Ist es wirklich eine gute Idee, kritische Infrastrukturen in eine Cloud-Schnittstelle einzubinden? [...]
ICS-Geräte (Industrial Control System) profitieren von der Sicherheit durch Unklarheit und Komplexität. Die Protokolle sind so einzigartig und erfordern so viel Aufwand, dass niemand außer einem motivierten Nationalstaat die Zeit und das Geld dafür aufwenden würde, herauszufinden, wie man sie angreift.
Wenn Sie diese Systeme in eine moderne IT-Cloud-Infrastruktur einbinden, kann sich plötzlich die Bandbreite der „traditionellen“ Angriffe auf ICS-/Betriebstechnik-(OT)-Systeme auswirken, einschließlich der Nutzung von entwurmbaren, ungepatchten IT-Schwachstellen.
Einige ICS-Sicherheitsanbieter bieten heute das an, was sie ICS als Service (ICSaaS) nennen; diese CSOs erklärten, dass es das sei, was der Markt verlangt. Wenn der Markt in diese Richtung tendiert, so behaupten sie, könnten wir genauso gut versuchen, es so sicher wie möglich zu tun.
„Bei falscher Vorgehensweise kann dies sehr schlecht ausgehen.“
– Joe Slowik
Bei guter Leistung kann die Fernüberwachung zur Verbesserung der Sicherheit beitragen, indem sie Sicherheitsanalysten Zugang zu Echtzeitdaten aus diesen Systemen gewährt. Dies kann besonders nützlich für kleinere Unternehmen sein, die die Remote-Telemetrie mit einem ausgelagerten Sicherheitsdienstleister teilen möchten.
Die Fernverwaltung von ICS/OT-Systemen über eine Cloud-Schnittstelle ist jedoch ein gefährliches Unterfangen, das „ein grundlegendes Umdenken in der Arbeitsweise von Unternehmen erfordert, um diesen Trend so optimal wie möglich zu gestalten“, so Joe Slowik, Adversary Hunter beim ICS-Sicherheitshersteller Dragos, CSO.
ICSaaS-Angebote
Von diesem halben Dutzend Akteuren im ICS-Sicherheitsbereich bieten mindestens zwei eine Cloud-basierte Option an. Indegys neue Cloud-Plattform CIRRUS war die erste, die auf den Markt kam und einen Überblick über OT-Systeme durch eine „IT-Linse“ bietet, die ein weitreichendes Policy- und Konfigurationsmanagement sowie die Bedrohungssuche und Dokumentation ermöglicht.
Auf die Frage nach den Bedenken, die sich aus der Cloud-Verbindung kritischer Infrastruktursysteme ergeben, antwortet Marc Gendron, PR-Person bei Indegy, CSO: „Wir fügen kein zusätzliches Risiko für eine Umgebung hinzu, die bereits mit der Cloud verbunden ist. Der Grund, warum wir das getan haben, ist, weil unsere Kunden nach dieser Möglichkeit fragen.“ Indegy reagiert nämlich auf die Anforderungen der freien Marktwirtschaft, in der sie operieren, und sie sind nicht die einzigen mit einem solchen Angebot.
„‚Wenn Sie ICS an die Cloud anbinden, wird alles gut‘, ist das ein lächerlicher Vorschlag.“
– Joe Slowik
Konkurrent Dragos kritisierte den Trend zu einer stärkeren Cloud-Integration, aber Slowik behauptet, dass der Wechsel zu ICSaaS wahrscheinlich ein unaufhaltsamer Trend ist, und die Branche ist besser dran, vom ersten Tag an auf Sicherheit zu setzen, als zu versuchen, sie nachträglich anzuschließen.
