Beitrag drucken

Network Detection and Response für die OT

ML-gesteuertes Netzwerk-Monitoring

Die speziellen Protokolle und ungewohnten Kommunikationsmuster der industriellen Betriebstechnik bringen klassische IT-Sicherheitssysteme schnell an ihre Grenze. Insbesondere wenn die Tools Signatur-basiert und ohne künstliche Intelligenz arbeiten. Die OT-Sicherheit benötigt daher einen grundlegend anderen Ansatz.

 (Bild: ©elbanco/stock.adobe.com)

(Bild: ©elbanco/stock.adobe.com)

Zur Operational Technology (OT) zählen industrielle Kontrollsysteme, Fertigungsanlagen und Geräte, die industrielle Umgebungen sowie kritische Infrastrukturen überwachen und verwalten. In den vergangenen Jahren haben Angreifer die mangelnde Erkennung und den fehlenden Schutz vieler industrieller Systeme erkannt und nutzen diese Schwachstellen aktiv aus. Als Reaktion darauf verstärken Sicherheitsverantwortliche ihre Bemühungen, die OT-Umgebungen mit Sicherheitsüberwachungs- und Reaktionsfunktionen zu schützen. Diese Entwicklung wurde durch schwerwiegende Cybervorfälle in der Vergangenheit beschleunigt, die auf kritische OT-Umgebungen abzielten und sogar physische Schäden an Infrastrukturen verursachten.

Vernetzung der Ebenen

OT- und IoT-Netzwerke werden zunehmend in herkömmliche IT-Netzwerke integriert, was zu einer verstärkten Kommunikation zwischen diesen Geräten sowohl intern als auch extern führt. Obwohl diese Konvergenz zahlreiche Vorteile bietet, bringt sie auch neue Sicherheitsrisiken und Herausforderungen mit sich und macht OT-Umgebungen anfälliger für Cyber-Bedrohungen. Um Schäden vorzubeugen, streben die Netzbetreiber mehr Sichtbarkeit und effektive Erkennung von Anomalien in OT-Umgebungen an.

Oft greifbare Auswirkungen

Viele Erkennungsmethoden aus der IT-Sicherheit greifen in der OT zu kurz, da diese andere Empfindlichkeitsschwellen und eine genauere Überwachung von Netzwerksegmenten oder Gerätegruppen sowie spezifische Erkennungsmechanismen erfordert. Im Gegensatz zu IT-Angriffen, die sich auf Datendiebstahl konzentrieren, zielen OT-Angriffe sehr oft auf physische Auswirkungen ab. Aber auch Ransomware spielte zuletzt im OT-Kontext ein bedeutendere Rolle. Erfolgreiche Angriffe können sich auf die Verfügbarkeit von Kontrollsystemen und sogar die Sicherheit der Angestellten auswirken.

Kontrollierter Zugang nötig

Ferner müssen bei der Überwachung von OT-Umgebungen oft Aspekte wie die Zugangsverwaltung für Lieferanten, die Geräteverwaltung und die Netzwerkkommunikation berücksichtigt werden. Die Kontrolle und Überwachung des Lieferantenzugangs zu OT- und IoT-Netzwerken ist eine Herausforderung, da Verbindungen zwischen externen und internen Netzwerken über verschiedene Wege wie VPNs, direkte mobile Verbindungen und Jump-Hosts erfolgen können. Eine weitere Herausforderung ist das Gerätemanagement, das Aktualisierungsmechanismen und Schutz vor unbefugtem Zugriff oder Manipulation umfasst. Die Implementierung regelmäßiger Aktualisierungsroutinen und der Einsatz von Endpoint Detection & Response (EDR) auf OT- und IoT-Geräten sind oft begrenzt oder nicht durchführbar. Die Vielfalt der Geräte, ihre Lebensdauer und gerätespezifische Betriebssysteme machen den Einsatz von Sicherheitssoftware zur Überwachung von OT-Geräten schwierig und umständlich.

Viele IT-Tools ungeeignet

Viele Erkennungsmethoden für IT-Netzwerke erfordern tiefgreifende Protokollkenntnisse, die im OT-Kontext eine Vielzahl unterschiedlicher Protokolle und Angriffsszenarien umfassen, die in kommerziellen IT-Netzwerken nicht üblich sind. Intrusivere Sicherheitslösungen zum aktiven Schwachstellen-Scanning können in OT-Umgebungen ebenfalls problematisch sein, da sie Störungen oder sogar Ausfälle verursachen können. Das Gleiche gilt für Intrusion Prevention Systeme (IPS), da sie Netzwerkpakete blockieren und damit die Stabilität in OT-Umgebungen beeinträchtigen können. Daher sind passive Netzwerkerkennungssysteme wie Network Detection & Response (NDR)-Lösungen für diesen Zweck oft besser geeignet.

