Zero Trust: «Null» Angriffsfläche in OT-Infrastrukturen bei maximaler Sicherheit

In einer kürzlich publizierten Studie gab die Mehrheit der befragten Industrieunternehmen an, Probleme mit der bestehenden OT-Sicherheitslösung zu haben. Die grössten Herausforderungen sind dabei:

• Das Automatisieren der Sichtbarkeit von Anlagen (30 %), was die Identifizierung potenzieller Schwachstellen erschweren kann.
• Die Flut an Störmeldungen, die entstehen kann, und eine daraus folgende Alarmmüdigkeit (20 %). Sicherheitsteams können von der Anzahl der Alarme, die durch Sicherheitslösungen generiert werden, überfordert sein und auf echte Bedrohungen eventuell verzögert oder zu spät reagieren.
• Fast ein Fünftel der Befragten bestätigt, dass ihre derzeitige Lösung lediglich die Erkennung von Sicherheitsverletzungen ermöglicht, ohne eine Priorisierung der Risikowarnungen nach Auswirkung auf das Geschäft.

Zero-Trust-Konzept in OT-Infrastrukturen

Die Im Austausch mit Betreibern in Industriezweigen wie der Fertigung, der Energieversorgung und Logistik sind branchenführende Sicherheitslösungen gefordert. Unsere Kunden fügen mit Nachdruck hinzu, dass sie neben starker Sicherheit auch und vor allem ununterbrochene Verfügbarkeit benötigen. Natürlich wirkt sich jeder Ausfall auf ihre Geschäftsergebnisse aus. Des Weiteren gefährden Ausfälle ihrer OT-Systeme die Sicherheit der Mitarbeitenden, Kunden und der gesamten Bevölkerung.

Entscheidungspersonen in Industrieunternehmen stehen also vor dem schwierigen Spagat, Verfügbarkeit, Betriebszeit und Arbeitssicherheit aufrechtzuerhalten und gleichzeitig Cyber-Sicherheit zu implementieren sowie zu gewährleisten. Die Abdeckung neuer Angriffsflächen, wie Remote-Betriebe oder mit 5G und der Cloud verbundene OT-Anlagen, kommt als Herausforderung dazu. Hier empfehlen unsere Expert*innen den Zero-Trust-Ansatz.

Prinzipien von Zero Trust

1. Zugriffskontrolle mit Privilegien, die eine kontextbezogene Segmentierung und minimale Zugriffsrichtlinien für Ressourcen nutzt.
2. Kontinuierliche Überprüfung der Identität, des Verhaltens und der Risikostrukturen von OT-Ressourcen.
3. Kontinuierliche Sicherheitsinspektionen des Netzwerkverkehrs und der OT-Prozesse, selbst bei erlaubter Kommunikation, um Zero-Day-Bedrohungen zu verhindern.

Arten von OT- und IoT-Ressourcen

Mit einem Zero-Trust-OT-Security-Ansatz können Unternehmen umfassende Sichtbarkeit erreichen. In einer typischen OT-Umgebung finden sich grundsätzlich drei Arten von OT- und IoT-Ressourcen:

• OT-Ressourcen, die unternehmenskritisch sind, wie verteilte Steuerungssysteme (DCS), industrielle Steuerungssysteme (ICS), Mensch-Maschine-Schnittstellen (HMI), programmierbare Logiksteuerungen (PLC), Remote Terminal Units (RTU), Überwachungssteuerungs- und Datenerfassungssysteme (SCADA) und Jump-Server.
• Zu den Gebäudemanagementsystemen gehören Heizungs-, Lüftungs- und Klimaanlagen (HVAC) sowie Beleuchtungs-, Sprinkler- und Brandmeldesysteme.
• Zu den gängigen IoT-Geräten in Unternehmen zählen Sicherheitskameras, Drucker, VoIP-Telefone und Tablets etc.

Einsatz von Zero Trust bei OT am Beispiels von Palo Alto Networks

Darüber hinaus bewertet zum Beispiel die Zero-Trust-OT-Security-Lösung von Palo Alto Networks das Risiko von OT-Assets, indem sie das Verhalten, die interne und externe Kommunikation sowie Warnmeldungen bei Abweichungen vom normalen Prozessverhalten überwacht. Die Identifizierung der Assets und die Risikobewertung erfolgen passiv und ohne Beeinträchtigung der OT-Prozesse.

Gleichzeitig sichert diese OT-Security-Lösung den OT-Perimeter mit einer Segmentierung der OT-Netzwerke von der Unternehmens-IT und schützt OT-Assets mit einer feinkörnigen Segmentierung auf der Grundlage von OT-Asset-Risiko, Protokollkontext und Prozesskritikalität. Auf diese Weise können Unternehmen verhindern, dass Bedrohungen von ihrem IT-Netzwerk auf ihr OT-Netzwerk übergreifen.

