfang. Aber Sie müssen tatsächlich etwas gründlicher sein, wenn es darum geht, sie zu kontrollieren. Und ich werde sagen, dass wir wirklich voneinander trennen können, okay, weil einige dieser Frameworks eine Authentifizierung voraussetzen, aber Zero Trans geht darüber hinaus. Es gibt also viel mehr als Authentifizierung. Authentifizierung und Validierung, aber Zero Trust geht über das hinaus, was im Grunde genommen darauf zugreift, wer tatsächlich zugreift, und zwar nicht nur aus der Sicht des Benutzers, sondern auch aus der Sicht des Geräts. Und das ist im Grunde ein Fortschritt. Und es erfordert mehr Reife. Aber meiner Meinung nach müssen beide bessere Chancen haben, geschützt zu werden. Aber aus betrieblicher Sicht gefällt mir ehrlich gesagt die Tatsache, dass Sie Änderungsprozesse verwalten können, die tatsächlich mit Zero Trust verknüpft werden können, um im Grunde Änderungen zu überwachen und zu validieren, die im Netzwerk, auf den Geräten oder im Prozess vorgenommen werden, sodass Sie mehr Kontrolle haben und gründlicher vorgehen können. Und wenn es um Produktivität, Prozesse und Integrität geht.

41:55 Raghu Nandakumara

Das ist eine wirklich interessante Einstellung. Ich habe noch nie jemanden dazu sagen hören, Zero Trust auf den eigentlichen Prozess selbst anzuwenden und das als Antrieb zu nutzen, um bessere Praktiken voranzutreiben. Richtig. Es ist also fast so, dass Sie nicht unbedingt eine neue Technologie, Einführung usw. vorantreiben, aber Sie sagen nur: „Ich werde nicht zulassen, dass sich in dieser Phase Dinge als Teil des Veränderungsprozesses einschleichen.“

42:17 Carlos Buenano

Korrekt. Korrekt. Und das ist das Muster, das mir am besten gefällt.

42:21 Raghu Nandakumara

Wenn Sie also in der Lage sind, diese Perspektive darzulegen, wie glauben Sie, dass der kritische nationale Infrastrukturbereich heute darauf vorbereitet ist, einen groß angelegten Cyberangriff zu überstehen? Wie groß ist Ihr Vertrauen in das?

42:38 Carlos Buenano

Es ist also auch eine sehr schwierige Frage. Aber schauen Sie, sie haben die Ressourcen, sie haben die Frameworks, sie haben die guten Ideen, okay, um Systeme im Grunde zu schützen. Aber die Realität ist, dass, wenn es darum geht, über Personalressourcen zu verfügen, die diese Leute, die auf einen bestimmten Vorfall reagieren müssen, noch in der Entwicklung waren, es ist noch ein frühes Stadium für sie, um in einer großartigen Überlebensposition zu sein, ich glaube, ich weiß nicht, ob das ein gutes Wort ist, aber in der Lage zu sein, zu reagieren und Abhilfe zu schaffen, und zwar bei großen Vorfällen. Sie können tatsächlich sehen, dass dort eine Menge Arbeit vor Ort ist. Das sind eine Menge realer Verfahren, es gibt viele Mechanismen und Rahmenbedingungen. Aber wenn es einen großen Maßstab gibt, wird es sehr, sehr schwierig sein. Um nur ein Beispiel für Log4j zu nennen: Darauf arbeiten wir alle als Community hin. Aber wir waren in gewisser Weise sehr voneinander isoliert. Jeder machte tatsächlich sein eigenes Ding und versuchte unabhängig zu überleben. Und einige Organisationen waren besser vorbereitet, haben aber noch viel zu tun. Und einige von ihnen versuchen immer noch, sich zu erholen. Es ist also nur ein Beispiel dafür, ob wir das haben, was wir brauchen? Ja, aber können wir tatsächlich umsetzen, was wir gesagt haben, dass wir tun müssen? Ich glaube nicht, dass wir noch bereit sind.

