Zero Trust

Eine bessere Cybersicherheit für OT-Umgebungen mit Zero Trust-Konzept

, München/Wien, Palo Alto Networks | Autor: Herbert Wieler

Eine bessere Cybersicherheit für OT-Umgebungen mit Zero Trust-Konzept

OT-Umgebungen schützen

Digitale Transformation und Konnektivität in OT-Umgebungen eröffnen vielversprechende Möglichkeiten. Lagermitarbeiter können Roboter und Drohnen mit Augmented Reality (AR)-Kameras über eine schnelle 5G-Konnektivität aus der Ferne steuern, so dass sie nicht an feste OT-Terminals gebunden sind. Störungen an OT-Anlagen lassen sich jetzt aus der Ferne diagnostizieren und beheben, was Zeit und Geld spart, da kein Personal mehr für die Wartung vor Ort in geografisch verteilten Einrichtungen nötig ist. OT-Anlagen verfügen über automatische Abschaltsignale, falls ein Notfall für die Secuirty der Mitarbeiter erkannt wird. Diese Innovationen, vorangetrieben durch die Konnektivität von OT-Anlagen mit der Cloud und 5G, verbessern die betriebliche Effizienz erheblich, senken die Kosten und erhöhen die Arbeitssicherheit. Die zunehmende Konnektivität birgt jedoch auch große Risiken für den Betrieb.

Branchen wie die Fertigungsindustrie, die Energiewirtschaft und Versorgungsunternehmen stehen heute vor einer unglaublichen Herausforderung – Sicherheitsverletzungen in ihren OT-Umgebungen, die den Betrieb zum Erliegen bringen könnten. Eine plötzliche Unterbrechung des Betriebs aufgrund einer Sicherheitsverletzung kann sich auf den Umsatz, die Marke, die SLAs der Lieferkette und die Arbeitssicherheit auswirken. Laut dem FBI Internet Crime Report 2021 gab es in der US-amerikanischen Fertigungsindustrie seit dem Hackerangriff auf Colonial Pipeline im Mai 2021 mehr als 60 Angriffe – das sind etwa zehn erfolgreiche Ransomware-Angriffe pro Monat.

Entscheider in Industrieunternehmen tun sich schwer, ihre OT-Umgebungen zu schützen

Entscheider in Unternehmen stehen vor dem schwierigen Spagat, Verfügbarkeit, Betriebszeit und Arbeitssicherheit aufrechtzuerhalten und gleichzeitig erstklassige Cyber Security zu implementieren und zu gewährleisten. Sicherheitsteams sehen sich mit drei großen Herausforderungen konfrontiert: mangelnde Sichtbarkeit von OT-Anlagen, unzureichende Sicherheit und Abdeckung neuer Angriffsflächen, wie z. B. Remote-Betrieb und mit 5G und der Cloud verbundene OT-Anlagen. Hinzukommt die betriebliche Komplexität der Bereitstellung und Verwaltung von isolierten Sicherheitslösungen.

Die Realisierung von 24×7-Betrieb mit effektiver Sicherheit erfordert auch im OT-Umfeld einen Zero-Trust-Ansatz, meint Palo Alto Networks .

Dies ist die einzige Möglichkeit, um vernetzte OT-Umgebungen in OT-Anlagen und an entfernten Standorten, den Remote-Betrieb und neu entstehende 5G- und Cloud-verbundene OT- und IoT-Anlagen umfassend und konsistent zu schützen. Dies erfordert eine umfassende Zero Trust-Sicherheitslösung für OT-Anlagen, Netzwerke, Remote-Betrieb und 5G.

Zero Trust basiert auf dem Grundsatz „never trust, always verify“ und hilft dabei, moderne OT-Umgebungen zu schützen, indem es drei grundlegende Prinzipien nutzt.