Zero Trust für den Remote-Betrieb

Palo’s Zero-Trust-OT-Security-Lösung ermöglicht es Unternehmen, das Prinzip der geringsten Privilegien vollständig umzusetzen. Hierzu werden Remote-Anwendungen auf der Grundlage von App-IDs und deren Interaktionen mit den OT-Assets in der Anlage oder am Standort identifiziert. Dies hilft, einen Remote-Zugriff mit konsistentem Zero-Trust-Least-Privilege-Zugriff auf OT-Umgebungen für Dritte, Remote-Fachpersonen und Produktionsmitarbeitende zusätzlich zu sichern.

Zero Trust für mit 5G verbundene Anlagen

Unternehmen können mit der Zero Trust OT Security von Palo Alto Networks granulare Segmentierungsrichtlinien, die auf Sichtbarkeit des 5G-Verkehrs basieren, durchsetzen. Die Lösung identifiziert Teilnehmenden-ID, Geräte-ID, Anwendungen und 5G-Dienste in allen Anlagen und an entfernten Standorten. Dies hilft Unternehmen, ihre Angriffsfläche zu reduzieren, unbefugten Zugriff zu verhindern und die seitliche Verlagerung von Bedrohungen zu unterbinden. Die Zero-Trust-OT-Security-Lösung bewertet kontinuierlich den Zustand mobiler OT-Ressourcen und beschleunigt die Reaktion auf Vorfälle, indem sie infizierte OT-Ressourcen korreliert und isoliert.

Zero Trust OT Security für «zero» Ausfallzeiten von Palo Alto Networks

Mit umfassender Transparenz und Sicherheit für OT-Assets, über 5G vernetzte Assets und den Remote-Betrieb unterstützt Zero Trust OT Security von Palo Alto Networks die konsistente Umsetzung des Zero-Trust-Prinzips überall dort, wo es benötigt wird. Zero Trust OT Security sorgt dabei für branchenführende Sicherheit und für hervorragende operative Verfügbarkeit:

• Umfassende Transparenz als Ausgangspunkt
  Wie es so treffend heisst: Was man nicht sieht, kann man nicht schützen. Und OT-Assets gehören zu den Geräten, deren Erkennung am schwierigsten ist. Zero Trust OT Security von Palo Alto Networks baut auf der bereits branchenführenden Transparenz auf und fügt ihr mit Industrial OT Security eine tiefgehende, breite OT-Geräteabdeckung hinzu.
• Ausweitung von Zero Trust auf alle Umgebungen
  Die Durchsetzung des Zero-Trust-Prinzips fällt Unternehmen in ihren sehr vielfältigen Umgebungen oft schwer. In Netzwerken kommen OT- und IT-Geräte einander immer näher. Mitarbeitende, Partner und Anbieter greifen per Fernzugriff auf ihre Einrichtungen zu. Gleichzeitig werden die Architekturen durch neue Technologien wie die zunehmend genutzten 5G-Netzwerke immer komplexer. Mit Zero Trust OT Security können Industrieunternehmen jede dieser Umgebungen mühelos schützen, dank minimalen Zugriffsrechten, kontinuierlicher Prüfung der Vertrauenswürdigkeit und Sicherheit.
• Einfacher Betrieb
  Viele Unternehmen haben eine heterogene Infrastruktur, welche sehr komplex und voller Sicherheitslücken ist und so die verantwortlichen Teams als auch Budgets stark belasten. Vor dem Hintergrund der immer instabileren weltwirtschaftlichen Lage benötigen sie eine konsistente, benutzerfreundliche und erschwingliche Lösung.

Durch die Umsetzung der drei oben beschriebenen Prinzipien hat Palo Alto Networks eine Lösung entwickelt, die genau das bietet, was OT-Manager benötigen: Zero-Trust-Sicherheit und die OT-Umgebungen rund um die Uhr am Laufen zu halten.

Ihre Zero-Trust-Reise beginnt mit unserem Zero Trust Readiness Assessment

Zur Identifizierung der Risiken, allfälliger Schwachstellen in der aktuellen Zero-Trust-Strategie beziehungsweise deren Umsetzung, ist das InfoGuard «Zero Trust Readiness Assessment» genau der richtige Startpunkt! Dabei werden wir Ihnen unter anderem aufzeigen, welche Good Practices in Ihrer Zero-Trust-Strategie noch nicht ausreichend definiert oder umgesetzt wurden. Abweichungen werden hinsichtlich ihrer Risikokritikalität bewertet. Auf dieser Grundlage werden priorisierte Handlungsempfehlungen erarbeitet und in Form eines Lösungswegs aufgezeigt. Interessiert? Dann freuen wir uns auf Ihre Anfrage.