OT Incident Response: 4 Gründe, warum Asset-Inventarisierung entscheidend ist

Ohne detaillierten Überblick über alle Assets und Schwachstellen in Ihrer gesamten OT-Umgebung sehen sich Sicherheitsverantwortliche mit erhöhten Kosten und Verzögerungen bei der Vorfallsreaktion konfrontiert.

Vergangene Woche kam es auf Twitter zu mehreren Diskussionen, bei denen es um die jüngsten Angriffe auf die Supply Chain sowie um die grundsätzliche Möglichkeit ging, Umgebungen mit operativen Technologien (OT) auf anfällige Geräte zu scannen.

Zahlreiche Incident Responder aus der Community, die ich respektiere, wiesen darauf hin, dass der erste Schritt bei Incident Response-Maßnahmen immer darin besteht, sich ein vollständiges Bild der Umgebung zu machen. Der Versuch, das gesamte Ausmaß einer Sicherheitsverletzung zu ermitteln, ohne alle mit Ihren Netzwerken verbundenen Geräte sowie deren Abtrennung zu kennen, ähnelt in vielerlei Hinsicht dem Vorhaben, ohne Landkarte oder GPS an Ihr gewünschtes Ziel zu gelangen. Diese Experten werden bestätigen, dass die Kosten von Incident Response-Maßnahmen beträchtlich steigen, wenn im Vorfeld kein aktuelles Asset-Bestandsverzeichnis zur Verfügung steht.

Bei mir gehen häufig Fragen von bestehenden und potenziellen Kunden ein, die herausfinden möchten, ob sie in Lösungen für Asset-Inventarisierung, Device Management und Transparenz oder in Lösungen für Threat-Hunting und Incident Response investieren sollten. Offen gesagt sollte auf lange Sicht beides der Fall sein. Doch wenn das Unternehmen noch kein Aufzeichnungssystem hat, das ein vollständiges Bild des Zustands aller Assets und insbesondere davon vermittelt, wo diese Geräte gefährdet sind, liegt auf der Hand, welche Investition als Erstes erfolgen sollte.

CISOs benötigen heute kontinuierliche Sichtbarkeit

Wenn der Vorstand sich danach erkundigt, ob das Unternehmen von einem kürzlichen Angriff auf die Supply Chain, wie z. B. SolarWinds, betroffen war, möchte kein Chief Information Security Officer (CISO) mit „Ich weiß es nicht“ antworten. Da sich die Bedrohungslandschaft aber in rasantem Tempo weiterentwickelt, ist es leichter gesagt als getan, diese Fragen zu beantworten. Mit der Beauftragung eines Consultants, der einmal jährlich vor Ort erscheint, um Ihre Umgebung zu scannen und Ihre Geräte zu katalogisieren, werden Sie Ihrer Sorgfaltspflicht nicht länger gerecht. Unternehmen müssen zu Lösungen übergehen, mit denen sie die unzähligen Geräte, die sich täglich mit den heutigen konvergenten IT/OT-Netzwerken verbinden und diese wieder verlassen, kontinuierlich und in Echtzeit überwachen können.

Zweckbestimmte Tools erkennen alle Ihre OT-Geräte

Der Einsatz von IT-orientierten Scanning-Tools in der OT-Umgebung ist ein weiterer Punkt, der aus gutem Grund Sorge bereitet. Es ist bekannt, dass solche Tools in diesen Systemen zu Fehlern und/oder Prozessausfällen führen können, wenn sie von wohlmeinenden IT-Sicherheitsteams unachtsam eingesetzt werden. Glücklicherweise sind in den vergangenen Jahren zweckbestimmte Tools zur Asset-Erfassung speziell für diese sensiblen OT-Umgebungen entwickelt worden.

Tenable.ot ist ein solches Tool. Unsere Active Querying-Technologie kommuniziert mit sensiblen OT-Steuerungen und -Geräten unter Verwendung derer eigenen nativen Protokolle – genau auf dieselbe Weise, wie auch Geräteanbieter im routinemäßigen Systembetrieb mit den Geräten kommunizieren. Diese Technologie bietet eine sichere und zuverlässige Methode, um die spezifischen Konfigurationsparameter, Firmware-Versionen und weitere relevante Metadaten einfach vom jeweiligen Gerät abzufragen. Dadurch gewinnen wir deutlich präzisere und detailliertere Informationen über die OT-Umgebung, als sich allein durch passives Netzwerk-Monitoring ableiten ließe.

Adaptive Bewertung zielt auf IT-Geräte in OT-Umgebungen ab 

Darüber hinaus ist bekannt, dass sich OT-Umgebungen nicht nur aus speicherprogrammierbaren Steuerungen oder ähnlichen Geräten zusammensetzen. Diese Umgebungen enthalten zunehmend COTS-Komponenten (Commercial Off-the-Shelf) wie Server, auf denen zeitgemäße Betriebssysteme wie Microsoft Windows ausgeführt werden. Was das Schwachstellen-Management auf solchen Plattformen betrifft, gilt Tenable seit geraumer Zeit als Branchenstandard. Wir haben die Leistungsstärke von Nessus in die Tenable.ot-Produktlinie eingebunden, damit Sie von den größten Vorteilen beider Produkte profitieren können. Mit einer speziellen Version von Nessus können Sie mit sensiblen OT-Geräten über deren sichere und zuverlässige Protokolle kommunizieren und zudem in Ihrer OT-Umgebung vorhandene IT-Systeme auf sichere Weise scannen.

Umfassende Dashboards priorisieren Behebungsmaßnahmen

Angriffe auf die Supply Chain beschränken sich natürlich nicht auf eine Seite der Firewall. Als CISO müssen Sie in der Lage sein, die potenziellen Auswirkungen für Ihre Enterprise- und OT-Bereitstellungen zu beurteilen. Aus diesem Grund überträgt Tenable.ot diese Detailinformationen zu Ihrer OT-Umgebung ab dem ersten Tag an die Lösung für risikobasiertes Schwachstellen-Management (Risk-based Vulnerability Management, RBVM) von Tenable. Dadurch können Sie mithilfe von unserem Vulnerability Prioritization Rating (VPR) visualisieren und priorisieren, für welche Systeme und Geräte Eindämmungsmaßnahmen zuerst ergriffen werden müssen.

Die regelmäßige Beauftragung eines Incident Response-Unternehmens reicht nicht aus, um sich auf einen Sicherheitsvorfall vorzubereiten. Vielmehr sind schon im Vorfeld Investitionen in Systeme notwendig, die Ihnen „Ground Truth“-Daten über den Zustand Ihrer Assets und Ihre am stärksten gefährdeten Bereiche liefern.

Weitere Informationen erhalten Sie auf unserer Webseite zur Tenable.ot-Lösung. Dort finden Sie zusätzliche Whitepaper, Videos und Fallstudien, die veranschaulichen, wie Unternehmen in ihren industriellen Umgebungen die Sichtbarkeit erhöhen und Risiken reduzieren können.