Die Realisierung eines sicheren 24/7-Betriebs erfordert auch im OT-Umfeld einen Zero-Trust-Ansatz, meint Palo Alto Networks. Dies sei nach Meinung des Unternehmens die einzige Möglichkeit, um vernetzte OT-Umgebungen in OT-Anlagen und an entfernten Standorten, den Remote-Betrieb und neu entstehende 5G- und Cloud-verbundene OT- und IoT-Anlagen umfassend und konsistent zu schützen.

• Zero Trust basiert auf dem Grundsatz »never trust, always verify« und hilft dabei, moderne OT-Umgebungen zu schützen, indem es drei grundlegende Prinzipien nutzt:
• Zugriffskontrolle mit geringsten Privilegien, die eine kontextbezogene Segmentierung und minimale Zugriffsrichtlinien für Ressourcen nutzt.
• Kontinuierliche Überprüfung der Identität, des Verhaltens und der Risikostrukturen von OT-Ressourcen.

Kontinuierliche Sicherheitsinspektionen des gesamten Netzwerkverkehrs und der OT-Prozesse, selbst bei erlaubter Kommunikation, um Zero-Day-Bedrohungen zu verhindern.

Konzept auf OT-Umgebungen angepasst

Das Zero-Trust-Konzept für OT-Umgebungen.

© Palo Alto Networks

In IT-Infrastrukturen wird das Zero-Trust-Konzept bereits genutzt. Palo Alto Networks hat diese nun in seiner Zero Trust OT Security-Lösung umgesetzt, welche diese Prinzipien nutzt. Sie beruhen auf einer uneingeschränkten Sichtbarkeit der OT-Assets, der OT-Remote-Anwendungen und der Risikopositionen. So können Unternehmen umfassende Sichtbarkeit erreichen. In einer typischen OT-Umgebung gibt es nach Ansicht des Sicherheitsexperten drei Arten von OT- und IoT-Ressourcen:

• OT-Ressourcen, die unternehmenskritisch sind, wie verteilte Steuerungssysteme (DCS), industrielle Steuerungssysteme (ICS), Mensch-Maschine-Schnittstellen (HMI), programmierbare Logiksteuerungen (PLC), Remote Terminal Units (RTU), Überwachungssteuerungs- und Datenerfassungssysteme (SCADA) und ältere Jump-Server.
• Zu den Gebäudemanagementsystemen gehören Heizungs-, Lüftungs- und Klimaanlagen (HVAC) sowie Beleuchtungs-, Sprinkler- und Brandmeldesysteme.
• Zu den gängigen IoT-Geräten in Unternehmen zählen Sicherheitskameras, Drucker, VoIP-Telefone und Tablets.

Eine Zero Trust OT Security-Lösung kombiniert maschinelles Lernen (ML) mit Crowdsourced Telemetry, um alle IT- und OT-Geräte, Anwendungen und Benutzer zu identifizieren. Sie erkennt mehr als 300 einzigartige Asset-Profile und mehr als 1.000 OT/ICS-Anwendungen. Dies hilft Unternehmen, ein umfassendes Inventar der OT-Assets zu erstellen und zu verstehen, welche Assets für ihre Geschäftsprozesse am wichtigsten sind.

Risikobewertung im Prozess

Darüber hinaus bewertet Zero Trust OT Security das Risiko von OT-Assets, indem es das Verhalten, die interne und externe Kommunikation sowie Warnmeldungen bei Abweichungen vom normalen Prozessverhalten überwacht. Die Identifizierung der Assets und die Risikobewertung erfolgen passiv und ohne Beeinträchtigung der OT-Prozesse.

Zero-Trust-Sicherheit für OT-Assets und -Netzwerke
Die Zero Trust OT Security-Lösung etabliert und erzwingt Zero Trust basierend auf ML-gestützter OT-Asset-Sichtbarkeit und Risikobewertung. Sie sichert den OT-Perimeter mit einer effektiven Segmentierung der OT-Netzwerke von der Unternehmens-IT und schützt OT-Assets mit einer weiteren Zonierung und feinkörnigen Segmentierung auf der Grundlage von OT-Asset-Risiko, Protokollkontext und Prozesskritikalität. Auf diese Weise können Unternehmen verhindern, dass Bedrohungen von ihrem IT-Netzwerk auf ihr OT-Netzwerk übergreifen. Die Lösung schlägt auf der Grundlage der Risikoanalyse automatisch Zugriffsrichtlinien mit den geringsten Privilegien vor. Unternehmen können dann die Richtlinien mit der patentierten Device-IDTM nativ auf ihrer Next-Generation-Firewall durchsetzen. Die automatischen Richtlinien helfen dabei, veraltete, anfällige und schwer zu patchende OT-Ressourcen zu schützen, die mit externen zugelassenen Anwendungen und Netzwerken kommunizieren. Darüber hinaus wird die Sicherheit des OT-Netzwerks durch eine kontinuierliche Sicherheitsüberprüfung gestärkt, indem mehr als 650 OT-spezifische Bedrohungssignaturen identifiziert und Zero-Day-Bedrohungen verhindert werden.

Zero-Trust-Sicherheit für den Remote-Betrieb
Die Zero Trust OT Security-Lösung ermöglicht es Unternehmen, das Prinzip der geringsten Privilegien vollständig umzusetzen, indem sie Remote-Anwendungen auf der Grundlage von App-IDs auf Layer 7 und deren Interaktionen mit den OT-Assets in ihrer Anlage oder an ihrem Standort identifiziert. Sie hilft ihnen, den Remote-Zugriff mit konsistentem Zero Trust-Least Privilege-Zugriff auf OT-Umgebungen für Dritte, Remote-Experten und Produktionsmitarbeiter zur Unterstützung des OT-Betriebs zu sichern. Mithilfe von App-ID, Device-ID und User-ID können Sicherheitsverantwortliche Richtlinien konsistent über Anwendungen, Anlagen und Benutzer hinweg durchsetzen. Die Lösung bietet eine tiefgreifende und fortlaufende Prüfung des gesamten Datenverkehrs, selbst bei erlaubten Verbindungen, um alle Bedrohungen zu verhindern, einschließlich Zero-Day-Angriffen wie C2C über DNS und Malware-Nutzdaten.

Zero-Trust-Sicherheit für mit 5G verbundene Anlagen und Netzwerke
Unternehmen können Zero-Trust-Sicherheit mit granularen Segmentierungsrichtlinien, die auf vollständiger Sichtbarkeit des 5G-Verkehrs basieren, durchsetzen. Die Lösung identifiziert Teilnehmer-ID, Geräte-ID, Anwendungen und 5G-Dienste in allen Anlagen und an entfernten Standorten, die auf Private Enterprise (CBRS/ LTE/ 5G) & MEC laufen. Dies hilft Unternehmen, ihre Angriffsfläche zu reduzieren, unbefugten Zugriff zu verhindern und die seitliche Verlagerung von Bedrohungen zu unterbinden. Die Zero Trust OT Security-Lösung bewertet kontinuierlich den Zustand mobiler OT-Ressourcen und beschleunigt die Reaktion auf Vorfälle, indem sie infizierte OT-Ressourcen korreliert, isoliert und von Ihrem OT-Netzwerk isoliert.