©Gerd Altmann/Pixabay
Autor: Kai Thomsen, Director of Global Incident Response Services bei Dragos
Cyber Threat Intelligence (CTI) beschreibt das Sammeln, Verarbeiten, Analysieren, Verbreiten und Integrieren von Informationen über aktive oder aufkommende Cyber-Bedrohungen. Der wesentliche Zweck von CTI besteht darin, bösartige Cyber-Aktivitäten und -Gegner aufzudecken und dieses Wissen den Entscheidungsträgern im Unternehmen zur Verfügung zu stellen. Cyber-Bedrohungsdaten aus dem OT-Bereich der (Operational Technology) sind auf die besonderen Herausforderungen und Anforderungen von OT-Umgebungen ausgerichtet. Diese Systeme sind ein wesentlicher Bestandteil kritischer Infrastrukturen wie Kraftwerke, Produktionsanlagen, Gaspipelines und Wasseraufbereitungsanlagen.
Der Anwendungsbereich von OT Cyber Threat Intelligence
OT Cyber Threat Intelligence ist entscheidend für den Schutz der Systeme, die physische Prozesse steuern und umfasst die proaktive Erkennung und Abwehr von Bedrohungen, die physische Prozesse verändern, beeinträchtigen oder stören könnten. Dies unterscheidet sich deutlich von IT Cyber Threat Intelligence, bei der es darum geht, Cyber-Bedrohungen zu identifizieren und zu entschärfen, die darauf abzielen, Informationen zu stehlen, zu beschädigen oder zu missbrauchen.
Threat Intelligence-Zyklus für OT-Umgebungen
Der Threat-Intelligence-Zyklus, bestehend aus Planung und Überwachung, Erfassung, Verarbeitung und Nutzung, Analyse und Auswertung sowie Weitergabe und Integration, dient der Aufbereitung von Rohdaten aus OT-Umgebungen in verwertbare Informationen. Daten aus der Betriebsumgebung, wie OT-spezifische Systemsignale und Netzwerkverkehr, werden gesammelt, verarbeitet und analysiert, um Risiken in OT-Umgebungen zu bewerten. Der Intelligence-Zyklus stellt sicher, dass diese Informationen nicht nur genau und relevant sind, sondern auch effektiv in die Sicherheitsabläufe des Unternehmens integriert werden und verwertbare Erkenntnisse liefern, die die Entscheidungsfindung unterstützen und den Schutz kritischer Infrastrukturen verbessern.
Cyberangriffe auf OT-Umgebungen
Cyberangriffe auf OT-Umgebungen bedrohen wichtige Dienste wie Elektrizität, Öl und Gas, Produktion und Wasser. Angreifer, darunter staatliche Akteure, hacktivistische Gruppen und finanziell motivierte Cyber-Kriminelle wie Ransomware-Gruppen, sind auf industrielle Steuerungssysteme fokussiert. Diese Angreifer können je nach Absichten, Fähigkeiten und Kenntnissen industrieller Prozesse informell klassifiziert werden. Auch wenn dieses keine endgültige und vollumfängliche Klassifizierung darstellt, kann es hilfreich sein, um die unterschiedlichen Absichten und Auswirkungen von OT-Cyber-Bedrohungen zu verstehen.
Schwachstellen in OT-Umgebungen
Es ist falsch, bei der Behebung von OT-Schwachstellen eine IT-Denkweise zu verwenden. Industrielle Infrastrukturen haben längere Lebenszyklen und sind auf Kernfunktionen wie Stromerzeugung und Wasseraufbereitung ausgelegt. Die meisten -Schwachstellenmeldungen beziehen sich jedoch häufig auf die IT und berücksichtigen nicht die spezifischen Risiken für OT. Bei der Priorisierung von OT-Schwachstellen sollten diverse Faktoren berücksichtigt werden:
- Schweregrad – Welche Möglichkeiten bietet diese Schwachstelle den Angreifern?
- OT-Auswirkungen – Was könnte in der OT-Umgebung passieren?
- Angreifbarkeit über das Netzwerk – Kann die Schwachstelle über das Netzwerk ausgenutzt werden?
- Leichte Ausnutzbarkeit – Wie geschickt muss ein Angreifer sein, um die Schwachstelle auszunutzen?
- Erfahrungen aus der Praxis – Wird sie bereits von Angreifern genutzt?
Schwachstellenmanagement in OT-Umgebungen erfordert Alternativen zum Patching und genaue Risikoinformationen, um effektiv zu sein, da Standard-Patch-Empfehlungen im laufenden Betrieb oft nicht praktikabel sind.
Wichtige Rahmenbedingungen für OT-Cybersecurity-Bedrohungen
Ein fundiertes Verständnis über die Fähigkeiten und die Angriffsmethoden eines Angreifers ermöglicht es, fundierte Entscheidungen im Sicherheits- und Risikomanagement zu treffen. Frameworks wie die ICS Cyber Kill Chain und MITRE ATT&CK® for ICS sind unverzichtbare Werkzeuge für Fachleute im Bereich OT-Cyber-Bedrohungen. Sie helfen Unternehmen, Bedrohungen frühzeitig zu erkennen, zu verstehen und wirksam zu bekämpfen, um die Sicherheit und Betriebskontinuität zu gewährleisten.
Datenquellen für OT Cyber Threat Intelligence
Industrieunternehmen stützen sich auf mehrere Datenquellen, um sich ein umfassendes Bild von Cyber-Bedrohungen zu machen:
- Interne IT-Daten: Sie können dazu beitragen, potenzielle Bedrohungen zu erkennen, bevor sie OT-Umgebungen beeinträchtigen, reichen aber allein nicht aus.
- OT-eigene Netzwerküberwachung: Unerlässlich für die Kenntnis von Bedrohungen innerhalb von OT-Systemen. Technologien wie die Dragos-Plattform sind für diese Aufgabe von entscheidender Bedeutung.
- Zusammenarbeit mit Partnern: Die gemeinsame Nutzung von Erstanbieterdaten und Netzwerke wie Dragos Neighborhood Keeper verbessert die Sichtbarkeit und die Erkennungsmöglichkeiten.
- Externe Quellen: Kommerzielle CTI-Anbieter wie Dragos WorldView, ISACs und Aufsichtsbehörden liefern einen breiteren Kontext und sektorspezifische Informationen.
Schlussfolgerung
Das Verständnis und die Bewältigung von Cyber-Bedrohungen für OT-Umgebungen sind entscheidend, da Störungen physische Folgen wie Produktionsausfälle und Sicherheitsrisiken haben können. OT-Cyber-Bedrohungen unterscheiden sich von IT-Cyber-Bedrohungen und erfordern spezielle Abhilfemaßnahmen, die den betrieblichen Anforderungen gerecht werden. Unternehmen können ihre kritischen Infrastrukturen proaktiv schützen, indem sie OT-spezifische Bedrohungsdaten nutzen, um Betriebskontinuität, Sicherheit und Gefahrenabwehr zu gewährleisten.
Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“
