Zero Trust auch für mobile Geräte im IoT/OT-Bereich
Zero Trust-Sicherheit für alle Übertragungskanäle auch im IoT/OT-Bereich
Zero Trust auch für mobile Geräte im IoT/OT-Bereich
Von Simon Lindermann, Principal Sales Engineer bei Zscaler
Zero Trust ist aus der IT-Sicherheit längst nicht mehr wegzudenken.
In Zeiten einer weitgehenden Vernetzung und flexiblen IT-Nutzung sowie einer verschärften Cyber-Bedrohungslage kann jedes Gerät zum Einfallstor für Angriffe werden. Wo herkömmliche Sicherheitsansätze versagen, kommt Zero Trust ins Spiel und sorgt dafür, dass Usern oder Geräten nur so viele Berechtigungen eingeräumt werden, wie diese unbedingt benötigen.
Doch bisher endete Sicherheit an den Grenzen der klassischen Vernetzung. Geräte, die über Mobilfunk oder SIM-basiert kommunizieren, wurden noch nicht unter einen einheitlichen Zero Trust-Schutzschirm geholt. Doch gerade hier können Angriffe auf IT-Infrastrukturen ihren Ausgangspunkt nehmen, die sich dann – einmal in der Unternehmensumgebung angelangt – beliebig horizontal ausbreiten können.
Der typische Cyberangriff
Um die Funktionsweise von Zero Trust zu verstehen, muss man die einzelnen Schritte eines Cyberangriffes betrachten. An jeder Stufe der Angriffskette kann ein Plattform-basierter Sicherheitsansatz den Angreifern Einhalt gewähren. Ein Cyberangriff läuft meist in den folgenden Schritten ab.
1. Angriffsfläche auskundschaften
Zuerst suchen Bedrohungsakteure nach den Angriffsflächen eines Unternehmens. Wo können sie am besten ins System eindringen? Welche Endpunkte sind am wenigsten geschützt, wo bestehen Schwachstellen in der Infrastruktur, die über das Internet auffindbar sind? Gerade mit der Verbreitung von IoT-Geräten und mobilen Dingen jeder Art – vom Handheld bis zum Fahrzeug – vergrößert sich die Zahl potenzieller Einfallstore. Das gilt auch in Produktions- oder klassischen OT-Umgebungen, deren Sicherheitsbarrieren niedriger sind.
2. System kompromittieren
Als nächstes überlegen sich Angreifer, wie sie ein System kompromittieren können. Ist ein wunder Punkt gefunden, wie ein User, dessen Login-Daten erbeutet wurden, oder Hardware mit Schutzlücken, werden Techniken und Vorgehensweisen geplant, um diese Schwachstellen auszunutzen und somit in das System zu gelangen. Hier spielen Schwachstellen in der OT, die aufgrund nicht vorhandener Wartungsfenster nicht gepatched werden können, den Angreifern in die Hände. Ebenso IoT-Geräte, die zu selten aktualisiert werden oder veraltete Software einsetzen, die nicht mehr über die aktuellste Sicherheit verfügt. Gerade in OT-Umgebungen mit mangelhafter Nachrüstbarkeit von Sicherheit ist dies ein ernsthaftes Problem.
3. Laterale Ausbreitung in der IT-Umgebung
War die Kompromittierung erfolgreich, will sich der Malware-Akteur in der Unternehmensumgebung ausbreiten. Denn das kompromittierte Gerät oder der User sind selten das finale Ziel. Sie dienen lediglich als Türöffner. Einmal im System, gelangt der Angreifer meist ohne größere Hindernisse zu den sensiblen Daten, auf die er es abgesehen hat, wenn keine Mikrosegmentierung im Einsatz ist. Ohne Zero Trust ist diese horizontale Bewegung nur sehr aufwendig einzudämmen.
4. Informationen abgreifen
Ist der Angreifer bis zu kritischen Informationen vorgedrungen, werden in einem letzten Schritt sensible Daten entwendet oder verschlüsselt. Aus diesen wertvollen Daten schlagen die Hacker Profit, indem sie Lösegeld erpressen oder die Datensätze auf dem Schwarzmarkt zu Geld machen.
Wie kann Zero Trust jeden Schritt unterbinden?
Beim Zero Trust-Konzept handelt es sich um ein Rahmenwerk, das an jedem einzelnen dieser Schritte in der Angriffskette greift und das Vorgehen von Malware-Akteuren unterbindet. Durch kontinuierliche Überprüfung aller in- und outbound Datenströme, stetige Weiterentwicklung von Unternehmensrichtlinien mit Zugriffsberechtigungen auf Applikationsebene und Risikoevaluierung können Angreifer abgehalten oder frühzeitig entdeckt werden, wenn sie einmal in die IT-Umgebung gelangt sind. Zusätzlich wird die Angriffsfläche durch eine Zero Trust-Plattform von vornherein minimiert, indem Geräte nicht mehr im Internet exponiert sind.
