Richtlinien

OT Security enthält Richtlinien, die bestimmte Arten von Ereignissen definieren, die verdächtig, nicht autorisiert, anormal oder anderweitig auffällig sind und im Netzwerk stattfinden. Wenn ein Ereignis eintritt, das alle Bedingungen der Richtliniendefinition für eine bestimmte Richtlinie erfüllt, generiert das System ein Ereignis. Das System protokolliert das Ereignis und sendet Benachrichtigungen gemäß den für die Richtlinien konfigurierten Richtlinienaktionen.

  • Richtlinienbasierte Erkennung – Löst ein Ereignis aus, wenn die genauen Bedingungen der Richtlinie, wie durch eine Reihe von Ereignisdeskriptoren definiert, erfüllt sind.

  • Anomalie-Erkennung – Löst Ereignisse aus, wenn OT Security anomale oder verdächtige Aktivitäten im Netzwerk erkennt.

OT Security verfügt über eine Reihe vordefinierter (sofort einsetzbarer) Richtlinien. Darüber hinaus können Sie die vordefinierten Richtlinien bearbeiten oder neue benutzerdefinierte Richtlinien definieren.

Hinweis: Standardmäßig sind die meisten Richtlinien aktiviert. Informationen zum Aktivieren/Deaktivieren von Richtlinien finden Sie unter Richtlinien aktivieren oder deaktivieren.

Richtlinienkonfiguration

Jede Richtlinie besteht aus einer Reihe von Bedingungen, die einen bestimmten Verhaltenstyp im Netzwerk definieren. Dazu gehören Überlegungen wie die Aktivität, die beteiligten Assets und der Zeitpunkt des Ereignisses. Nur ein Ereignis, das allen in der Richtlinie festgelegten Parametern entspricht, löst ein Ereignis für diese Richtlinie aus. Jede Richtlinie hat eine bestimmte Konfiguration für Richtlinienaktionen, die den Schweregrad, die Benachrichtigungsmethoden und die Protokollierung des Ereignisses definiert.

Gruppen

Eine wesentliche Komponente bei der Definition von Richtlinien in OT Security ist die Verwendung von Gruppen. Bei der Konfiguration einer Richtlinie gehört jeder Richtlinienparameter zu einer Gruppe, nicht zu einzelnen Entitäten. Dadurch wird der Prozess für die Richtlinienkonfiguration optimiert. Wenn beispielsweise die Aktivität „Firmware-Update“ als verdächtige Aktivität gilt, wenn sie zu bestimmten Tageszeiten (z. B. während der Arbeitszeit) auf einem Controller durchgeführt wird, können Sie statt einer separaten Richtlinie für jeden Controller in Ihrem Netzwerk eine einzige Richtlinie erstellen, die für die Asset-Gruppe „Controller“ gilt.

Für die Richtlinienkonfiguration werden die folgenden Arten von Gruppen verwendet:

  • Asset-Gruppen – Das System verfügt über vordefinierte Asset-Gruppen basierend auf dem Asset-Typ. Sie können benutzerdefinierte Gruppen hinzufügen, die auf anderen Faktoren wie Standort, Abteilung, Kritikalität usw. basieren.

  • Netzwerksegmente – Das System erstellt automatisch generierte Netzwerksegmente basierend auf Asset-Typ und IP-Bereich. Sie können benutzerdefinierte Netzwerksegmente erstellen, die eine beliebige Gruppe von Assets mit ähnlichen Kommunikationsmustern definieren.

  • E-Mail-Gruppen – Gruppieren Sie mehrere E-Mail-Konten, die E-Mail-Benachrichtigungen für bestimmte Ereignisse erhalten. Sie können z. B. nach Rolle, Abteilung usw. gruppieren.

  • Port-Gruppen – Gruppieren Sie Ports, die auf ähnliche Weise verwendet werden. Zum Beispiel Ports, die auf Rockwell-Controllern offen sind.

  • Protokollgruppen – Gruppieren Sie Kommunikationsprotokolle nach Protokolltyp (z. B. Modbus), Hersteller (z. B. von Rockwell zugelassene Protokolle) usw.

