Thought Leadership
Die OT Security nimmt die Arbeit auf
Sind diese Grundlagen geschaffen, kann die Arbeit zur Herstellung der OT-Security beginnen. Sie besteht vor allem in der fortlaufenden Analyse von Logdaten, um Angriffe rechtzeitig zu erkennen und abzuwehren. Dabei kommen zwei Verfahren, die sich in der IT Security bewährt haben, zum Einsatz: Realtime Correlation und User and Entity Behaviour Analytics (UEBA), also sogenanntes unsupervised Machine Learning.
Beim Verfahren Realtime Correlation werden die Logdaten mit Hilfe von definierten Korrelationsregeln analysiert. Entscheidend für die Wirksamkeit ist die Performance der Analyse. Ziel ist die Reduktion der „Detection Time“ und der „Reaction Time“. Um sicherzustellen, dass das relevante Spektrum von möglichen Angriffen abgedeckt wird, bietet auch hier das MITRE&ATT&CK Framework für ICS einen sinnvollen Rahmen. Es erlaubt, mögliche Angriffsvektoren strukturiert in die Security Analyse aufzunehmen.
Das Verfahren UEBA hingegen setzt, anders als Realtime Correlation, darauf, eine Baseline zu bilden. Diese Baseline besteht in einer statistisch ermittelten Abbildung des OT Systems, des Verhaltens und der Interaktion der Komponenten im Normalbetrieb. Sie ist wichtig, um Abweichungen vom Regelbetrieb zu erkennen. UEBA hat zwei Vorteile: Zum einen lernt das System selbständig und kann daher auch auf Angriffe reagieren, die noch nicht in Korrelationsregeln hinterlegt sind. Zum anderen können bei Angriffen auf OT Systeme auch Systeminteraktionen zum Einsatz kommen, die für sich gesehen unproblematisch sind. UEBA erkennt diese in ihrer Zeit bzw. Häufigkeit als eine Abweichung von der Baseline. UEBA ist in der IT Security ein relativ neuer Ansatz, den Unternehmen oft als nächsten Evolutionsschritt nach der Realtime Analyse in Angriff nehmen. Für OT Security empfiehlt sich aber der umgekehrte Weg: OT Systeme sind darauf angelegt, Tätigkeiten, Fertigungs- oder Prozessschritte zu wiederholen. Auffälligkeiten, also Abweichungen von der Baseline, sind so einfacher zu finden. Grundvoraussetzung für UEBA – basierend auf Machine Learning – sind bereinigte Daten.
Lösungen für das OT-Security-Monitoring
Um Cyberattacken in Echtzeit zu erkennen, bedarf es einer Sicherheitssoftware, die durch starke Sicherheitsanalysen unterstützt wird: ArcSight beispielsweise verfügt über die Konnektoren, um OT Systeme anzubinden – sowohl moderne Logquellen, als auch betagte Subsysteme. Alle Konnektoren bringen die Daten auf ein einheitliches Format als Grundlage für die weitere Analyse. Logdaten werden in einer Logdatenbank mit eingebauten Analytics gespeichert; sowohl Forensik als auch Realtime Correlation und UEBA können dann auf einer gemeinsamen, konsistenten Datenbasis erfolgen. Eine Lösung wie ArcSight Intelligence ermöglicht durch den Einsatz von Machine Learning die Erkennung von Abweichungen vom Regelbetrieb und somit eine Sicherung der OT bereits nach wenigen Tagen des selbständigen Lernens. Die gezielte Analyse von Angriffsvektoren kann mit ArcSight Detect erfolgen; hier finden die im MITRE&ATT&CK-ICS Framework dokumentierten Taktiken und Methoden Anwendung.
Damit ist das OT System gegen Cyberangriffe nachhaltig geschützt. Da die Daten nun in konsistenter und bereinigter Form vorliegen, können sie auch für andere Zwecke genutzt werden, etwa für Predictive Maintenance oder die Optimierung des Gesamtsystems. Denn nicht jede Abweichung weist auf einen Cyberangriff hin; gegebenenfalls handelt es sich in vereinzelten Fällen auch um Hinweise auf das Versagen von einzelnen Komponenten. Wer nicht die Kapazitäten hat, ein OT Security-Monitoring in Eigenregie zu managen, kann hierzu auch eine SaaS Lösung einsetzen oder OT Security als Managed Service erbringen lassen.
Fazit
OT Security wird durch neue Technologien, Internet 4.0 und Machine Learning stetig komplexer. Das macht es erforderlich, Systeme, die aus unterschiedlichen Zeiten stammen, zu vernetzen und Daten zu vereinheitlichen, um eine systematische Überwachung leisten zu können. Die Voraussetzung sind Asset Inventory, Risikoanalyse und zentrales Logging. Dann können Verfahren wie Realtime Correlation und UEBA eingesetzt werden, um ein höchstmögliches OT Security Niveau für z.B. Fertigungsanlagen und Infrastrukturkomponenten sicherzustellen.
Autoren: Felix Gutjahr, Cyber Defense Consultant SECUINFRA & Marcel Röhrl, Portfolio Sales Specialist – NextGen Security Operations, MicroFocus
www.secuinfra.com