Ein Zero Trust-Sicherheitsmodell überprüft anhand des Least Privileged Access-Prinzips, ob ein User oder Gerät vertrauenswürdig ist, um Zugriff auf Anwendungen oder Daten bzw. OT-Umgebungen zu erhalten. Ein User oder Gerät muss sich als erstes identifizieren, damit Zugangsrechte eingeräumt werden. Im Anschluss wird von einem Broker überprüft, worauf der User oder das Gerät Zugriff anfordert und ob dafür die entsprechende Berechtigung vorliegt. Hier wird beispielsweise anhand von hinterlegten Richtlinien evaluiert, ob Zugriffsrechte für ein Gerät oder eine Anwendung vorhanden sind.
Scheint die Anfrage legitim, wird eine Risikoanalyse vorgenommen, die auch Kontextfaktoren einbezieht. Hier wird beispielsweise überprüft, mit welchen Webseiten in der Vergangenheit gearbeitet wurde und ob diese vertrauenswürdig waren. In diesem Schritt kann auch überwacht werden, ob eine große Menge an Daten auf eine Cloud-Anwendung ausgelagert werden soll. Dabei wird ein individueller Risiko-Score für User und Gerät (Server oder Workloads in der Cloud) verteilt und so festgestellt, wie vertrauenswürdig die jeweiligen Anfragen sind.
Durch eine solche Vorgehensweise kann dann entschieden werden, welcher Zugang erlaubt oder geblockt wird. In der Vergangenheit mit traditionellen Sicherheitskonzepten war dies meist eine entweder/oder-Entscheidung: Entweder wurde die Berechtigung zum Zugriff auf die gesamte Netzwerkumgebung erteilt oder aber blockiert. Mit Hilfe einer Zero Trust-Plattform ist eine granularere Abstufung der Berechtigungen möglich. Es kann ein User etwa auf mögliche Gefahrenpotentiale hingewiesen werden, bevor er eine Berechtigung erhält. Oder der Zugriff wird erlaubt, aber der User in einer Umgebung isoliert, sodass er lediglich Einblick erhält, aber keine Daten abziehen kann.
IoT- und OT-Geräte im Fokus
Die Hauptquelle für risikoreiches Verhalten ist und bleibt der User. Mit der zunehmenden Anzahl mobiler oder vernetzter Geräte sollte der Blick auch auf die Datenströme von IoT- und OT-Elementen gelegt werden. Solche Geräte können genauso zur erfolgreichen Malware-Infiltrierung benutzt werden wie der einzelne User. Bisher sind mobile Geräte oder Dinge nur unzureichend oder gar nicht in den Zero Trust-Schutzschirm eingebunden, da die Datenströme nicht an den Broker zur Richtlinienüberprüfung weitergeleitet werden konnten. Die Datenströme wurden über Mobilfunkanbieter weitergeleitet, konnten aber aufgrund der Mobilität der Quelle oder der dezentralen Vorhaltung von Sensoren oder Mobilgeräten nicht flächendeckend überwacht werden.
Die Herausforderung besteht im mobilen IoT-Bereich darüber hinaus darin, dass diese Systeme oft ungeschützt über das Internet erreichbar sind. Sie basieren auf Weboberflächen zum Monitoring oder für Wartungszwecke, über die auf die Systeme zugegriffen werden kann. Und genau hier greifen die Bedrohungsakteure ein und nutzen ungeschützte Schwachstellen aus. Erschwerend kommt hinzu, dass gerade im OT-Bereich viele veraltete Systeme im Einsatz sind, die nicht mehr mit Updates oder Patches unterstützt werden. Angreifer finden leicht eine Schwachstelle in diesen Legacy-Systemen und nutzen diese als Angriffsvektor.
Eine besondere Herausforderung stellen dabei mobile Geräte dar, die dort im Einsatz sind, wo eine WLAN- oder LAN-Verbindung unmöglich ist. Auf diesen Geräten kann meist keine Software und somit auch keine Sicherheitsfunktion installiert werden. Beispiele dafür wären Sensoren im Smart Farming, die Temperaturen messen oder dezentral vorgehaltene Point of Sales- oder Logistik-Anwendungen. Auch E-Ladesäulen an abgelegenen Orten werden zu Abrechnungszwecken mit SIM-Karten betrieben.
Zero Trust Everywhere
Mit Zero Trust waren bislang nur die Bereiche geschützt, die eine klassische Anbindung über WLAN oder LAN besitzen. Doch mit Technologien wie Smart Farming, Smart Home und vielen anderen mobilen Devices oder sogar Fahrzeugen, welche verstärkt auch in der Industrie zum Einsatz kommen, reicht das nicht mehr aus. Zero Trust muss auch auf diese Geräte anwendbar sein, will man verhindern, dass sich Cyber-Kriminelle diese Angriffspunkte zunutze machen. Unternehmen sollten daher darauf achten, dass ihre mobilen Geräte oder Dinge, welche mit SIM oder eSIM betrieben werden, ebenso geschützt sind, wie herkömmliche IT/OT-Systeme.
Mit Hilfe von Zscaler Cellular, speziellen SIM-Karten und der universellen Zero Trust Exchange Sicherheitsplattform können heute auch die Datenströme aller mobilen Dinge an den Sicherheits-Broker weitergeleitet werden und unter den universellen Zero Trust-Schutzschirm gelangen.