  • Zugriffskontrolle mit geringsten Privilegien, die eine kontextbezogene Segmentierung und minimale Zugriffsrichtlinien für Ressourcen nutzt.
  • Kontinuierliche Überprüfung der Identität, des Verhaltens und der Risikostrukturen von OT-Ressourcen.
  • Kontinuierliche Sicherheitsinspektionen des gesamten Netzwerkverkehrs und der OT-Prozesse, selbst bei erlaubter Kommunikation, um Zero-Day-Bedrohungen zu verhindern.

Diese Prinzipien beruhen auf einer uneingeschränkten Sichtbarkeit der OT-Assets, der OT-Remote-Anwendungen und der Risikopositionen. Während die meisten Lösungen sich auf Schritt eins beschränken und dem „Allow and ignore“-Modell folgen, deckt Palo Alto Networks OT Security alle drei Prinzipien ab. Die Zero-Trust-Funktionen ermöglichen eine sichere digitale Transformation bei gleichzeitiger Aufrechterhaltung eines unterbrechungsfreien Betriebs.

Mit einer Zero Trust OT Security-Lösung können Unternehmen umfassende Sichtbarkeit erreichen. In einer typischen OT-Umgebung gibt es drei Arten von OT- und IoT-Ressourcen:

  • OT-Ressourcen, die unternehmenskritisch sind, wie verteilte Steuerungssysteme (DCS), industrielle Steuerungssysteme (ICS), Mensch-Maschine-Schnittstellen (HMI), programmierbare Logiksteuerungen (PLC), Remote Terminal Units (RTU), Überwachungssteuerungs- und Datenerfassungssysteme (SCADA) und ältere Jump-Server.
  • Zu den Gebäudemanagementsystemen gehören Heizungs-, Lüftungs- und Klimaanlagen (HVAC) sowie Beleuchtungs-, Sprinkler- und Brandmeldesysteme.
  • Zu den gängigen IoT-Geräten in Unternehmen zählen Sicherheitskameras, Drucker, VoIP-Telefone und Tablets.

Eine Zero Trust OT Security-Lösung kombiniert maschinelles Lernen (ML) mit Crowdsourced Telemetry, um alle IT- und OT-Geräte, Anwendungen und Benutzer zu identifizieren. Sie erkennt mehr als 300 einzigartige Asset-Profile und mehr als 1.000 OT/ICS-Anwendungen. Dies hilft Unternehmen, ein umfassendes Inventar der OT-Assets zu erstellen und zu verstehen, welche Assets für ihre Geschäftsprozesse am wichtigsten sind.

Darüber hinaus bewertet Zero Trust OT Security das Risiko von OT-Assets, indem es das Verhalten, die interne und externe Kommunikation sowie Warnmeldungen bei Abweichungen vom normalen Prozessverhalten überwacht. Die Identifizierung der Assets und die Risikobewertung erfolgen passiv und ohne Beeinträchtigung der OT-Prozesse.

1. Zero-Trust-Sicherheit für OT-Assets und -Netzwerke

Die Zero Trust OT Security-Lösung etabliert und erzwingt Zero Trust basierend auf ML-gestützter OT-Asset-Sichtbarkeit und Risikobewertung. Sie sichert den OT-Perimeter mit einer effektiven Segmentierung der OT-Netzwerke von der Unternehmens-IT und schützt OT-Assets mit einer weiteren Zonierung und feinkörnigen Segmentierung auf der Grundlage von OT-Asset-Risiko, Protokollkontext und Prozesskritikalität. Auf diese Weise können Unternehmen verhindern, dass Bedrohungen von ihrem IT-Netzwerk auf ihr OT-Netzwerk übergreifen. Die Lösung schlägt auf der Grundlage der Risikoanalyse automatisch Zugriffsrichtlinien mit den geringsten Privilegien vor. Unternehmen können dann die Richtlinien mit der patentierten Device-IDTM nativ auf ihrer Next-Generation-Firewall durchsetzen. Die automatischen Richtlinien helfen dabei, veraltete, anfällige und schwer zu patchende OT-Ressourcen zu schützen, die mit externen zugelassenen Anwendungen und Netzwerken kommunizieren. Darüber hinaus wird die Sicherheit des OT-Netzwerks durch eine kontinuierliche Sicherheitsüberprüfung gestärkt, indem mehr als 650 OT-spezifische Bedrohungssignaturen identifiziert und Zero-Day-Bedrohungen verhindert werden.

