Systemelemente
Assets
Assets sind die Hardwarekomponenten in Ihrem Netzwerk, wie beispielsweise Controller, Engineering-Stationen, Server usw. Die automatisierte Asset-Erfassung, -Klassifizierung und -Verwaltung von OT Security bietet eine genaue Asset-Inventarisierung, indem alle Änderungen an Geräten kontinuierlich verfolgt werden. Dies vereinfacht die Aufrechterhaltung der betrieblichen Kontinuität, Zuverlässigkeit und Sicherheit. Es spielt außerdem eine wichtige Rolle bei der Planung von Wartungsprojekten, der Priorisierung von Upgrades, der Bereitstellung von Patches sowie bei der Vorfallsreaktion und Risikominderungsmaßnahmen.
OT Security wendet hochentwickelte Algorithmen an, um den Grad des Risikos zu bewerten, dem jedes Asset im Netzwerk ausgesetzt ist. Für jedes Asset im Netzwerk wird ein Risikowert (von 0 bis 100) vergeben. Der Risikowert basiert auf den folgenden Faktoren:
-
Ereignisse – Ereignisse im Netzwerk, die sich auf das Gerät ausgewirkt haben (gewichtet nach dem Schweregrad des Ereignisses und und wie lange das Ereignis zurückliegt).
-
Schwachstellen – CVEs, die Assets in Ihrem Netzwerk betreffen, sowie andere Bedrohungen, die in Ihrem Netzwerk identifiziert wurden (z. B. veraltete Betriebssysteme, Verwendung anfälliger Protokolle, anfällige offene Ports usw.). In OT Security werden diese als Plugin-Treffer auf Ihren Assets erkannt.
-
Asset-Kritikalität – Ein Messwert, der die Wichtigkeit des Geräts für das ordnungsgemäße Funktionieren des Systems angibt.
Hinweis: Bei SPS, die an eine Backplane angeschlossen sind, wirkt sich der Risikowert anderer Module, die die Backplane gemeinsam nutzen, auf den Risikowert der SPS aus.
Hinweis: Ereignisse werden nach Aktualität gewichtet, sodass neuere Ereignisse einen größeren Einfluss auf den Risikowert haben als ältere Ereignisse.
Richtlinien und Ereignisse
Richtlinien definieren bestimmte Arten von Ereignissen, die verdächtig, nicht autorisiert, anormal oder anderweitig auffällig sind und im Netzwerk stattfinden. Wenn ein Ereignis eintritt, das alle Bedingungen der Richtliniendefinition für eine bestimmte Richtlinie erfüllt, generiert OT Security ein Ereignis. OT Security protokolliert das Ereignis und sendet Benachrichtigungen gemäß den für die Richtlinien konfigurierten Richtlinienaktionen.
Es gibt zwei Arten von Richtlinienereignissen:
-
Richtlinienbasierte Erkennung – Löst Ereignisse aus, wenn die genauen Bedingungen der Richtlinie, wie durch eine Reihe von Ereignisdeskriptoren definiert, erfüllt sind.
-
Anomalie-Erkennung – Löst Ereignisse aus, wenn anomale oder verdächtige Aktivitäten im Netzwerk identifiziert werden.
Das System verfügt über eine Reihe vordefinierter (sofort einsetzbarer) Richtlinien. Darüber hinaus bietet das System die Möglichkeit, die vordefinierten Richtlinien zu bearbeiten oder neue benutzerdefinierte Richtlinien zu definieren.
Richtlinienbasierte Erkennung
Für die richtlinienbasierte Erkennung konfigurieren Sie die spezifischen Bedingungen dafür, welche Ereignisse im System Ereignisbenachrichtigungen auslösen. Richtlinienbasierte Ereignisse werden nur ausgelöst, wenn die genauen Bedingungen der Richtlinie erfüllt sind. Dies stellt sicher, dass keine Fehlalarme auftreten, da das System bei tatsächlichen Ereignissen warnt, die im ICS-Netzwerk stattfinden, und gleichzeitig aussagekräftige detaillierte Informationen über das „Wer“, „Was“, „Wann“, „Wo“ und „Wie“ liefert. Die Richtlinien können auf verschiedenen Ereignistypen und -deskriptoren basieren.
Im Folgenden finden Sie einige Beispiele für mögliche Richtlinienkonfigurationen:
-
Anomale oder nicht autorisierte ICS-Steuerungsebenenaktivität (Engineering) – Eine HMI sollte die Firmwareversion eines Controllers nicht abfragen (kann auf Auskundschaftung hinweisen) und ein Controller sollte nicht während der Betriebszeiten programmiert werden (kann auf nicht autorisierte, potenziell böswillige Aktivität hinweisen).
-
Änderung am Code des Controllers – Es wurde eine Änderung an der Controller-Logik festgestellt („Snapshot-Konflikt“).
-
Anomale oder nicht autorisierte Netzwerkkommunikation – Zwischen zwei Netzwerk-Assets wurde ein unzulässiges Kommunikationsprotokoll verwendet oder es fand eine Kommunikation zwischen zwei Assets statt, die noch nie zuvor kommuniziert haben.
-
Anomale oder nicht autorisierte Änderungen an der Asset-Inventarisierung – Es wurde ein neues Asset entdeckt oder ein Asset kommuniziert nicht mehr im Netzwerk.
-
Anomale oder nicht autorisierte Änderungen an Asset-Eigenschaften – Die Firmware oder der Status eines Assets haben sich geändert.
-
Abnormales Schreiben von Sollwerten – Ereignisse werden für Änderungen an bestimmten Parametern generiert. Der Benutzer kann die zulässigen Bereiche für einen Parameter definieren und Ereignisse für Abweichungen von diesem Bereich generieren.
