gesponsertBedrohungen in Echtzeit Wie funktioniert OT Zero Trust?

Ähnlich der IT-Welt bedeutet Zero Trust auch in der OT-Welt: Kein Vertrauen. Der wichtige Unterschied besteht jedoch darin nicht Anwender, sondern Geräte kontinuierlich zu überprüfen.

Geräte, Daten und intelligente Maschinen sollten unter der Prämisse behandelt werden, dass alle betrieblichen Assets und dort stattfindenden Aktivitäten nicht vertrauenswürdig sind. OT Zero Trust-Richtlinien versetzen OT-Security-Teams in die Lage, Bedrohungen in Echtzeit zu erkennen und Compliance-Vorschriften wie NIS-2 einzuhalten. Gleichzeitig lassen sich Produktivitätsziele und geschäftskritische Aufgaben erfüllen.

Dennoch müssen sie wachsam bleiben, beispielsweise wenn ein Roboterarm im Wartungsmodus gerade Daten an HMIs überträgt. Ein Vorteil des Konzepts ist die Möglichkeit, den Status Quo von Assets zu überwachen und die Berechtigungen situativ einzuschränken, wenn sich ein Asset im Wartungsmodus befindet. Das OT-Team wird dann auf verdächtiges Verhalten aufmerksam und kann Fehler oder Fehlfunktionen schneller verhindern oder die betroffenen Geräte vom Netzwerk trennen.

Verschiedene Angriffsformen

OT Zero Trust von TXOne Networks beginnt mit dem Lebenszyklus von Assets, sobald ein Gerät an den Arbeitsplatz gelangt. Angreifer schleusen oft Bedrohungen in OT-Umgebungen ein, indem sie die Fähigkeit einer vertrauenswürdigen dritten Partei nutzen. Mitarbeiter können Insider-Bedrohungen wie diese durch Nachlässigkeit, oder bei kriminellen Insidern, auch durch Absicht ermöglichen. Darüber hinaus können Angriffe in der Lieferkette dadurch ausgelöst werden, dass Angreifer Malware in einem Asset verstecken, bevor der Hersteller diese ausliefert. Diese Angriffe auf die Lieferkette können sich über Nacht auf Tausende von Unternehmen auswirken. Insider-Bedrohungen und Angriffe auf die Lieferkette, die durch das Onboarding von neuen Geräten entstehen, lassen sich gleichermaßen verhindern.

Dazu gehört unter anderem ein Scan-Verfahren für Geräte, bevor diese in einen Maschinenpark eingeführt werden. Diese Inspektion vor der Inbetriebnahme ist ein entscheidender Schritt zur Umsetzung des OT Zero Trust-Konzepts. Ein tragbares Scangerät, das von Maschine zu Maschine mitgenommen werden kann, erleichtert das Scannen von Einzel- und Air-Gapped-Systemen von einer zentralen Konsole aus. Aufgrund strenger Branchenvorschriften, die die Installation von Software untersagen, sind Einzelsysteme äußerst schwierig zu scannen.

Trust-Listen

OT Zero Trust basiert auf der Verwendung von Trust-Listen für das Management von Anwendungsprivilegien auf Endgeräten und Asset-Privilegien in Netzwerken. Auf der Endpunktebene können sie die Ausführung nicht autorisierter Anwendungen verhindern und sicherstellen, dass nur vertrauenswürdige Benutzer Änderungen an Konfigurationen oder Daten vornehmen können.

Bei festinstallierten und älteren Assets wird eine solche Liste verwendet, um sicherzustellen, dass nur Anwendungen, die mit der Betriebsfunktion des Endpunkts in Zusammenhang stehen, ausgeführt werden. Für moderne Maschinen, die über mehr Ressourcen verfügen und bei der Ausführung einer größeren Vielfalt von Aufgaben flexibel bleiben müssen, kann die Liste durch maschinelles Lernen und eine Bibliothek genehmigter ICS-Anwendungen und -Zertifikate erweitert werden. Bereits genehmigte und verifizierte Anwendungen können von Scans ausgeschlossen werden, um ungestört zu arbeiten.

Der meiste Datenverkehr passt in die vordefinierten Regeln, Ausnahmen bestätigen jedoch die Regel. Wenn dieser Verkehr im Netzwerk versiegelt wird und spezifische Regeln aufgestellt werden, wird es für Angreifer viel schwieriger, die Assets zu infizieren oder auf sie zuzugreifen.

Fazit

OT-Security Teams können mit OT Zero Trust Geräte vor der Inbetriebnahme inspizieren, sie kontinuierlich passiv auf Malware scannen mit der SPS Detection & Response-Technologie und Netzwerke durch vordefinierte Regeln vor fremden Zugriffen schützen.

Treffen Sie TXOne Networks auf der it-sa in Halle 7, Stand 431 oder auf der SPS in Halle 6, Stand 328.

(ID:49725888)