  • Planungsgruppen – Gruppieren Sie mehrere Zeitbereiche als Planungsgruppe mit einem bestimmten gemeinsamen Merkmal. Zum Beispiel Arbeitszeiten, Wochenende usw.

  • Tag-Gruppen – Gruppieren Sie Tags, die ähnliche Betriebsdaten in verschiedenen Controllern enthalten. Zum Beispiel Tags, die die Ofentemperatur steuern.

  • Regelgruppen – Gruppieren Sie verwandte Regeln, die durch ihre Suricata-Signatur-IDs (SIDs) identifiziert werden. Diese Gruppen werden als Richtlinienbedingung zum Definieren von Intrusion Detection-Richtlinien verwendet.

Richtlinien können nur mit Gruppen definiert werden, die in Ihrem System konfiguriert sind. Das System wird mit einer Reihe vordefinierter Gruppen geliefert. Sie können diese Gruppen bearbeiten und eigene Gruppen hinzufügen, siehe Gruppen.

Hinweis: Richtlinienparameter können nur mithilfe von Gruppen festgelegt werden. Selbst wenn eine Richtlinie für eine einzelne Entität gelten soll, müssen Sie eine Gruppe konfigurieren, die nur diese Entität enthält.

Schweregradstufen

Jeder Richtlinie ist ein bestimmter Schweregrad zugewiesen, der den Grad des Risikos angibt, das von der Situation ausgeht, die das Ereignis ausgelöst hat. In der folgenden Tabelle werden die verschiedenen Schweregrade beschrieben:

Schweregrad Beschreibung
Kein Das Ereignis ist kein Grund zur Besorgnis.
Gering Kein unmittelbarer Grund zur Sorge. Sollte bei Gelegenheit geprüft werden.
Mittel Moderate Bedenken, dass potenziell schädliche Aktivitäten stattgefunden haben. Sollte behandelt werden, wenn es passt.
Hoch Schwerwiegende Bedenken, dass potenziell schädliche Aktivitäten stattgefunden haben. Sollte sofort behandelt werden.

Ereignisbenachrichtigungen

Wenn ein Ereignis eintritt, das die Bedingungen der Richtlinie erfüllt, wird ein Ereignis ausgelöst. Im Abschnitt Ereignisse wird Alle Ereignisse angezeigt. Auf der Seite Richtlinie wird das Ereignis unter der Richtlinie aufgeführt, die das Ereignis ausgelöst hat. Auf der Seite Inventar wird das Ereignis unter dem betroffenen Asset aufgeführt. Darüber hinaus können Sie Richtlinien so konfigurieren, dass Benachrichtigungen über Ereignisse mithilfe des Syslog-Protokolls an ein externes SIEM-System und/oder an bestimmte E-Mail-Empfänger gesendet werden.

  • Syslog-Benachrichtigung – Syslog-Nachrichten verwenden das CEF-Protokoll sowohl mit Standardschlüsseln als auch mit benutzerdefinierten Schlüsseln (für die Verwendung mit OT Security konfiguriert). Eine Erläuterung zur Interpretation von Syslog-Benachrichtigungen finden Sie im OT Security Syslog Integration Guide.

  • E-Mail-Benachrichtigungen – E-Mail-Nachrichten enthalten Details über das Ereignis, das die Benachrichtigung generiert hat, sowie Schritte zur Eindämmung der Bedrohung.

Richtlinienkategorien und Unterkategorien

In OT Security werden die Richtlinien nach folgenden Kategorien geordnet:

  • Konfigurationsereignisse – Diese Richtlinien beziehen sich auf die Aktivitäten, die im Netzwerk stattfinden. Es gibt zwei Unterkategorien:

    • Controller-Validierung – Diese Richtlinien beziehen sich auf Änderungen, die in den Controllern im Netzwerk stattfinden. Dabei kann es sich um Statusänderungen eines Controllers, aber auch um Änderungen an Firmware, Asset-Eigenschaften oder Codeblöcken handeln. Die Richtlinien können auf bestimmte Zeitpläne (z. B. Firmware-Upgrade während eines Arbeitstages) und/oder bestimmte Controller beschränkt werden.