44:09 Raghu Nandakumara

Mir gefällt, wie du das formuliert hast, weil ich glaube, du präsentierst ein Bild, das halb voll ist. Sie sind optimistisch, dass wir fast alle Tools zur Verfügung haben und dass wir die Akzeptanz jetzt irgendwie vorantreiben müssen, und Sie haben davon gesprochen, wirklich als Gemeinschaft zu arbeiten und nicht isoliert, was meiner Meinung nach wichtig ist, um die Sicherheit zu verbessern. Also, ein Blick in die Zukunft, Carlos, richtig? Wenn wir in keinem Gespräch über KI sprechen, dann wird quasi niemand, niemand die Suchmaschinenoptimierung, die Suchmaschinenoptimierung wird ruiniert, oder? Also, wie beurteilen Sie die Relevanz von KI im OT-Bereich, nicht nur aus Sicht der Cybersicherheit, sondern auch in Bezug auf welche, zum Beispiel in Bezug auf ihre Vorteile für den Betrieb, und dann, richtig, ihre Verwendung bei deren Absicherung?

44:56 Carlos Buenano

Also, schau, KI ist ein sehr, sehr mächtiges Tool, oder? Also, und Sie wissen schon, solange Sie die Daten haben, können Sie tatsächlich die Ergebnisse nutzen, die Ihnen die Automatisierung der Berichterstattung ermöglicht haben. Es gibt also viele Vorteile, wenn es um KI geht. Wir verwenden sie im Grunde genommen in unserem Produktionssystem, um Informationen zu korrelieren, um Berichte zu erstellen, die effizienter sind, und die Daten im Grunde so zu verwalten, dass keine anderen Ergebnisse erzielt werden, obwohl sie positiv sind. Aber leider ist das immer die andere Seite der Medaille, oder? Es muss also tatsächlich für einen guten Gebrauch genutzt werden, es muss genutzt werden, um Vorteile zu erzielen. Wir haben bereits begonnen, KI, insbesondere in der OT-Umgebung, zu sehen, um Sicherheitslücken auszunutzen, und das ist tatsächlich, wir haben bereits einige Angriffe gesehen, Cyberangriffe und die Verwendung von KI, und leider müssen sie sich nicht einmal bei den Computern anmelden, auf denen sie KI verwenden, um zu verstehen, wie diese Sicherheitsanfälligkeit im Grunde ausgenutzt werden kann. Aber gleichzeitig können wir dann tatsächlich einige der Tools verwenden, die KI verwenden, um dagegen anzukämpfen. Also, ich denke, meine Position ist, dass es großartig ist, also solange wir es gut in der Art und Weise einsetzen, wie Design, wenn eigentlich alles, oder? Es ist wie, ja, wir können es nutzen, um die Produktion zu verbessern. Wir können es verwenden, um die Sicherheit zu verbessern. Aber gleichzeitig müssen wir sehr vorsichtig sein, denn wenn es nicht richtig implementiert wird und tatsächlich in die falschen Hände gerät, kann es sich im Grunde gegen uns auswirken.

46:56 Raghu Nandakumara

Ja, absolut. Ja. Richtig. Und ich denke, Sie haben das angesprochen. Die KI in den Händen eines Angreifers gibt ihnen die Möglichkeit, eine viel detailliertere Sichtbarkeit und Analyse zu haben, für die sie heute eine Menge Zyklen aufwenden müssten. Ich denke, wenn ich das aus der Zero-Trust-Perspektive betrachte, dann die Frage, wie wir sicherstellen können, dass ihre Sicht auf die Umgebung so begrenzt wie möglich ist, sodass sie so wenig Informationen wie möglich herausholen können, um diese Analyse durchzuführen?

47:25 Carlos Buenano

Wir segmentieren grundsätzlich und segmentieren alle Möglichkeiten unter dem Gesichtspunkt der Authentifizierung, und sie müssen authentifiziert werden. Die Sicherheitslücken können also nicht ausgenutzt werden, weil Sie sich einloggen müssen. Aus geschäftskritischer Sicht kommen Sie nicht an die Stelle, an die Sie gelangen müssen, um die Produktion tatsächlich zu beeinflussen, da Sie über Zero-Trust-Methoden verfügen, um diese Ausbreitung zu verhindern. Okay, dann haben Sie dieses Netzwerksegment. Und es ist wie, wow, du kommst da hin. Aber du kannst weitermachen. Wenn du dort ankommst. Das heißt, ja,

48:01 Raghu Nandakumara

Absolut. Also, lass uns mit etwas Lustigem abschließen. Carlos, was ist deine liebste Zero-Trust-Analogie? Also, wenn Carlos Zero Trust einem Fünfjährigen beschreiben würde, wie würdest du es beschreiben?

