IT/OT Netzwerke
Über die Auswirkungen der IT/OT-Konvergenz auf die Cybersicherheit
Sicherung der neuen Grenzen von Netzen für kritische Infrastrukturen über „Level 3.5“ hinaus
Palo Alto Networks erläutert neue Notwendigkeiten beim Schutz erweiterter Netzwerke
Palo Alto Networks beobachtet seit geraumer Zeit unterschiedliche Auswirkungen der IT/OT-Konvergenz auf die Cybersicherheit. Im Mittelpunkt steht dabei die Frage, wie kritische Infrastrukturnetze besser vor Cyberbedrohungen zu schützen sind. Diese Systeme entwickeln sich mach Beobachtungen von Palo Alto Networks von Air-Gapped-Altsystemen hin zu moderneren, mit der IT und der Cloud verbundenen Systemen weiter. Diese Entwicklung führt zu einer Vergrößerung der Angriffsfläche, die proaktiv verwaltet werden muss. Mit der Eskalation geopolitischer Ereignisse wird die Notwendigkeit eines besseren Infrastrukturschutzes noch deutlicher.
Auch wenn die vollständige Konvergenz bestimmter OT/CI-Arten aufgrund von Hürden für die Cloud-Einführung im Zusammenhang mit Vorschriften einige Zeit in Anspruch nehmen kann, beginnt ein großer Teil der Betreiber bereits mit der Umstellung. Dazu gehören die Ausweitung der industriellen Infrastruktur in die Cloud, die Nutzung von Smart-IoT-Technologie und die Weiterentwicklung von lokalen und Weitverkehrsnetzen (LAN/WAN) in der Industrie. Dies verändert die Diskussion über den Umfang der OT Security, die traditionell an der IT-OT-Perimeter- oder „Level 3.5“-DMZ des ISA 95 (alias Purdue)-Referenzmodells stattfand. Es umfasst nun die Ausweitung industrieller Netzwerke auf Cloud, 5G und SD-WANs.
Palo Alto Networks erläutert die Netzwerktransformation und erklärt, wie die Konsistenz des Zero-Trust-Ansatzes durch den Einsatz von Next-Generation Firewalls in der neuen, erweiterten OT/CI-Netzwerkinfrastruktur erreicht werden kann.
Industrielle Cloud-Netzwerke
Die Betriebstechnologie (OT) war in der Vergangenheit Cloud-scheu, aber es gab viele überzeugende Anwendungsfälle, die zu einer Migration von OT-Workloads von On-Premises-Rechenzentren in die Cloud geführt haben. Dazu gehören Anwendungen von Data Warehousing/Historian bis hin zu neuen industriellen IoT-Anwendungen wie vorausschauende Wartung, Machine Twin, VR/AR und Produktionsoptimierung. Sie könnten sogar so rudimentär sein wie die Bereitstellung zentraler Verwaltungsdienste für die verschiedenen Steuerungssysteme.
In geringerem Maße sind auch SCADA-Anwendungen denkbar, bei denen OT von der Cloud aus gesteuert wird. Nicht zu vergessen sind auch die angrenzenden Nicht-OT-Workloads, wie Buchhaltungs- und Abrechnungssysteme (siehe Hack von Colonial Pipeline), die für den Betrieb ebenso wichtig sein können wie die OT-Workloads selbst. Was auch immer der Auslöser sein mag, es ist notwendig, nicht nur den Nord-Süd-Verkehr zwischen OT und dem/den Cloud-Service-Anbieter(n) zu sichern, sondern auch den Ost-West-Verkehr zwischen den verschiedenen VMs und Containern, auf denen die Workloads ausgeführt werden. Dies erfordert eine granulare Sichtbarkeit, die Anwendung einer granularen Zero Trust Policy und die Erkennung und das Stoppen von Bedrohungen. So gelingt es, zu verhindern, dass die Cloud kompromittiert und von Angreifern als Dreh- und Angelpunkt genutzt wird.
5G Private LANs
Die 5G-Mobilfunktechnologie hat viele Fortschritte mit sich gebracht, die die Flexibilität, Agilität und Leistung privater Netzwerke ermöglichen, die für intelligente, IoT-fähige OT/CI-Netzwerke benötigt werden. Dazu gehören ein besserer Durchsatz, geringere Latenzzeiten und Network Slicing. Anlagenbesitzer beginnen damit, ältere drahtgebundene und drahtlose Netzwerke in Prozesssteuerungsnetzwerken (PCN) und Feldbereichsnetzwerken (FAN) durch 5G-Privatnetzwerke zu ersetzen. Sie wollen mit 5G verbundene autonome Fahrzeuge, Robotik und Mixed-Reality-Technologien einsetzen. Die meisten Unternehmen, die 5G einführen wollen, wissen jedoch noch nicht genau, welche Sicherheitsherausforderungen damit verbunden sind.
