KRITIS
Armis Studie zeigt risikobehaftete OT- und ICS-Geräte der KRITIS
Erhöhtes Risiko für Industrie, Versorgungsunternehmen und Transportsektor
Armis, ein führendes Unternehmen für Asset-Sichtbarkeit und -Sicherheit, hat kürzlich eine Studie veröffentlicht, in der die gefährlichsten Geräte identifiziert wurden, die eine Bedrohung für kritische Infrastrukturen in der Fertigung, bei Versorgungsunternehmen und im Transportwesen darstellen. Die analysierten Daten, die von der Armis Asset Intelligence and Security-Plattform überwacht werden und mehr als drei Milliarden Assets umfassen, haben ergeben, dass technische Workstations, SCADA-Server, Automatisierungsserver, Data Historians und speicherprogrammierbare Steuerungen (SPS) die größten Risiken für diese Branchen im Bereich der Betriebstechnologie (OT) und industriellen Kontrollsysteme (ICS) darstellen.
Prioritätensetzung und Schwachstellenmanagement bleiben eine Herausforderung
Eine Untersuchung hat ergeben, dass technische Workstations in den letzten zwei Monaten die meisten Angriffsversuche in der Branche verzeichneten, gefolgt von SCADA-Servern. 56 Prozent der technischen Workstations weisen mindestens eine ungepatchte kritische Schwachstelle (Common Vulnerabilities and Exposures, CVEs) auf, und 16 Prozent sind anfällig für mindestens eine gefährliche CVE, die vor mehr als 18 Monaten veröffentlicht wurde.
Unterbrechungsfreie Stromversorgungen (USV) waren der dritthäufigste Gerätetyp, der in den letzten zwei Monaten Angriffsversuchen ausgesetzt war. Obwohl sie für die Aufrechterhaltung der Kontinuität bei Stromausfällen entscheidend sind, zeigen die Daten, dass 60 Prozent der USV-Geräte mindestens eine ungepatchte CVE-Schwachstelle mit kritischem Schweregrad aufweisen, die, wie von TLStorm gezeigt, Cyberkriminelle dazu verleiten könnte, das Gerät selbst oder andere damit verbundene Assets zu schädigen. Ein weiteres Beispiel sind speicherprogrammierbare Steuerungen (SPS), bei denen 41 Prozent mindestens eine ungepatchte CVE mit kritischem Schweregrad aufweisen. Diese älteren Geräte sind von großer Bedeutung, da ein Angriff zu Unterbrechungen der zentralen Abläufe führen könnte. Die Untersuchung hat jedoch gezeigt, dass sie anfällig für hohe Risikofaktoren sind, wie beispielsweise nicht mehr unterstützte Hardware oder Firmware.
Eine Reihe weiterer Geräte birgt Risiken für Produktions-, Transport- und Versorgungsumgebungen, da für sie mindestens eine gefährliche CVE vor Januar 2022 veröffentlicht wurde: 85 Prozent der Barcode-Lesegeräte, 32 Prozent der industriellen Managed Switches, 28 Prozent der IP-Kameras und 10 Prozent der Drucker.
OT-Unternehmen zeichnen sich branchenübergreifend dadurch aus, dass sie über mehrere Standorte, mehrere Produktionslinien und komplexe Verteilungslinien mit einer großen Anzahl von verwalteten und nicht verwalteten Geräten in ihren Netzwerken verfügen. In diesem Zusammenhang ist es eine große Herausforderung, zu verstehen, woher das Risiko kommt und welche Abhilfemaßnahmen erforderlich sind. Dies kann ein Hindernis für das Schwachstellenmanagement sein und stellt einen Einstiegspunkt für Bedrohungsakteure dar.