48:12 Carlos Buenano

Es ist wie der Sicherheitsteil, oder? Also, du kannst entwerfen, und ich werde meine Analogie für eine Minute ändern. Also, du kannst ein Haus entwerfen. Und genau so erkläre ich meinen Söhnen Sicherheit: Man kann ein Haus entwerfen, und das Haus hat Fenster und Türen. Bist du sicher? Und sie sagen: „Ja“, okay, was ist, wenn ich das Fenster kaputt mache? Ah. Und wenn ich das Schloss öffne? Was kannst du sonst noch tun? Okay, nun, du kannst Gitter und deine Fenster ziehen. Okay, was ist, wenn ich einen Endwinkelschleifer mitbringen und dann das Gerät umdrehen und das Fenster kaputt machen kann? Nun, man kann tatsächlich ein Rolltor anbringen, genau so sehe ich Zero Trust. Sie wissen, es ist eine ganze Reihe von Methoden, um sicherzustellen, dass Ihr Haus sicher ist, indem sie segmentiert werden, um die Sicherheitsprozesse aufrechtzuerhalten, oder? Sie müssen also tatsächlich das Risiko definieren, bewerten und dann verstehen, wie Sie die Kontrollen sichern und einrichten. Und eine dieser Kontrollen sind Videokameras, um beispielsweise zu verstehen, wer zugreift. Und die andere Steuerung besteht einfach darin, ein sehr sicheres Authentifizierungssystem zu haben, das es Ihnen ermöglicht, das Haus zu betreten, und wenn Sie einmal im Haus sind, haben Sie die Kameras, um zu sehen, was Sie tun. Aber dann kommst du in einen Raum und dann hast du nur Zugang zu diesem Raum. Das ist dein Zimmer; du setzt dich hin, legst dich hin und schläfst darin. Aber du versuchst, in das Zimmer deines Bruders zu gehen, und du kannst nicht, weil du es nicht darfst. Weißt du, das macht wirklich Spaß.

49:51 Raghu Nandakumara

Ich liebe es. Es fühlt sich an, als ob du Zero-Trust-Gespräche mit deinen Söhnen führst, was ich wirklich mag. Also, Carlos, es war mir eine große Freude, heute mit dir zu sprechen. Vielen Dank für diesen aufschlussreichen Überblick über die Sicherheit in der OT-Umgebung, die Herausforderungen der Zukunft, die Bedeutung von Zero Trust. Es hat mir, der eigentlich kein Verständnis für diese Umgebung hat, die Augen geöffnet. Also, das weiß ich wirklich zu schätzen. Und für die Zuhörer: Falls Sie noch nicht die Gelegenheit dazu hatten: Armis hat kürzlich einen fantastischen Forschungsbericht über die Anatomie der Cybersicherheit veröffentlicht, eine Analyse der Angriffslandschaft. Ich ermutige Sie alle sehr, sich das anzusehen. Carlos, vielen Dank.

50:32 Carlos Buenano

Vielen Dank, dass du mich eingeladen hast. Es hat Spaß gemacht.

50:35 Raghu Nandakumara

Vielen Dank, dass Sie sich die dieswöchige Folge von The Segment angesehen haben. Wir werden in zwei Wochen mit unserer nächsten Folge zurück sein. In der Zwischenzeit finden Sie weitere Zero-Trust-Ressourcen auf unserer Website www.illumio.com. Besuchen Sie uns auf LinkedIn und X, indem Sie die Links in unseren Shownotes verwenden. Das ist alles für heute. Ich bin dein Gastgeber Raghu Nandakumara, und wir werden bald mit mehr zurück sein.

‍