Überwachen und absichern

Network Detection and Response (NDR)-Systeme bieten einen nicht-intrusiven Ansatz zur Überwachung von OT-Umgebungen. NDR-Systeme konzentrieren sich auf die Kommunikationsmuster von OT-Geräten, die Schnittstelle zwischen IT und OT und den Zugriff Dritter auf OT-Netzwerke. So sollen diese Anwendungen Transparenz herstellen und Erkennungsfunktionen bereitstellen, ohne den laufenden Betrieb und die Geschäftsprozesse zu stören. Insbesondere NDR-Anwendungen mit erweiterten Baselining-Funktionen können neue und ungewöhnliche Kommunikationsmuster identifizieren, die auf schädliche Aktivitäten in OT-Netzwerken hinweisen. Diese NDR-Systeme verwenden maschinelles Lernen, nutzen Informationen über Datenflüsse für das Baselining und bieten eine protokoll- und geräteunabhängige Erkennung von Anomalien. Dazu erfassen sie, wer mit wem und in welcher Häufigkeit kommuniziert. Anstatt diese Parameter manuell zu konfigurieren, ermitteln NDRs die Baseline, korrelieren auffällige Unregelmäßigkeiten und alarmieren bei verdächtigen Aktivitäten die Sicherheitsteams. Darüber hinaus ermöglicht ein Framework die Einstellung fein abgestimmter Schwellenwerte für die OT-spezifische Überwachung, einschließlich der Möglichkeit, die Lastüberwachung granular und für einzelne Netzwerkzonen einzustellen. Zudem sind ML-Algorithmen zur Erkennung von Anomalien und potenziellen Bedrohungen regelbasierten Systeme häufig überlegen.

ExeonTrace für OT-Netzwerke

Daher sind die passiven Überwachungsfunktionen von NDR-Anwendungen gerade dort gut geeignet, wo alternative Überwachungsmethoden schwierig zu implementieren sind oder Störungen verursachen können. Das ML-gesteuerte NDR-System ExeonTrace analysiert beispielsweise Protokolldaten aus IT-Umgebungen, OT-Netzwerken und Jump-Host-Gateways, um Betreibern den Überblick über die Netzwerkaktivitäten zu vermitteln. Das System ermöglicht die Integration industrietypischer Protokollquellen und lässt sich in andere OT-spezifische Erkennungsplattformen integrieren, um das Schutzniveau auf das gewünschte Maß zu heben.


Das könnte Sie auch interessieren:

Der Automatisierer Siemens hat eine Infrastruktur für private industrielle 5G-Netze vorgestellt. Das Paket mit Fokus auf Automatisierungsanwendungen besteht aus einem 5G-Core und einem Funkzugangsnetz, das die Central Unit, die Distributed Unit und die Radio Units beinhaltet. Die 5G-Scalance-Router von Siemens sind mit dem Paket kompatibel.‣ weiterlesen

1988 gründen Andreas Melkus, Theodor Kusejko und Marianne Kusejko Sigmatek und bringen eine Steuerung für den Maschinenbau und die Robotik auf den Markt. 35 Jahre später umfasst das Produktspektrum neben Steuerung und I/Os auch Visualisierung, Antriebstechnik und Safety.‣ weiterlesen

Ein neues Software-Framework soll Unternehmen die Abnahme bzw. Auditierung von KI- Anwendungen erleichtern. Das Framework erarbeiten das Fraunhofer IPA und das Institut für Industrielle Fertigung und Fabrikbetrieb IFF der Universität Stuttgart gemeinsam im Forschungsprojekt ’AIQualify’ der Forschungsgemeinschaft Qualität.‣ weiterlesen

Mit Gavin Moore hat der Cloud- und Daten-Spezialist NetApp einen neuen Vice President sowie CTO für die Regionen EMEA und LATAM. Er berichtet an Giovanna Sangiorgi.‣ weiterlesen

AM-Experten aus dem Maschinenbau verstärken Fachbeirat der Rapid.Tech 3D. Die Veranstaltung findet 2024 zum 20. Mal statt.‣ weiterlesen

KI-Use Cases in der Smart Factory setzen meist individuelle Projektierungen voraus. Jetzt hat MES-Hersteller MPDV die AI Suite vorgestellt. Darin sind acht KI-Standardanwendungen für die Fertigungs-IT Hydra und Fedra enthalten, mit denen sich etwa Ausschuss reduzieren, Rüstzeiten optimieren oder die Produktqualität prognostizieren lassen.‣ weiterlesen

Im Rahmen einer Partnerschaft zwischen TeamViewer und Ivanti wird die Ivanti-Software Neurons for Mobile Device Management (MDM) in TeamViewers Angebot für Remote Monitoring and Management integriert.‣ weiterlesen

An zwei Terminen im Oktober können sich Interessierte auf den Proxia XI Days über den Einsatz und die damit verbundenen Möglichkeiten von Manufacturing Execution Systems informieren.‣ weiterlesen

Infineon leitet das europäisches Forschungsprojekt EECONE, das Nachhaltigkeit und Kreislaufwirtschaft in der Elektronikindustrie fördern soll. Insgesamt sind 49 Partner beteiligt.‣ weiterlesen

Mercedes-Benz will mit dem Werk im baden-württembergischen Rastatt eine Blaupause für weitere Werke schaffen. Der Autobauer hat dort unter anderem eine neue Produktionslinie mit digitalen Simulationstechniken umgerüstet.‣ weiterlesen