„In einer ICS-Umgebung sind anfällige Geräte üblich, so dass Fachleute sehen müssen, welche Assets sich in ihrem Netzwerk befinden und zusätzliche Informationen darüber, was diese Geräte tatsächlich tun“, erläutert Nadir Izrael, CTO und Mitbegründer von Armis. „Mit kontextbezogenen Daten können Teams definieren, welches Risiko jedes Gerät für die OT-Umgebung darstellt, so dass sie die Behebung kritischer und/oder ausnutzbarer Schwachstellen priorisieren können, um die Angriffsfläche schnell zu reduzieren.“
Es besteht ein Bedarf an Zusammenarbeit zwischen OT- und IT-Teams
Branchen mit OT haben sich in den letzten Jahren durch die Konvergenz von OT und IT erheblich verändert. Diese Angleichung leitet eine neue Phase des Industriezeitalters ein und ermöglicht eine bereichsübergreifende Zusammenarbeit, doch in der Praxis muss eine einheitliche Verwaltung beider Umgebungen erst noch erfolgen. Da sich die OT-Teams auf die Wartung industrieller Kontrollsysteme, die Abschwächung von Risiken für die OT und die Sicherstellung der Gesamtintegrität innerhalb der Betriebsumgebungen konzentrieren, wurden die eher IT-bezogenen Aufgaben vernachlässigt.
Vier der fünf risikoreichsten Geräte laufen mit Windows-Betriebssystemen, was zeigt, dass ein grundlegendes Verständnis des Anlagenrisikos und der Sicherung gefährdeter Anlagen immer noch eine Herausforderung für IT- und OT-Teams darstellt. Armis untersuchte die Gerätetypen und stellte fest, dass viele von ihnen anfälliger für bösartige Aktivitäten sind, weil sie das SMBv.1-Protokoll, nicht mehr unterstützte Betriebssysteme und viele offene Ports verwenden. SMBv.1 ist ein veraltetes, unverschlüsseltes und kompliziertes Protokoll mit Schwachstellen, die bei den berüchtigten Wannacry- und NotPetya-Angriffen ins Visier genommen wurden. Sicherheitsexperten rieten Unternehmen zuvor, dieses Protokoll nicht mehr zu verwenden, die Daten zeigen aber, dass es noch in diesem Bereich eingesetzt wird.
„Aus organisatorischer Sicht muss ein risikobasierter Ansatz für das Schwachstellenmanagement Hand in Hand mit der Zusammenarbeit von OT- und IT-Abteilungen gehen, um die Bemühungen zur Schadensbegrenzung zu koordinieren“, führt Izrael aus. „Abteilungsübergreifende Projekte tragen dazu bei, Prozesse und Ressourcenmanagement zu rationalisieren und die Einhaltung von Vorschriften und die Datensicherheit zu verbessern. Um die Herausforderungen des neuen Industriezeitalters zu meistern, benötigen Sicherheitsexperten eine IT/OT-Konvergenz-Sicherheitslösung, die alle mit dem Netzwerk verbundenen Anlagen schützt.“
Die Armis Unified Asset Intelligence-Plattform erkennt alle angeschlossenen Assets, stellt die Kommunikation und die Beziehungen zwischen ihnen dar und fügt kontextbezogene Informationen hinzu, um ihren Kontext und das Risiko, das sie für das Unternehmen darstellen können, zu verstehen. Sie wurde speziell für den Schutz von OT- und IT-Umgebungen entwickelt und kann aussagekräftige Signale von Hunderten von IT- und OT-Plattformen aufnehmen. Die Cloud-basierte Bedrohungserkennungs-Engine nutzt maschinelles Lernen und künstliche Intelligenz, um zu erkennen, wenn ein Gerät außerhalb seines normalen, als gut bekannten Zustands arbeitet, und löst eine automatische Reaktion aus, um die Verwaltung der gesamten Angriffsfläche zu erleichtern.
Armis wurde von ISG zum 3. Mal in Folge als OT Security Leader im Bericht „ISG Provider Manufacturing Security Services“ für das Jahr 2022 ausgezeichnet: OT-Sicherheitslösungen". Und wurde im 3. Jahr in Folge im „Gartner Market Guide for Operational Technology Security” als „Representative Vendor“ ausgezeichnet.
Armis stoppt Bedrohungen und schützt globale Unternehmen wie Colgate-Palmolive und Fortive. Zudem unterstützt der Anbieter Versorgungsunternehmen, Transportunternehmen und führende Hersteller dabei, rund um die Uhr und 365 Tage im Jahr online zu bleiben.
Methodologie
Armis berechnete das Geräterisiko, indem es alle Geräte auf der Armis Asset Intelligence and Security Plattform betrachtete und feststellte, welche Typen den höchsten Risikofaktor und/oder die häufigsten Schwachstellen und Gefährdungen (CVEs) aufweisen. Darüber hinaus hatten der Grad der geschäftlichen Auswirkungen und der Schutz der Endgeräte einen gewichteten Einfluss auf die Ergebnisse.