2. Zero-Trust-Sicherheit für den Remote-Betrieb

Die Zero Trust OT Security-Lösung ermöglicht es Unternehmen, das Prinzip der geringsten Privilegien vollständig umzusetzen, indem sie Remote-Anwendungen auf der Grundlage von App-IDs auf Layer 7 und deren Interaktionen mit den OT-Assets in ihrer Anlage oder an ihrem Standort identifiziert. Sie hilft ihnen, den Remote-Zugriff mit konsistentem Zero Trust-Least Privilege-Zugriff auf OT-Umgebungen für Dritte, Remote-Experten und Produktionsmitarbeiter zur Unterstützung des OT-Betriebs zu sichern. Mithilfe von App-ID, Device-ID und User-ID können Sicherheitsverantwortliche Richtlinien konsistent über Anwendungen, Anlagen und Benutzer hinweg durchsetzen. Die Lösung bietet eine tiefgreifende und fortlaufende Prüfung des gesamten Datenverkehrs, selbst bei erlaubten Verbindungen, um alle Bedrohungen zu verhindern, einschließlich Zero-Day-Angriffen wie C2C über DNS und Malware-Nutzdaten.

3. Zero-Trust-Sicherheit für mit 5G verbundene Anlagen und Netzwerke

Unternehmen können Zero-Trust-Sicherheit mit granularen Segmentierungsrichtlinien, die auf vollständiger Sichtbarkeit des 5G-Verkehrs basieren, durchsetzen. Die Lösung identifiziert Teilnehmer-ID, Geräte-ID, Anwendungen und 5G-Dienste in allen Anlagen und an entfernten Standorten, die auf Private Enterprise (CBRS/ LTE/ 5G) & MEC laufen. Dies hilft Unternehmen, ihre Angriffsfläche zu reduzieren, unbefugten Zugriff zu verhindern und die seitliche Verlagerung von Bedrohungen zu unterbinden. Die Zero Trust OT Security-Lösung bewertet kontinuierlich den Zustand mobiler OT-Ressourcen und beschleunigt die Reaktion auf Vorfälle, indem sie infizierte OT-Ressourcen korreliert, isoliert und von Ihrem OT-Netzwerk isoliert.

Vereinfachter Betrieb und bestmöglicher Schutz vor Bedrohungen

Zero Trust OT Security wird auf einer einheitlichen Netzwerksicherheitsplattform mit überlegener Sicherheit und konsistenten Richtlinien für OT-Umgebungen, einschließlich OT-Assets, -Anwendungen und Remote-Konnektivität, bereitgestellt. Die Lösung funktioniert unabhängig davon, wie Unternehmen ihre OT-Umgebung gestalten, von teilweise abgedeckten bis hin zu vollständig modernen 5G-fähigen Standorten. Die Vorteile der digitalen Transformation und Konnektivität in OT-Umgebungen sind unbestreitbar, bergen aber auch die Risiken. Ein Zero-Trust-Ansatz zur Sicherung anfälliger OT-Ressourcen bietet den bestmöglichen Schutz vor bekannten und unbekannten Bedrohungen und trägt zur Gewährleistung eines kontinuierlichen Betriebs bei. Darüber hinaus steigert ein Zero-Trust-Ansatz die Effizienz von IT- und OT-Mitarbeitern und ermöglicht es Unternehmen, den maximalen Nutzen aus allen Assets zu ziehen, während sie das Risiko einer Gefährdung durch Cyberbedrohungen so gering wie möglich halten.