Risk Management

OTORIO erläutert zeitgemäßes Schwachstellenmanagement

OTORIO erläutert zeitgemäßes Schwachstellenmanagement

Bewertung der digitalen OT- und Cybersicherheit auf die nächste Stufe bringen

Die digitale OT-Risikominderung ist ein iterativer Prozess, bei dem sich die Praktiker fragen müssen: Welches sind die effizientesten Risikominderungsmaßnahmen, die die effektivste Risikominderung für eine bestimmte Anlage, einen Prozess oder eine ganze Produktionsstätte erzielen?

Ben Reich, Chief Architect bei OTORIO , einem der führenden Anbieter von OT Security, erläutert die Aspekte und Prozesse zeitgemäßen Schwachstellenmanagements:

Ben Reich, Chief Architect bei OTORIO

Sobald die Maßnahmen zur Risikominderung umgesetzt sind und ein akzeptables Restrisiko verbleibt, gibt es jedoch noch mehr zu tun. Der Grund dafür ist, dass der Prozess der Risikominderung zusätzliche Risiken und Lücken identifiziert, die Teil des neu eingeführten „akzeptablen“ Restrisikos sind. Dies ist ein fortlaufender Prozess, da er es den Betriebs- und OT-Sicherheitsteams ermöglicht, sich ständig auf die Schwachstellen zu konzentrieren, die Angreifer am ehesten ausnutzen, um einem Unternehmen so viel Schaden wie möglich zuzufügen. Nur durch die wiederholte Durchführung dieser Risikobewertungsschleife können Unternehmen ihre geschäftliche Widerstandsfähigkeit erreichen, und zwar mit einem begrenzten Umfang an Ressourcen.

Ziele der Lagebeurteilung

Das Hauptziel des Bewertungsprozesses besteht darin, die Schwachstellen mit der richtigen Priorität anzugehen. In diesem Beitrag geht es darum, die Art der Schwachstellen, die Art und Weise, wie sie bewertet werden sollten, und ihre Anwendung auf die digitale OT-Sicherheit zu untersuchen.

Das NIST (National Institute of Standards and Technology) definiert eine Schwachstelle wie folgt: „Eine Schwachstelle in der Rechenlogik (z. B. Code) von Software- und Hardwarekomponenten, die, wenn sie ausgenutzt wird, zu einer negativen Auswirkung auf die Vertraulichkeit, Integrität oder Verfügbarkeit führt.

Die Behebung der Schwachstellen in diesem Zusammenhang umfasst in der Regel Änderungen am Code, kann aber auch Änderungen an der Spezifikation oder sogar die Abschaffung der Spezifikation (z. B. die vollständige Entfernung der betroffenen Protokolle oder Funktionen) beinhalten.“ Schwachstellen sind also bekannte Mängel in der Sicherheitslage eines Unternehmens. Deren Behebung kann Abhilfemaßnahmen wie die Aktualisierung einer Softwareversion, die Deaktivierung eines Kommunikationsprotokolls oder die Aktualisierung eines Passworts umfassen.

Die Beziehung zwischen Anlageninventar und OT-Schwachstellen

Die Erstellung eines genauen, kontextbezogenen und detaillierten Bestandsverzeichnisses der Anlagen ist der erste Schritt bei der Entwicklung eines effektiven Verfahrens zur Analyse von OT-Schwachstellen. Das Inventar sollte Software- und Versionsdaten, Anlagenverbindungen, Status und Verwaltungsinformationen (z. B. Eigentümer, Betriebsrolle, Funktion) enthalten. Eine aktuelle und genaue Bestandsaufnahme spiegelt verschiedene Aspekte des Anlagenzustands wider.

Nach einer ersten Bestandsaufnahme können die Schwachstellen mit den entsprechenden Anlagen verknüpft werden. Diese Zuordnung sollte über einen automatisierten Prozess erfolgen, insbesondere bei einer großen Anzahl von Anlagen. Dazu muss ein Algorithmus erstellt und verwendet werden, der halbstrukturierte Schwachstellendaten mit Anlagen im Netzwerk verknüpfen kann. Die CVE-Datenbank (Common Vulnerabilities and Exposures) des NIST enthält derzeit etwa 170.000 bekannte IT- und OT-Schwachstellen und ist damit eine wichtige Informationsquelle. Diese Zahl und die ständige Einführung neuer Schwachstellen verdeutlichen das Ausmaß und die Notwendigkeit, ihre Identifizierung zu automatisieren.

Quellen für Schwachstellendefinitionen

Bei der Bewertung von Schwachstellen wird der Schweregrad jeder einzelnen Schwachstelle anhand eines Schwachstellenindexes quantifiziert. Eine Standardmethode zur Bewertung von Schwachstellen ist das Common Vulnerability Scoring System (CVSS) von NIST, ein Industriestandard, der bewertet, wie leicht eine Schwachstelle ausgenutzt werden kann und welche Auswirkungen dies auf Vertraulichkeit, Integrität und Verfügbarkeit haben kann. Diese drei Faktoren, auch bekannt als „CIA“, sind zugleich Variablen, die den potenziellen Schweregrad einer Bedrohung messen.