    • Controller-Aktivitäten – Diese Richtlinien beziehen sich auf bestimmte Engineering-Befehle, die sich auf den Status und die Konfiguration von Controllern auswirken. Es ist möglich, bestimmte Aktivitäten zu definieren, die immer Ereignisse generieren, oder eine Reihe von Kriterien zum Generieren von Ereignissen festzulegen. Zum Beispiel, wenn bestimmte Aktivitäten zu bestimmten Zeiten und/oder auf bestimmten Controllern ausgeführt werden. Sperrlisten und Zulassungslisten für Assets, Aktivitäten und Zeitpläne werden unterstützt.

  • Netzwerkereignisse – Diese Richtlinien beziehen sich auf die Assets im Netzwerk und die Kommunikationsströme zwischen Assets. Dies schließt Assets ein, die dem Netzwerk hinzugefügt oder daraus entfernt werden. Dazu gehören auch Traffic-Muster, die für das Netzwerk ungewöhnlich sind oder als besorgniserregend gekennzeichnet wurden. Wenn beispielsweise eine Engineering-Station mit einem Controller über ein Protokoll kommuniziert, das nicht Teil eines vorkonfigurierten Satzes von Protokollen ist (z. B. Protokolle, die von Controllern verwendet werden, die von einem bestimmten Anbieter hergestellt werden), löst die Richtlinie ein Ereignis aus. Sie können diese Richtlinien auf bestimmte Zeitpläne und/oder bestimmte Assets beschränken. Anbieterspezifische Protokolle werden der Einfachheit halber nach Anbieter organisiert, es kann jedoch jedes Protokoll in einer Richtliniendefinition verwendet werden.

  • SCADA-Ereignisrichtlinien – Diese Richtlinien erkennen Änderungen der Sollwerte, die den industriellen Prozess beeinträchtigen können. Diese Änderungen können aus einem Cyberangriff oder menschlichem Fehlverhalten resultieren.

  • Netzwerkbedrohungsrichtlinien – Diese Richtlinien verwenden signaturbasierte OT- und IT-Bedrohungserkennung, um Netzwerk-Traffic zu identifizieren, der auf Bedrohungen durch Eindringlinge hinweist. Die Erkennung basiert auf Regeln, die in der Threats-Engine von Suricata katalogisiert sind.

Richtlinientypen

Innerhalb jeder Kategorie und Unterkategorie gibt es eine Reihe verschiedener Typen von Richtlinien. OT Security enthält die vordefinierten Richtlinien der einzelnen Typen. Sie können auch Ihre eigenen benutzerdefinierten Richtlinien der einzelnen Typen erstellen. In den folgenden Tabellen werden die verschiedenen Richtlinientypen nach Kategorie gruppiert erläutert.

Controller-Aktivitäten beziehen sich auf die Aktivitäten, die im Netzwerk stattfinden. Zum Beispiel die „Befehle“, die zwischen Assets im Netzwerk implementiert werden. Es gibt viele verschiedene Typen von Controller-Aktivitätsereignissen. Der Typ des Controllers, auf dem die Aktivität stattfindet, sowie die spezifische Aktivität definieren den Typ der Controller-Aktivität. Beispiele: Rockwell-SPS-Stopp, SIMATIC-Code-Download, Modicon-Online-Sitzung usw.

Die Parameter für die Richtliniendefinition bzw. Richtlinienbedingungen, die für Controller-Aktivitätsereignisse gelten, sind „Quell-Asset“, „Ziel-Asset“ und „Zeitplan“.

Die folgende Tabelle beschreibt die verschiedenen Typen von Controller-Validierungsereignissen.

Hinweis: Richtlinienbedingungen in Bezug auf betroffene Assets, Quellen oder Ziele können festgelegt werden, indem entweder eine Asset-Gruppe oder ein Netzwerksegment ausgewählt wird .

