Genua

KI in Industrial Security

25. Januar 2022, 16:48 Uhr | Arnold Krille und Simon Daum

Die Komplexität in Kommunikations- und Produktionsnetzen wird weiter anwachsen. Für das menschliche Gehirn ist sie kaum noch zu durchdringen. Auch für die Cyber-Sicherheit industrieller Anlagen wird dies zum Problem. Unterstützung naht von Seiten der KI-Security-Forschung.

Die physische Trennung zwischen IT- und OT-Kommunikationsnetzwerken (Operational Technology) ist angesichts smarter Fabriken, Predictive Maintenance und Industrie 4.0 kein zeitgemäßes Sicherheitskonzept mehr. Die Folge vernetzter Umgebungen ist, dass Angreifer immer häufiger einen Weg in die immer komplexeren industriellen Produktions- und Prozesssteuerungsumgebungen finden. In Office-Netzen können bei Angriffen alle Verbindungen für eine kurze Zeit unterbrochen werden, um den Angreifer abzuwehren. Im OT-Netz ist das nicht möglich, denn hier ist die Verfügbarkeit der Anlagen das Wichtigste. Daher setzt sich inzwischen eine andere Schutzstrategie durch: Der Zero-Trust-Grundsatz ‚never trust, always verify‘ gewinnt an Bedeutung. Wo bisher galt „Wer in meinem Netz ist, dem kann ich vertrauen“, muss künftig gelten „Ich vertraue erst einmal niemandem“ (Zero Trust Network Access, ZTNA). Dies ist insbesondere bei älteren Produktionsanlagen (Brownfield) wichtig, die immer stärker vernetzt werden. Hier sind fünf Grundsätze hilfreich:

Es ist nicht mehr nur der zentrale Zugang zum Netzwerk zu schützen. Die besondere Aufmerksamkeit gilt auch den Zielsystemen und den einzelnen Netzwerk-Assets. Dafür müssen alle Aktivitäten im Netzwerk überwacht und protokolliert werden. Im Kern geht es um Prävention und frühe Detektion.
Die Transparenz im Netzwerk muss verbessert werden: Welche Assets befinden sich im Netzwerk und welche haben einen höheren Schutzbedarf? Es ist zu klären, wer mit wem sprechen und wer was tun darf.
Für Identitäten, Rollen und Rechte muss das Minimalprinzip gelten. Erlaubt ist nur, was notwendig ist.
Für die Kommunikation dürfen nur spezifische Dienste zugelassen und nicht ganze Systeme oder sogar Netze gekoppelt werden.
Erforderlich ist eine schnelle und anpassungsfähige Schutzstrategie.

Diese Grundsätze erhöhen die Anforderungen an die Administration des OT-Netzes weiter. Weil die OT-Opera-toren mit den erforderlichen Regeln für das Netz, die Dienste und Assets schon heute überfordert sind, ist eine intelligente Unterstützung notwendig.

Ganzheitliches intelligentes Bedrohungsmanagement

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

In einer Zero-Trust-Strategie reicht es nicht mehr, mit Systemen für Intrusion Detection (IDS) und Intrusion Prevention (IPS) Auffälligkeiten im Datenstrom zu analysieren. Schickt beispielsweise eine beliebige Netzkomponente einen Steuerungsbefehl an eine Zentrifuge, ist im Datenstrom selbst nichts Auffälliges zu erkennen und es wird deshalb nichts detektiert. Es wird nicht überprüft, ob diese Netzkomponente ein solches Signal versenden darf oder ob dieses Verhalten ungewöhnlich ist. So können Angreifer Anlagenkomponenten im Netz übernehmen, ohne dass dies sofort auffällt. Deshalb wird es essenzieller, Angriffe früh zu erkennen und einzudämmen. Dies wird möglich, indem das Verhaltensmuster aller Netzwerkgeräte (Assets) überwacht und definierten Regeln zugeordnet wird. Dafür muss jederzeit bekannt sein, wer mit wem kommuniziert und welche Verbindungen erlaubt sind. Zusätzlich helfen unterschiedliche Sicherheitszonen, für besonders sensible Daten und Systeme einen höheren Schutzstatus einzurichten.

Der erhöhte Überwachungs- und Regelungsbedarf ist mit herkömmlichen manuellen Maßnahmen künftig nicht mehr beherrschbar. Den Operatoren der OT-Netzwerke ist es schon heute kaum noch möglich, der Vielzahl an Aufgaben und Anforderungen gerecht zu werden. Oft fehlt es zudem an Erfahrung und Zeit, sich das erforderliche Wissen anzueignen. Die Lösung liegt in intelligenten Systemen, die den OT-Betreiber beziehungsweise IT-Administrator in seinen Aufgaben unterstützen. Mittels Data-Analytics und Threat-Intelligence übernehmen solche Werkzeuge viele manuelle Aufgaben, automatisieren Tätigkeiten und ergänzen existierende Firewall-Lösungen. Was diese Tools leisten, zeigt das Beispiel des cognitix Threat Defender von Genua. Er erlaubt, ein automatisiertes Netzwerkmonitoring einzurichten und den Netzwerkverkehr von allen Geräten im Netzwerksegment mittels Anomalie-Erkennung zu analysieren. Der Threat Defender zeigt die Entwicklung des Traffics in Echtzeit und liefert Informationen über die verursachenden Applikationen. Dabei werden Netzwerkanalyse, Intrusion Detection, Asset Tracking und eine dynamische Policy Engine in einem System zusammengeführt.

Netzwerk nach Funktionen segmentieren

Mit Hilfe eines Expertensystems und intelligenten Heuristiken modelliert der Threat Defender das Verhalten im Netzwerk und ordnet es bestimmten Ver-haltensmustern zu. Vom OT-Operator können dann Regeln festgelegt werden. Sind alle Netzwerkgeräte erfasst und wird das Verhaltensmuster dieser As-sets überwacht, kann der Operator die Geräte nach Funktionen und Aufgaben markieren und taggen. Damit ist eine dynamische und transparente Segmentierung des Netzwerkes möglich und nicht mehr nur am Übergang zu einem anderen Netzwerksegment. Durch das Markieren von Netzwerkkomponenten kann der Operator deren Security-Eigenschaften einzeln festlegen. Wie ein Gerät mit den anderen Teilnehmern des gleichen Netzwerkes oder anderer Netzwerke kommunizieren darf, entscheidet sich nun anhand der Funktion und des Verhaltens. Durch entsprechende Regeln kann der Operator das Verhalten der Netzkomponenten definieren, um eine unerwünschte Kommunikation zu verhindern.

Für ein OT-Netz ist außerdem relevant, dass sich das Verhalten der Geräte je nach Betriebszustand der Anlage verändern kann. Deshalb können Regeln spezifische Festlegungen für Störfälle, Fernwartungszugriffe oder Instandhaltungsmaßnahmen umfassen. Wird eine neue unbekannte Kommunikation vom System erkannt, ist diese zunächst grundsätzlich verdächtig und löst einen Alarm aus. Die neue Kommunikation kann nun automatisch gedrosselt oder komplett unterbrochen werden, während alle bekannten und erlaubten Prozesse unverändert weiterlaufen. Gerade das Drosseln einer unbekannten Kommunikation ist ein guter Weg, um den Angriff zu verlangsamen und Zeit für die Bewertung der Kommunikation zu gewinnen.