„Es gibt einen zunehmenden Trend von großen Systemanbietern hin zu Remote-Telemetrie und Cloud-basierten Verbindungen für Diagnose- und Überwachungszwecke auf operativer Ebene“, erklärt Slowik CSO. „Angesichts der Tatsache, dass dies ein Trend ist, stellt sich die Frage, wie wir dies intelligent angehen, und was dies aus Sicht des Betriebs / der Stabilität / Sicherheit bedeuten könnte, während die potenziellen Nachteile minimiert werden.“
„‚Wenn Sie ICS an die Cloud anbinden, wird alles gut‘, ist das ein lächerlicher Vorschlag“, fügt Slowik hinzu. „Aber Dinge intelligent anzugehen….“
Das ICS-Sicherheitsunternehmen Claroty hat auch den Markt im Blick und denkt darüber nach, eine ICaaS-Lösung anzubieten. „Zu den Vorteilen, die Cloud-basierte Architekturen in anderen Sicherheitskategorien bieten, gehören unter anderem die Verbesserung der zentralen Verwaltung weit verteilter Umgebungen, höhere Geschwindigkeiten, geringere Bereitstellungskosten und eine verbesserte Reaktionszeit auf unbekannte Bedrohungen“, so Patrick Kennedy, Senior Director, Global Marketing bei Claroty, gegenüber CSO. „Die Vorteile können auch den Zugang zu Sicherheitstechnologien der Unternehmensklasse für kleinere Unternehmen erleichtern. Wir sehen das Potenzial für ähnliche Vorteile in ICSaaS.“
Dieser Trend ist jedoch nicht ohne Widerstand seitens der Industrie. „Die Akzeptanz der Cloud in OT/ICS wächst, aber die meisten Industrieunternehmen halten sie immer noch für einen Nicht-Starter“, erklärt Phil Neray, Vice President of Industrial Cybersecurity beim ICS-Sicherheitshersteller CyberX, CSO. „Denken Sie daran, dass dieser Sektor erst kürzlich akzeptiert hat, dass es unrealistisch und ineffizient ist, OT-Netzwerke vollständig aus den IT-Unternehmensnetzwerken, geschweige denn aus dem Internet, herauszulösen. Natürlich bringen Cloud-basierte Dienste viele Vorteile mit sich, darunter Benutzerfreundlichkeit, schnelle Bereitstellung und praktisch unbegrenzte Skalierbarkeit, aber die meisten Industrieunternehmen sind noch nicht bereit, ihre sensiblen OT-Netzwerkverkehrsdaten in die Cloud zu übertragen.“
Nozomi Networks, ein weiterer ICS-Sicherheitsanbieter, beschönigte alle potenziellen Nachteile von ICSaaS. „In diesem Bereich sehen wir immer mehr ICS-Organisationen, die ihre OT-Sicherheitstools mit ihren IT-Sicherheitstools verbinden, um eine Sicherheitstransparenz in ihrem Netzwerk zu erreichen“, so Andrea Carcano, Mitbegründerin von Nozomi, gegenüber CSO.
Ferntelemetrie vs. Fernverwaltung
Viele kleinere bis mittelgroße Industrieunternehmen und Versorgungsunternehmen verfügen nicht über eine umfassende Palette von Sicherheitstalenten, so dass Automatisierung und Outsourcing zu kritischen Taktiken werden, um der Konkurrenz immer einen Schritt voraus zu sein. Ein entfernter, einseitiger Datenfeed aus ICS/OT-Netzwerken kann ein nützlicher Weg sein, um in Echtzeit Warnmeldungen über mögliche Probleme zu erhalten und für Remote-Analysten zur Untersuchung von Sicherheitsvorfällen bereitzustellen.
Es ist einfach, ein Einwegloch durch eine Firewall nach außen zu stanzen, um einen solchen Datenfeed zu erhalten. Es ist auch einfach, während einer hektischen Fehlerbehebungssitzung eine Einweg-Firewall zu einer Zweiweg-Firewall zu machen, und dann vergisst jeder, sie wieder zu schließen. Beschäftigte, belästigte Sysadmins machen ehrliche Fehler.
Schlimmer noch, Feature Creep ist eine Sache. Wie lange dauert es, bis ein gut gemeintes, aber schlecht informiertes Management entscheidet, ob es wirklich eine Remote-Vorfallsreaktion wünscht?
„Das im Laufe der Zeit im Auge zu behalten, ist keine leichte Aufgabe“, meint Slowik. „Kontinuierliche Überprüfung von Dingen wie Firewall-Regeln und Netzwerkzugriff… Hier müssen Unternehmen wirklich darüber nachdenken, wie sie diese Lösungen implementieren können, um den Spielraum für Missbrauch zu minimieren.“
„Bei falscher Vorgehensweise kann dies sehr schlecht ausgehen.“, fügt Slowik hinzu. „Aber es wird passieren, ob es uns gefällt oder nicht.“
*J.M. Porup schreibt unter anderem für CSOonline.com
Be the first to comment