Anomalie-Erkennung
Richtlinien zur Anomalie-Erkennung erkennen verdächtiges Verhalten im Netzwerk basierend auf den integrierten Funktionen des Systems zur Erkennung von Abweichungen von „normalen“ Aktivitäten. Die folgenden Richtlinien für die Anomalie-Erkennung sind verfügbar:
-
Abweichungen von einer Baseline für den Netzwerk-Traffic: Der Benutzer definiert eine Baseline für „normalen“ Netzwerk-Traffic basierend auf der Traffic-Karte während eines bestimmten Zeitraums und generiert Warnungen für Abweichungen von der Baseline. Die Baseline kann jederzeit aktualisiert werden.
-
Spitze im Netzwerk-Traffic: Es wird ein drastischer Anstieg des Netzwerk-Traffic-Volumens oder der Anzahl von Konversationen festgestellt.
-
Potenzielle Netzwerkaufklärungs-/Cyberangriffsaktivität: Ereignisse werden für Aktivitäten generiert, die auf Aktivitäten in Zusammenhang mit Auskundschaftung oder Cyberangriffen im Netzwerk hinweisen, wie z. B. IP-Konflikte, TCP-Port-Scans und ARP-Scans.
Richtlinienkategorien
Die Richtlinien sind nach folgenden Kategorien geordnet:
-
Richtlinien für Konfigurationsereignisse – Diese Richtlinien beziehen sich auf die Aktivitäten, die im Netzwerk stattfinden. Es gibt zwei Unterkategorien von Richtlinien für Konfigurationsereignise:
-
Controller-Validierung – Diese Richtlinien beziehen sich auf Änderungen, die in den Controllern im Netzwerk stattfinden. Dabei kann es sich um Statusänderungen eines Controllers, aber auch um Änderungen an Firmware, Asset-Eigenschaften oder Codeblöcken handeln. Die Richtlinien können auf bestimmte Zeitpläne (z. B. Firmware-Upgrade während eines Arbeitstages) und/oder bestimmte Controller beschränkt werden.
-
Controller-Aktivitäten – Diese Richtlinien beziehen sich auf bestimmte Engineering-Befehle, die sich auf den Status und die Konfiguration von Controllern auswirken. Es ist möglich, bestimmte Aktivitäten zu definieren, die immer Ereignisse generieren, oder eine Reihe von Kriterien zum Generieren von Ereignissen festzulegen. Zum Beispiel, wenn bestimmte Aktivitäten zu bestimmten Zeiten und/oder auf bestimmten Controllern ausgeführt werden. Assets, Aktivitäten und Zeitpläne können sowohl auf Sperrlisten als auch auf Zulassungslisten gesetzt werden.
-
-
Richtlinien für Netzwerkereignisse – Diese Richtlinien beziehen sich auf die Assets im Netzwerk und die Kommunikationsströme zwischen Assets. Dies schließt Assets ein, die dem Netzwerk hinzugefügt oder daraus entfernt wurden. Es enthält auch Traffic-Muster, die für das Netzwerk ungewöhnlich sind oder die als besonders besorgniserregend gekennzeichnet wurden. Wenn beispielsweise eine Engineering-Station mit einem Controller über ein Protokoll kommuniziert, das nicht Teil eines vorkonfigurierten Satzes von Protokollen ist (z. B. Protokolle, die von Controllern verwendet werden, die von einem bestimmten Anbieter hergestellt werden), wird ein Ereignis ausgelöst. Diese Richtlinien können auf bestimmte Zeitpläne und/oder bestimmte Assets beschränkt werden. Anbieterspezifische Protokolle werden der Einfachheit halber nach Anbieter organisiert, während jedes Protokoll in einer Richtliniendefinition verwendet werden kann.
-
SCADA-Ereignisrichtlinien – Diese Richtlinien erkennen Änderungen der Sollwerte, die den industriellen Prozess beeinträchtigen können. Diese Änderungen können aus einem Cyberangriff oder menschlichem Fehlverhalten resultieren.
-
Netzwerkbedrohungsrichtlinien – Diese Richtlinien verwenden signaturbasierte OT- und IT-Bedrohungserkennung, um Netzwerk-Traffic zu identifizieren, der auf Bedrohungen durch Eindringlinge hinweist. Die Erkennung basiert auf Regeln, die in der Threats-Engine von Suricata katalogisiert wurden.
Gruppen
Eine wesentliche Komponente bei der Definition von Richtlinien in OT Security ist die Verwendung von Gruppen. Bei der Konfiguration einer Richtlinie wird jeder der Parameter durch eine Gruppe und nicht durch einzelne Entitäten bestimmt. Dadurch wird der Prozess für die Richtlinienkonfiguration erheblich optimiert.
Ereignisse
Wenn ein Ereignis eintritt, das die Bedingungen einer Richtlinie erfüllt, wird im System ein Ereignis generiert. Alle Ereignisse werden im Bildschirm „Ereignisse“ angezeigt und können auch über die entsprechenden Bildschirme „Inventar“ und „Richtlinie“ aufgerufen werden. Jedes Ereignis ist mit einem Schweregrad gekennzeichnet, der den Grad des Risikos angibt, das von dem Ereignis ausgeht. Benachrichtigungen können automatisch an E-Mail-Empfänger und SIEMs gesendet werden, wie in den Richtlinienaktionen der Richtlinie angegeben, die das Ereignis generiert hat.
Ein Ereignis kann von einem autorisierten Benutzer als gelöst markiert und mit einem Kommentar versehen werden.