Ereignistyp Richtlinienbedingungen Beschreibung
Änderung des Schlüsselschalters Betroffenes Asset, Zeitplan Eine Änderung am Controller-Status durch Anpassen der Position des physischen Schlüssels. Unterstützt derzeit nur Rockwell-Controller.
Statusänderung Betroffenes Asset, Zeitplan Der Controller wechselte von einem Betriebsstatus in einen anderen. Zum Beispiel „Wird ausgeführt“, „Gestoppt“, „Test“ usw.
Änderung der Firmware-Version Betroffenes Asset, Zeitplan Eine Änderung an der auf dem Controller ausgeführten Firmware.
Modul nicht gesehen Betroffenes Asset, Zeitplan Erkennt ein zuvor identifiziertes Modul, das von einer Backplane entfernt wurde.
Neues Modul erfasst Betroffenes Asset, Zeitplan Erkennt ein neues Modul, das einer vorhandenen Backplane hinzugefügt wird.
Snapshot-Konflikt Betroffenes Asset, Zeitplan Der letzte Snapshot eines Controllers (der den aktuellen Status des auf einem Controller bereitgestellten Programms erfasst) war nicht identisch mit dem vorherigen Snapshot dieses Controllers.

Die folgende Tabelle beschreibt die verschiedenen Typen von Netzwerkereignissen.

Hinweis: Richtlinienbedingungen in Bezug auf betroffene Assets, Quellen oder Ziele können festgelegt werden, indem entweder eine Asset-Gruppe oder ein Netzwerksegment ausgewählt wird .
Ereignistyp Richtlinienbedingungen Beschreibung
Asset nicht gesehen Nicht gesehen seit, Betroffenes Asset, Zeitplan Erkennt zuvor identifizierte Assets in der Gruppe „Betroffene Assets“, die für die angegebene Zeitdauer innerhalb des angegebenen Zeitraums aus dem Netzwerk entfernt wurden.
Änderung der USB-Konfiguration Betroffene Assets, Zeitplan Erkennt, wenn ein USB-Gerät mit einer Windows-basierte Workstation verbunden oder von dieser getrennt wird. Die Richtlinie gilt für Änderungen an einem Asset in der Gruppe „Betroffene Assets“ während des angegebenen Zeitraums.
IP-Konflikt Zeitplan Erkennt, wenn mehrere Assets im Netzwerk die gleiche IP-Adresse verwenden. Dies kann auf einen Cyberangriff hindeuten oder auf mangelhafte Netzwerkverwaltung zurückzuführen sein. Die Richtlinie gilt für IP-Konflikte, die OT Security während des angegebenen Zeitraums erkennt.
Netzwerk-Baseline-Abweichung Quelle, Ziel, Protokoll, Zeitplan Erkennt neue Verbindungen zwischen Assets, die während der Netzwerk-Baseline-Stichprobe nicht miteinander kommuniziert haben. Diese Option ist nur verfügbar, nachdem eine Netzwerk-Baseline im System eingerichtet wurde. Informationen zum Festlegen der anfänglichen Netzwerk-Baseline oder zum Aktualisieren der Netzwerk-Baseline finden Sie unter Festlegen einer Netzwerk-Baseline. Die Richtlinie gilt für die Kommunikation von einem Asset in der Quell-Asset-Gruppe zu einem Asset in der Ziel-Asset-Gruppe unter Verwendung eines Protokolls aus der Protokollgruppe während des angegebenen Zeitraums.
Neues Asset erfasst Betroffenes Asset, Zeitplan Erkennt neue Assets des in der Quell-Asset-Gruppe angegebenen Typs, die während des angegebenen Zeitraums in Ihrem Netzwerk angezeigt wird.
