Identifizierung der riskantesten OT- und ICS-Geräte der kritischen Infrastruktur

Armis, Asset-Visibilität und -Sicherheitsunternehmen, veröffentlicht eine Studie, in der die risikoreichsten Geräte identifiziert wurden, die eine Bedrohung für kritische Infrastrukturen in der Fertigung, für Versorgungsunternehmen und im Transportwesen darstellen. [...]

Foto: Kris/Pixabay

Die von der Armis Asset Intelligence and Security-Plattform analysierten Daten, die mehr als drei Milliarden Assets überwacht, ergaben, dass die Geräte der Betriebstechnologie (OT) und der industriellen Kontrollsysteme (ICS), die das größte Risiko für diese Branchen darstellen, technische Workstations, SCADA-Server, Automatisierungsserver, Data Historians und speicherprogrammierbare Steuerungen (SPS) sind.

Prioritätensetzung und Schwachstellenmanagement bleiben ein Thema

Eine Untersuchung ergab, dass technische Workstations in den letzten zwei Monaten die meisten Angriffsversuche in der Branche verzeichneten, gefolgt von SCADA-Servern. 56 Prozent der technischen Workstations haben mindestens eine ungepatchte kritische Schwachstelle (Common Vulnerabilities and Exposures, CVEs) und 16 Prozent sind anfällig für mindestens eine gefährliche CVE, die vor mehr als 18 Monaten veröffentlicht wurde.

Unterbrechungsfreie Stromversorgungen (USV) sind der dritte Gerätetyp, auf den in den letzten zwei Monaten die meisten Angriffsversuche erfolgten. Obwohl sie für die Kontinuität im Falle eines Stromausfalls von entscheidender Bedeutung sind, zeigten die Daten, dass 60 Prozent der USV-Geräte mindestens eine ungepatchte CVE-Schwachstelle mit kritischem Schweregrad aufweisen, die, wie TLStorm gezeigt hat, Cyberkriminelle dazu verleiten könnte, das Gerät selbst oder andere daran angeschlossene Assets zu beschädigen.

Ein weiteres Beispiel sind speicherprogrammierbare Steuerungen (SPS), von denen 41 Prozent mindestens eine ungepatchte CVE mit kritischem Schweregrad aufweisen. Diese älteren Geräte sind von großer Bedeutung, da ein Angriff zu einer Unterbrechung der zentralen Abläufe führen könnte.

Die Untersuchung hat jedoch gezeigt, dass sie für hohe Risikofaktoren anfällig sein können. Ein Beispiel dafür ist Hardware oder Firmware, die nicht mehr unterstützt wird.

Eine Reihe weiterer Geräte stellt ein Risiko für Produktions-, Transport- und Versorgungsumgebungen dar, da für sie mindestens eine gefährliche CVE vor Januar 2022 veröffentlicht wurde: 85 Prozent der Barcode-Lesegeräte, 32 Prozent der industriellen Managed Switches, 28 Prozent der IP-Kameras und 10 Prozent der Drucker.

OT-Unternehmen zeichnen sich branchenübergreifend dadurch aus, dass sie über mehrere Standorte, mehrere Produktionslinien und komplexe Verteilungslinien mit einer großen Anzahl von verwalteten und nicht verwalteten Geräten in ihren Netzwerken verfügen.

In diesem Zusammenhang ist es eine große Herausforderung, zu verstehen, woher das Risiko kommt und welche Abhilfemaßnahmen erforderlich sind. Dies kann ein Hindernis für das Schwachstellenmanagement sein und stellt einen Einstiegspunkt für Bedrohungsakteure dar.

„In einer ICS-Umgebung sind anfällige Geräte üblich, so dass Fachleute sehen müssen, welche Assets sich in ihrem Netzwerk befinden und zusätzliche Informationen darüber, was diese Geräte tatsächlich tun“, erläutert Nadir Izrael, CTO und Mitbegründer von Armis.

„Mit kontextbezogenen Daten können Teams definieren, welches Risiko jedes Gerät für die OT-Umgebung darstellt, so dass sie die Behebung kritischer und/oder ausnutzbarer Schwachstellen priorisieren können, um die Angriffsfläche schnell zu reduzieren.“

Es besteht ein Bedarf an Zusammenarbeit zwischen OT- und IT-Teams

Branchen mit OT haben sich in den letzten Jahren durch die Konvergenz von OT und IT erheblich verändert. Diese Angleichung leitet eine neue Phase des Industriezeitalters ein und ermöglicht eine bereichsübergreifende Zusammenarbeit, doch in der Praxis muss eine einheitliche Verwaltung beider Umgebungen erst noch erfolgen.

Da sich die OT-Teams auf die Wartung industrieller Kontrollsysteme, die Abschwächung von Risiken für die OT und die Sicherstellung der Gesamtintegrität innerhalb der Betriebsumgebungen konzentrieren, wurden die eher IT-bezogenen Aufgaben vernachlässigt.

Vier der fünf risikoreichsten Geräte laufen mit Windows-Betriebssystemen, was zeigt, dass ein grundlegendes Verständnis des Anlagenrisikos und der Sicherung gefährdeter Anlagen immer noch eine Herausforderung für IT- und OT-Teams darstellt. 

Armis untersuchte die Gerätetypen und stellte fest, dass viele von ihnen anfälliger für bösartige Aktivitäten sind, weil sie das SMBv.1-Protokoll, nicht mehr unterstützte Betriebssysteme und viele offene Ports verwenden. SMBv.1 ist ein veraltetes, unverschlüsseltes und kompliziertes Protokoll mit Schwachstellen, die bei den berüchtigten Wannacry- und NotPetya-Angriffen ins Visier genommen wurden.

Sicherheitsexperten rieten Unternehmen zuvor, dieses Protokoll nicht mehr zu verwenden, die Daten zeigen aber, dass es noch in diesem Bereich eingesetzt wird.

„Aus organisatorischer Sicht muss ein risikobasierter Ansatz für das Schwachstellenmanagement Hand in Hand mit der Zusammenarbeit von OT- und IT-Abteilungen gehen, um die Bemühungen zur Schadensbegrenzung zu koordinieren“, führt Izrael aus.

„Abteilungsübergreifende Projekte tragen dazu bei, Prozesse und Ressourcenmanagement zu rationalisieren und die Einhaltung von Vorschriften und die Datensicherheit zu verbessern. Um die Herausforderungen des neuen Industriezeitalters zu meistern, benötigen Sicherheitsexperten eine IT/OT-Konvergenz-Sicherheitslösung, die alle mit dem Netzwerk verbundenen Anlagen schützt.“

Die Armis Unified Asset Intelligence-Plattform erkennt alle angeschlossenen Assets, stellt die Kommunikation und die Beziehungen zwischen ihnen dar und fügt kontextbezogene Informationen hinzu, um ihren Kontext und das Risiko, das sie für das Unternehmen darstellen können, zu verstehen.

Sie wurde speziell für den Schutz von OT- und IT-Umgebungen entwickelt und kann aussagekräftige Signale von Hunderten von IT- und OT-Plattformen aufnehmen.

Die Cloud-basierte Bedrohungserkennungs-Engine nutzt maschinelles Lernen und künstliche Intelligenz, um zu erkennen, wenn ein Gerät außerhalb seines normalen, als gut bekannten Zustands arbeitet, und löst eine automatische Reaktion aus, um die Verwaltung der gesamten Angriffsfläche zu erleichtern.

www.armis.com

powered by www.it-daily.net


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*