Fünf Tipps für sicheres „Industrielles Internet der Dinge“

IIoT-Architekturen haben großes Potenzial. Was bei aller Euphorie nicht vergessen werden darf: Es bestehen auch Sicherheitsrisiken. [...]

Viele Unternehmen erkennen darüber hinaus zwar die Bedeutung von granularer Transparenz und Kontrolle über den Datenverkehr in das OT-Rechenzentrum. Der Datenverkehr zwischen virtuellen Maschinen (VMs) wird jedoch eher selten diskutiert. Dies ist im Wesentlichen ein blinder Fleck. Die andere Sorge ist, Malware in der VM-Domain. Wenn Malware auf eine VM gelangt, ist es aufgrund der flachen Umgebung ziemlich einfach, dass sie sich auf verschiedene VMs verbreitet. Daraus ergibt sich eine sehr reale Sorge, was die IIoT-Zukunft betrifft.

ALLE RISIKEN ERFASSEN

Da die Unternehmen bereits die nächste Generation von Automatisierungsinfrastrukturen planen, müssen sie Cybersicherheit in den Planungsprozess einbinden und dafür sorgen, dass alle Sicherheitsrisiken erfasst werden.

Die folgenden Aspekte sollten nach Meinung von Palo Alto Networks bei der IIoT-Infrastrukturplanung berücksichtigt werden:

1. Layer-7-Inspektionstechnologien zur Verbesserung der Sichtbarkeiteinsetzen.

Ein detaillierterer Einblick in Anwendungen, Benutzerinformationen und Inhalte ermöglicht es der IT, die reguläre Nutzung zu überwachen und Anomalien zu identifizieren. Granulare Sichtbarkeit auf ICS-Protokolle ist hilfreich, um den Verkehr von Maschine zu Maschine überwachen. Sichtbarkeit auf ICS sowie Unterstützung von Geschäftsanwendungen und Internet-basierten Anwendungen ist ebenso wichtig. Gleiches gilt für die Verknüpfung dieser Informationen mit den Benutzern und die Inspizierung aller Anwendungen auf bekannte oder potenziell schädliche Inhalte. Next-Generation-Firewalls, die fortschrittliche Deep-Packet-Inspection-Technologien verwenden, bieten diese Fähigkeit.

2. Zero-Trust-Netzwerksegmentierung einrichten.

Wenden Sie Netzwerksegmentierung entsprechend den ICS-Sicherheitsstandards an. Richten Sie Sicherheitszonen ein, in denen der Verkehr durch eine Firewall der nächsten Generation geschleust wird, die als Segmentierungs-Gateway dient. Es ist wichtig, dass Zero-Trust-Konzepte gelten, in denen der Zugriff auf Basis von geringstmöglichen Privilegien erlaubt ist – und nur für Benutzer, deren Rollen im Einklang mit diesen Zugriff stehen. Dieser Ansatz ermöglicht eine erhebliche Verringerung in der Anzahl von möglichen Angriffsvektoren und verhilft auch zu einer besseren Korrelation von Daten zu Anwendung, Benutzer und Bedrohung.

3. Moderne Tools zur Verhinderung von Zero-Day-Attacken einsetzen.

Tools, die Zero-Day-Bedrohungen sowohl auf Netzwerk- als auch Endpunktebene erkennen und verhindern können, sind unverzichtbar. Mit erweiterten Malware-Sandbox-Lösungen lassen sich Zero-Days in On-Premise- und Public-Cloud-Implementierungen auf Netzwerkebene stoppen. Sie sollten auch erweiterte Endpunktschutz-Technologien einsetzen, die fortschrittliche Technik einsetzen und gegen Zero-Day-Angriffe sehr wirksam sind. Solche Tools sind zum Schutz der vielen ungepatchten Systeme vor bekannten und unbekannten Exploits und Malware sehr hilfreich.

4. Sichere mobile und virtuelle Umgebungen.

Um mögliche Bedrohungsvektoren zu reduzieren, ist es wichtig, die Anwendungen zu begrenzen, die auf mobilen Geräten ausgeführt werden dürfen. Die Geräte sollten auch auf die richtige Konfiguration hin überprüft werden, bevor sie auf das Netzwerk zugreifen dürfen. Eine VPN-Zone, die mit dem Segmentierungs-Gateway, z.B. der Next-Generation-Firewall, verbunden ist, muss eingerichtet werden, wo mobiler Traffic hereinkommt. Ebenso erforderlich ist benutzerbasierte Zugriffskontrolle auf Anwendungsebene. Dieser Verkehr muss sowohl auf bekannten als auch unbekannte Bedrohungen inspiziert werden. Für virtuelle Umgebungen bietet virtualisierte Firewall-Technologie der nächsten Generation granulare Sichtbarkeit und Zugriffskontrolle auf den Verkehr zwischen VMs.

5. Integrierte Sicherheitsplattformen statt punktueller Lösungen einsetzen.

Bei älteren ICS-Umgebungen mangelt es typischerweise an Sicherheit. Sind in irgendeiner Form Schutzmaßnahmen implementiert, handelt es sich meist um punktuelle Lösungen, die nicht gut zusammenarbeiten. Dies führt zu Herausforderungen bei der Performance, Forensik, Reaktion auf Vorfälle und Administration. Next-Generation-Firewalls können dieses Problem lösen, indem sie alle erforderlichen Funktionen in einer zusammenhängenden Plattform konsolidieren. Diese korreliert die Informationen nativ, ist einfach zu verwalten und punktet obendrein mit einer hohen Performance. Einige Lösungen dieser Art bieten auch Sicherheit für mobile und virtuelle Umgebungen, direkt integriert mit der Next-Generation-Firewall-Architektur und zentral verwaltet über eine gemeinsame Schnittstelle. Ein neues Modell ist die direkte Interaktion der erweiterten Endpunktsicherheit mit einer zentralen Cloud-Bedrohungsanalyse. Diese automatisiert die fortschrittliche Bedrohungsanalyse und dient als Brücke für das Teilen von Informationen zwischen Netzwerk und Endpunkten oder auch innerhalb einer Gemeinschaft von Endanwendern.

IoT wird ohne Zweifel für die Unternehmen eine Menge Vorteile bieten. Für die Entscheider ist es jedoch sehr wichtig, in vollem Umfang die Sicherheitsaspekte zu verstehen, vor allem im Hinblick auf Cyberbedrohungen, die sich gegen ICS richten. Diese nehmen nicht nur zahlenmäßig zu, sondern auch in ihrer Raffinesse. Es sind aber bereits neuere, integrierte Cybersicherheitsplattformen verfügbar, die ein besseres Risikomanagement für IIoT-Technologien ermöglichen. Unternehmen sollten dieses Angebot unbedingt evaluieren, wenn sie planen, Sicherheitsmaßnahmen in ihre Automatisierungsinfrastruktur einzubinden. (pi)