Eine große Herausforderung bei der 5G-Sicherheit besteht darin, dass der Datenverkehr in ein Wrapper-Protokoll (GTP) eingekapselt wird, was zu einem Verlust der Sichtbarkeit führen kann. Die Zuordnung des Datenverkehrs zu mobilen industriellen Endpunkten könnte ebenfalls eine Herausforderung darstellen, wenn sie nur auf IP-Adressen basiert, die in vielen Umgebungen dynamisch sind. Bei der Sicherung von 5G-Netzwerken geht es nicht nur um die Wiederherstellung der Sichtbarkeit, sondern auch um die Fähigkeit, Anwendungen, Benutzer und Geräte aufzulösen und gleichzeitig granulare Richtlinien anzuwenden und Bedrohungen einzudämmen, die ihren Weg in die Fabrikhalle gefunden haben und auf andere Bereiche des PCN oder FAN übergreifen könnten.
Softwaredefinierte Wide-Area-Netzwerke (SD-WAN)
Auch die CI/OT-WANs entwickeln sich weiter. Insbesondere SD-WAN hat die Aufmerksamkeit vieler Betreiber kritischer Infrastrukturen auf sich gezogen, da es die Möglichkeit bietet, ein privates Netzwerk über eine beliebige Transportschicht zu legen, sei es MPLS, kostengünstiges und leistungsstarkes Breitband oder eine Mischung aus beidem. Fairerweise muss man sagen, dass die Einführung schrittweise erfolgt und mit weniger kritischen Anwendungsfällen wie SCADA-Netzwerken (Supervisory Control and Data Acquisition) zu nicht unternehmenskritischen Remote-Standorten oder zur Bereitstellung von Backup-Verbindungen beginnt. Viele glauben jedoch, dass SD-WAN eine große Zukunft im Bereich OT/CI haben wird, wenn die Technologie ausgereift ist.
Ein Grund für die langsamere Akzeptanz ist der wahrgenommene Mangel an Sicherheit und die Komplexität der Sicherheitsverwaltung bei der Implementierung von verteilten SD-WAN-Verbindungen. Bei der Einführung von SD-WAN ist es wichtig, eine Lösung zu finden, die sowohl die fortschrittlichen Sicherheitsfunktionen als auch die zentrale Verwaltbarkeit bietet, um die betriebliche Machbarkeit zu verbessern.
Zero Trust Network Security über die neuen Grenzen von OT/CI hinweg
Die gute Nachricht lautet Moderne Next-Generation Firewall-Technologie kann alle oben genannten Anwendungsfälle von Cloud, 5G und SD-WAN unterstützen. Anstatt mehrere Einzellösungen einsetzen zu müssen, bietet ein möglicher NGFW-as-a-platform-Ansatz, ein wirksames Richtlinien- und Management-Framework für diese neuen Grenzbereiche für OT-Netzwerke. Er umfasst idealerweise Layer-7-Sicherheit, fortschrittliche Bedrohungsabwehr und zentralisiertes Management, wie es bereits für Internet-Gateways, Rechenzentrums-Firewalls und IT/OT-Perimeter (Level 3.5) zur Verfügung steht.
Virtualisierte Next-Generation-Firewalls sind der Schlüssel zur Sicherheit von Cloud-Netzwerken. Darüber hinaus sind die NGFWs nicht nur in der Lage, das 5G-Protokoll (GTP) zu entkapseln, um die zugrundeliegenden Anwendungen, Benutzer, Geräte und Bedrohungen aufzudecken. Sie sind auch in der Lage, Sicherheitstelemetrie mit unveränderlichen SIM-Karten-Identifikatoren (ISIM, IMEI) zu korrelieren, anstatt mit dynamischen IP-Adressen, die eine Zuordnung erschweren könnten. Schließlich bieten SSE-Lösungen (Secure Service Edge) eine flexible Möglichkeit, SD-WAN-Implementierungen effektiv zu sichern. Durch die Bereitstellung von Sicherheit aus der Cloud und näher an den Zweigstellen ermöglichen sie die Optimierung von Netzwerken und Sicherheit mit demselben Schutz wie in der Unternehmenszentrale.
Das Endergebnis ist eine effektivere und konsistentere Sicherheit im gesamten erweiterten Netzwerk für kritische Infrastrukturen sowie ein vereinfachter Sicherheitsbetrieb. Unternehmen sollten diese Firewall-as-a-Platform im Hinterkopf behalten und mit den Betriebsteams zusammenarbeiten, wenn sie ihre Transformationsprojekte für kritische Netzwerk in Angriff nehmen.
