Um ein robustes Sicherheitsniveau aufrechterhalten zu können, müssen sich Sicherheitsexperten zuallererst einmal einen Überblick darüber verschaffen, welche IT-, OT- und IoT-Assets im Unternehmens-Ökosystem vorhanden und inwieweit diese möglicherweise exponiert sind. Transparenz über IT-, OT- und IoT-Umgebungen zu erlangen, ist angesichts einer Vielzahl von Systemen und Geräten mit unterschiedlichen Kommunikationsprotokollen allerdings kein einfaches Unterfangen. Lösungen wie Tenable One arbeiten auf dem Weg zu umfassender Sichtbarkeit mit verschiedenen Ansätzen – angefangen bei passiver und aktiver Asset Discovery, um ein vollständiges und aktuelles Inventar zu erstellen und Asset-bezogene Risiken zu erkennen.
Assets aufspüren
Passive Discovery-Verfahren überwachen den Netzwerkverkehr, um OT- und IoT-Assets sicher zu identifizieren. Diese Methode analysiert Muster in der Netzwerkkommunikation und stellt so die Präsenz von Geräten fest. Die passive Erfassung hat den zusätzlichen Vorteil, dass sie neue Geräte erkennt, sobald sie im Netzwerk erscheinen, und bietet die Möglichkeit Kommunikationsmuster zwischen Geräten zu identifizieren und darauf basierend Anomalien oder Abweichungen zu einer sicheren Baseline zu erkennen. Über passive Discovery lassen sich außerdem einige einzigartige Merkmale erkennen, die dazu verwendet werden können, die Assets zu identifizieren und einen Teil der Asset-Details offenzulegen.
Mit einem grundlegenden Verständnis der IoT- und OT-Assets im Netzwerk und ihrer identifizierenden Merkmale kommen native Kommunikationsmittel zum Einsatz, um aktiv weitere Asset-Details, wie Firmware-Version und Konfiguration, und Asset-Risiken zu erfassen. Also solche, die speziell für die Interaktion mit einem bestimmten Asset entwickelt wurden, das heißt für sichere, rein lesende Abfragen in der Gerätesprache. Dies bietet den Vorteil, dass auch Assets die wenig oder nicht kommunizieren, zuverlässig erfasst werden und man dadurch keine blinden Flecken in seiner Landschaft hat.
Ganzheitliches Asset-Management
Entscheidend für die Kontextualisierung und effektive Priorisierung sowie die Behebung von Sicherheitsrisiken ist das Wissen über die Asset-Details. Dementsprechend sind verschiedene Informationen , zum Beispiel über die Netzwerk-Konnektivität, einzuholen. Die IP-Adressen ermöglichen ein Netzwerk-Mapping sowie ein vereinfachtes Monitoring und Management der Gerätekonnektivität. MAC-Adressen helfen bei der eindeutigen Identifizierung von Geräten und können für die Zugriffskontrolle verwendet werden. Anhand der Port-Konfiguration lassen sich potenzielle Angriffsvektoren besser einschätzen und Access Points absichern. Ergänzend dazu gilt es die Quelle, den Typ, das Ziel und das Volumen der Netzwerk-Aktivitäten zu erfassen, um anomale Kommunikationsprozesse zeitnah zu identifizieren, zum Beispiel die Kontaktaufnahme mit externen Zielen. Andere Geräteinformationen, wie der Gerätetyp, geben Aufschluss über die Funktion im Netzwerk (zum Beispiel SPS, SCADA-System, Sensor, IoT-Gerät). Anhand der Firmware- oder Software-Version lassen sich bekannte Schwachstellen erkennen und sicherstellen, dass Geräte gepatcht sind. Operative Daten, wie der Betriebsstatus, geben Aufschluss über Zustand, Leistung und Verfügbarkeit. Für IoT-Geräte kann die Erfassung von Sensordaten wie Temperatur-, Luftfeuchtigkeits- oder Druckmesswerten für Monitoring und Entscheidungsfindung wichtig sein. Informationen zum Lebenszyklus, wie das Installationsdatum, helfen bei der Planung von Wartungs- und Austauschterminen, um die mit veralteter Technologie verbundenen Risiken proaktiv zu minimieren.
Domänenübergreifendes Verständnis der Beziehungen
Nicht selten haben Übergriffe auf OT- und IoT-Umgebungen ihren Ursprung in kompromittierten IT-Assets, die Hackern erweiterte Berechtigungen verschaffen und Ransomware-Angriffen Tür und Tor öffnen. Tenable One für OT/IoT ermöglicht ein domänenübergreifendes Verständnis der Beziehungen zwischen den Assets und visualisiert Angriffspfade, bei denen ein hohes Risiko einer Ausnutzung besteht. Um den kritischsten Angriffspfad zu identifizieren, berücksichtigt die Plattform mehrere Parameter und verwendet einen risikobasierten Ansatz. Die Zuordnung von Faktoren wie dem Risikograd von Assets, der Länge des Angriffspfads, den Kommunikationsprotokollen und der externen bzw. internen Konnektivität ermöglicht eine effektivere Priorisierung und Behebung von Problemen. Auf diese Weise können Unternehmen und Sicherheitsexperten beispielsweise den Zugang zu externen Netzwerken minimieren oder reduzieren oder Ports schließen und nicht zwingend erforderliche Services, die die Risikoexposition erhöhen, entfernen.