Offener Port Betroffenes Asset, Port Erkennt neue offene Ports in Ihrem Netzwerk. Ungenutzte offene Ports können ein Sicherheitsrisiko darstellen. Die Richtlinie gilt für Assets in der Gruppe „Betroffene Assets“ und für Ports, die sich in der Port-Gruppe befinden.
Spitze im Netzwerk-Traffic Zeitfenster, Empfindlichkeitsstufe, Zeitplan Erkennt anomale Spitzen im Netzwerk-Traffic-Volumen. Die Richtlinie gilt für Spitzen relativ zum angegebenen Zeitfenster und basierend auf der angegebenen Empfindlichkeitsstufe. Sie ist auch auf den angegebenen Zeitbereich begrenzt.
Spike in Konversation Zeitfenster, Empfindlichkeitsstufe, Zeitplan Erkennt anomale Spitzen in der Anzahl der Konversationen im Netzwerk. Die Richtlinie gilt für Spitzen relativ zum angegebenen Zeitfenster und basierend auf der angegebenen Empfindlichkeitsstufe. Sie ist auch auf den angegebenen Zeitbereich begrenzt.
RDP-Verbindung (authentifiziert) Quelle, Ziel, Zeitplan Im Netzwerk wurde eine RDP-Verbindung (Remote Desktop Protocol) mit Authentifizierungsdaten hergestellt. Die Richtlinie gilt für ein Asset in der Quell-Asset-Gruppe, das eine Verbindung zu einem Asset in der Ziel-Asset-Gruppe während des angegebenen Zeitraums herstellt.
RDP-Verbindung (nicht authentifiziert) Quelle, Ziel, Zeitplan Im Netzwerk wurde eine RDP-Verbindung (Remote Desktop Protocol) ohne Authentifizierungsdaten hergestellt. Die Richtlinie gilt für ein Asset in der Quell-Asset-Gruppe, das während des angegebenen Zeitraums eine Verbindung zu einem Asset in der Ziel-Asset-Gruppe herstellt.
Nicht autorisierte Konversation Quelle, Ziel, Protokoll, Zeitplan Erkennt Kommunikation, die zwischen Assets im Netzwerk gesendet wird. Die Richtlinie gilt für die Kommunikation von einem Asset in der Quell-Asset-Gruppe zu einem Asset in der Ziel-Asset-Gruppe unter Verwendung eines Protokolls aus der Protokollgruppe während des angegebenen Zeitraums.
Erfolgreiches ungesichertes FTP-Login Quelle, Ziel, Zeitplan OT Security betrachtet FTP als unsicheres Protokoll. Diese Richtlinie erkennt erfolgreiche Logins über FTP.
Fehlgeschlagenes ungesichertes FTP-Login Quelle, Ziel, Zeitplan OT Security betrachtet FTP als unsicheres Protokoll. Diese Richtlinie erkennt fehlgeschlagene Login-Versuche über FTP.
Erfolgreiches ungesichertes Telnet-Login Quelle, Ziel, Zeitplan OT Security betrachtet Telnet als unsicheres Protokoll. Diese Richtlinie erkennt erfolgreiche Logins über Telnet.
Fehlgeschlagenes ungesichertes Telnet-Login Quelle, Ziel, Zeitplan OT Security betrachtet Telnet als unsicheres Protokoll. Diese Richtlinie erkennt fehlgeschlagene Login-Versuche über Telnet.
Ungesicherter Telnet-Login-Versuch Quelle, Ziel, Zeitplan OT Security betrachtet Telnet als unsicheres Protokoll. Diese Richtlinie erkennt Login-Versuche über Telnet (für die der Ergebnisstatus nicht erkannt wurde).