Common Vulnerabilities, also definierte gängige Schwachstellen, allein reichen jedoch nicht aus, um die Gefährdung eines bestimmten Vermögenswerts zu bestimmen. Eine weitere Quelle zur Bestimmung ist die interne Richtlinie eines Unternehmens. Wenn eine solche Richtlinie beispielsweise vorschreibt, dass Passwörter mittlerer Stärke eine Schwachstelle darstellen, muss dies bei der Berechnung der Schwachstelle des Assets berücksichtigt werden. Unternehmensspezifische Sicherheitsmängel sind die primäre Möglichkeit für Praktiker, Richtlinien als Faktor bei der Bewertung von Schwachstellen zu berücksichtigen.

Branchenstandards und Best Practices sind ebenfalls wichtige Quellen für Schwachstellen, die zum Risiko beitragen. Beispiele für Industrienormen sind ISA/IEC 62443 in Europa und NERC CIP in Nordamerika. Die Nichteinhaltung von Best Practices kann zu Problemen wie einer zulässigen Segmentierungskonfiguration, dem Fehlen von EDR-Agenten und einer ungerechtfertigten Kommunikation zwischen IT- und OT-Bereichen im Netzwerk führen. Diese müssen in eine allumfassende Schwachstellendatenbank aufgenommen werden, wo sie von Fachleuten geändert werden können, wenn sich Branchenstandards und Best Practices weiterentwickeln.

Bewertung von Schwachstellen

Praktiker sollten organisationsspezifische Schwachstellen mit Hilfe des CVSS-Systems bewerten und sie auf dieselbe Skala wie allgemeine Schwachstellen setzen. Die Schwachstellendatenbank sollte so flexibel sein, dass der Praktiker die Bewertung der Schwachstellen auf der Grundlage der Unternehmensrichtlinien beeinflussen kann. Da jeder Anlagenzustand eine Schwachstelle darstellen kann, ist es ratsam, einen Algorithmus einzusetzen, der die Unternehmensrichtlinien auf alle Anlagenzustände anwendet.

Die Grundlage für die richtigen Entscheidungen über die Sicherheitslage ist daher die konsistente Verwendung einer Schwachstellendatenbank, in der alle Schwachstellen nach einer Standardmethode bewertet werden. Auf diese Weise kann ein Unternehmen anhand des Risikos Prioritäten bei der Schadensbegrenzung setzen.

Anpassung der Schwachstellen- und Risikoberechnung für OT-Umgebungen

Aus Unternehmen ist immer wieder zu hören, dass Vertraulichkeit, Datenintegrität und Verfügbarkeit ihre Bedenken in Bezug auf OT-Umgebungen nicht angemessen widerspiegeln. Stattdessen müssen die OT-KPIs Parameter wie Sicherheit und Geschäftskontinuität widerspiegeln.

Dies ist zwar ein stichhaltiger Punkt, aber es gibt drei Gründe, warum sich die Diskussion über OT-Schwachstellen um diese Definitionen dreht:

  1. Die Änderungen der OT-KPIs in Bezug auf die Cybersicherheit sind das Ergebnis der oben genannten „Auswirkungen“ (d. h. Vertraulichkeit, Integrität, Verfügbarkeit).
  2. Da sich die Schwachstellen auf digitale Werte konzentrieren, müssen sie durch das Prisma der Cybersicherheits-Branchenstandards gemessen werden.
  3. Es macht die Bewertung aller Schwachstellen auf einer einzigen Skala viel weniger arbeitsintensiv.

Diese Logik schließt eine Bezugnahme auf OT-KPIs im Risikomodell nicht aus. Das Risikomodell berücksichtigt OT-KPIs als Folge von Vertraulichkeit, Integrität und Verfügbarkeit. Dies geschieht durch einen Zuordnungsprozess, der wiederum ein eigenes Thema darstellt.

Fazit

Schwachstellen sind eine der vier Risikokomponenten und ein wichtiger Faktor bei der Posture-Analyse. Eine große Herausforderung ist der Aufbau und die Pflege einer Schwachstellendatenbank, die auf Anlagen angewendet werden kann, um Entscheidungen über die Priorisierung von Abhilfemaßnahmen zu treffen.

Die Grundlage für jede gute Bewertung ist eine angemessene Erfassung der Schwachstellen. Dies ist ein Prozess, der mehrere Schritte umfasst:

  • Durchführung eines automatisierten Prozesses zur Erstellung eines genauen und detaillierten Bestandsverzeichnisses der Anlagen.
  • Sammeln allgemeiner Schwachstellen aus der CVE-Datenbank.
  • Verwendung von Unternehmensrichtlinien, Best Practices und Industriestandards zur Vervollständigung des gesamten Satzes von Schwachstellen.
  • Überprüfen der Schwachstellenbewertung und Anwenden von organisationsspezifischen Änderungen, falls erforderlich.
  • Anwendung der Schwachstellen auf die verschiedenen Anlagen.
  • Verwendung von Schwachstellendaten bei der Risikoberechnung.
  • Anhand des Risikos bestimmen und priorisieren, welche Schwachstellen entschärft werden müssen.

Die beste Möglichkeit, Schwachstellen zu bewerten, ist die Einhaltung des CVSS-Systems. Dadurch vermeiden Unternehmen, dass sie alle gängigen Schwachstellen neu bewerten müssen, und können gleichzeitig den Industriestandard einhalten. Aufgrund des Umfangs und der Größenordnung dieses Prozesses ist es notwendig, ihn zu automatisieren. Auf diese Weise kann ein Unternehmen regelmäßig eine konsistente und skalierbare Bewertung der Sicherheitslage vornehmen, die es ermöglicht, die Bewertungen im Laufe der Zeit zu vergleichen und Trends bei der Sicherheitslage festzustellen.