Die folgende Tabelle beschreibt die verschiedenen Typen von Netzwerkbedrohungsereignissen.

Hinweis: Richtlinienbedingungen in Bezug auf betroffene Assets, Quellen oder Ziele können festgelegt werden, indem entweder eine Asset-Gruppe oder ein Netzwerksegment ausgewählt wird .

Ereignistyp Richtlinienbedingungen Beschreibung
Intrusion Detection Quelle, betroffenes Asset, Regelgruppe, Zeitplan

Intrusion Detection-Richtlinien verwenden signaturbasierte OT- und IT-Bedrohungserkennung, um Netzwerk-Traffic zu identifizieren, der auf Bedrohungen durch Eindringlinge hinweist. Die Erkennung basiert auf Regeln, die in der Threats-Engine von Suricata katalogisiert sind. Die Regeln sind in Kategorien (z. B. ICS-Angriffe, Denial of Service, Malware usw.) und Unterkategorien (z. B. ICS-Angriffe – Stuxnet, ICS-Angriffe – Black Energy usw.) gruppiert. Das System wird mit einer Reihe von vordefinierten Gruppen verwandter Regeln geliefert. Sie können auch Ihre eigenen benutzerdefinierten Gruppierungen verschiedener Regeln konfigurieren.

Hinweis: Für IDS-Ereignisse (Intrusion Detection System, Angriffserkennungssystem) können die Asset-Gruppen Quelle und Ziel nicht bearbeitet werden.
ARP-Scan Betroffenes Asset, Zeitplan Erkennt ARP-Scans (Netzwerkaufklärungsaktivität), die im Netzwerk ausgeführt werden. Die Richtlinie gilt für Scans, die während des angegebenen Zeitraums in der Gruppe „Betroffene Assets“ übertragen werden.
Port-Scan Quell-Asset, Ziel-Asset, Zeitplan Erkennt SYN-Scans (Netzwerkaufklärungsaktivität), die im Netzwerk ausgeführt werden, um offene (anfällige) Ports zu erkennen. Die Richtlinie gilt für Kommunikation von einem Asset in der Quell-Asset-Gruppe zu einem Asset in der Ziel-Asset-Gruppe während des angegebenen Zeitraums.

Die folgende Tabelle beschreibt die verschiedenen Typen von SCADA-Ereignistypen.

Hinweis: Richtlinienbedingungen in Bezug auf betroffene Assets, Quellen oder Ziele können festgelegt werden, indem entweder eine Asset-Gruppe oder ein Netzwerksegment ausgewählt wird .

Ereignistyp Richtlinienbedingungen Beschreibung
Unzulässige Modbus-Datenadresse Quell-Asset, Ziel-Asset, Zeitplan Erkennt den Fehlercode „Unzulässige Datenadresse“ im Modbus-Protokoll. Die Richtlinie gilt für Kommunikation von einem Asset in der Quell-Asset-Gruppe zu einem Asset in der Ziel-Asset-Gruppe während des angegebenen Zeitraums.
Unzulässiger Modbus-Datenwert Quell-Asset, Ziel-Asset, Zeitplan Erkennt den Fehlercode „Unzulässiger Datenwert“ im Modbus-Protokoll. Die Richtlinie gilt für Kommunikation von einem Asset in der Quell-Asset-Gruppe zu einem Asset in der Ziel-Asset-Gruppe während des angegebenen Zeitraums.
Unzulässige Modbus-Funktion Quell-Asset, Ziel-Asset, Zeitplan Erkennt den Fehlercode „Unzulässige Funktion“ im Modbus-Protokoll. Die Richtlinie gilt für Kommunikation von einem Asset in der Quell-Asset-Gruppe zu einem Asset in der Ziel-Asset-Gruppe während des angegebenen Zeitraums.
Nicht autorisierter Schreibvorgang Quell-Asset, Tag-Gruppe, Tag-Wert, Zeitplan Erkennt nicht autorisierte Tag-Schreibvorgänge für die angegebenen Tags auf einem Controller (derzeit unterstützt für Rockwell- und S7-Controller) in der angegebenen Quell-Asset-Gruppe. Sie können die Richtlinie so konfigurieren, dass sie jeden neuen Schreibvorgang, eine Änderung von einem angegebenen Wert oder einen Wert außerhalb eines angegebenen Bereichs erkennt. Die Richtlinie gilt nur während des angegebenen Zeitraums.
ABB – Nicht autorisierter Schreibvorgang Quell-Asset, Ziel-Asset, Zeitplan Erkennt über MMS an ABB 800xA-Controller gesendete Schreibbefehle, die außerhalb des zulässigen Bereichs liegen.
IEC 60870-5-104-Befehle (Start/Stopp der Datenübertragung, Abfragebefehl, Zählerabfragebefehl, Uhrensynchronisationsbefehl, Befehl zur Prozessrücksetzung, Testbefehl mit Zeitmarke) Quell-Asset, Ziel-Asset, Zeitplan Erkennt bestimmte Befehle, die an übergeordnete oder untergeordnete IEC-104-Einheiten gesendet werden und als riskant gelten.
DNP3-Befehle Quell-Asset, Ziel-Asset, Zeitplan Erkennt alle Hauptbefehle, die über das DNP3-Protokoll gesendet werden. Zum Beispiel Select, Operate, Warm/Cold Restart usw. Erkennt auch Fehler, die auf interne Indikatoren wie nicht unterstützte Funktionscodes und Parameterfehler zurückzuführen sind.