Pressemitteilungen Rhebo

News

Welcher der 4 Typen des OT-Monitoring passt am besten?

Raphael Arakelian has been testing OT monitoring system for their effectiveness for many years. He has developed a guide that identifies 4 categories of OT monitoring. In this episode of OT Security Made Simple, Raphael explains host Klaus Mochalski and our listeners the differences and which type works best depending on the operational goal(s) within a company.

 

 

 

Hören Sie uns auf:

  

 

Transkript

Klaus Mochalski

Hallo und willkommen zu einer neuen Folge des OT Security Made Simple Podcast. Ich bin Klaus Mochalski, Ihr Podcast-Moderator, und ich bin einer der Gründer von Rhebo. Mein heutiger Gast ist Raphael Arakelian. Er arbeitet bei PwC Canada und ist ein OT und IoT Cybersecurity Manager. Wir werden uns heute über ein Klassifizierungsschema für OT-Sicherheitslösungen unterhalten, das du, wie ich glaube, entwickelt hast. Aber bevor wir uns damit beschäftigen, ein paar Worte zu deiner Person, Raphael.

Raphael Arakelian

Danke, Klaus, für die Einführung. Danke, Rhebo, dass ich dabei sein darf. Ich bin sehr gespannt auf unser heutiges Gespräch. Ich bin seit ein paar Jahren bei PwC Canada tätig. Ich bin spezialisiert auf OT- und IoT-Cybersicherheit, insbesondere auf die Überwachung der OT-Cybersicherheit. Ich leite unser nationales Team hier in Kanada, in dem wir Produkte für die OT-Cyber-Überwachung im direkten Vergleich bewerten. Wir führen auch Proof-of-Concepts, Implementierungen und Konfigurations- oder Monitoring-Dienste durch. Das ist definitiv ein Thema, das mir sehr am Herzen liegt, und ich freue mich, heute hier darüber zu sprechen.

Klaus Mochalski

Ausgezeichnet. Wir haben einige Zeit damit verbracht, unsere heutige Sitzung vorzubereiten, und wir hatten einige interessante Gespräche über dein Klassifizierungsschema. Wir haben heute nicht die Freiheit, Folien zu verwenden, also denke ich, es ist an dir, unseren Zuhörern zu erläutern, wie dein Schema aussieht. Welche verschiedenen Kategorien gibt es und was ist das Besondere an diesen Kategorien? Ich denke, am wichtigsten ist, wie sie den Kunden dienen. Wie helfen sie Kunden, die richtige OT-Monitoring-Lösung zu finden?

Raphael Arakelian

Bevor wir uns mit den Kategorien befassen, zunächst ein paar Hintergrundinformationen. Anfang dieses Jahres habe ich einen Leitfaden für Anlagenbesitzer entwickelt, der sie dabei unterstützt, im Rahmen von Proof-of-Concepts OT-Cyber-Monitoring-Tools in direkter Gegenüberstellung zu bewerten. Dies war Teil meiner Präsentation oder technischen Sitzung für die jährliche ICS-JWG-Veranstaltung der CISA, was für die Industrial Control Systems Joint Working Group steht, die jährlich in Salt Lake City stattfindet.

Es handelt sich also um einen Leitfaden, den ich auf der Grundlage meiner Erfahrungen sowohl in der Praxis als auch in einer Laborumgebung, in der ich kontinuierlich Produkte untersuche, in den letzten Jahren entwickelt habe. Der Leitfaden selbst hilft, wie bereits erwähnt, Anlagenbesitzern durch einen schrittweisen Aufbau, um Anforderungen an ein Cyber-Monitoring-Produkt zu sammeln, die verschiedenen Arten von OT-Cyber-Monitoring zu verstehen. Es gibt e verschiedene Phasen, die am Ende mit der Auswahl eines Produkts durch das Unternehmen abgeschlossen werden. Die Kategorisierung, über die ich zu Beginn dieses Leitfadens in den Anfangsphasen gesprochen habe, zeigt, dass es vier verschiedene Klassifizierungen von OT-Cyber-Monitoring gibt:

  1. netzwerkbasiertes OT-Monitoring [network-based OT monitoring],
  2. gerät- bzw. hostbasiertes OT-Monitoring [host-based OT monitoring],
  3. integrationsbasiertes OT-Monitoring [integration-based OT monitoring],
  4. und gezieltes aktives Scannen [targeted active scanning].

Klaus Mochalski

Okay, das ist interessant. Du hast also vier Kategorien identifiziert. Lass mich das wiederholen, wenn ich mich richtig erinnere. Erstens: Host-basierte Überwachung, zweitens: netzwerkbasierte Überwachung, drittens: integrationsbasierte Überwachung, und viertens: aktives Scannen.

Raphael Arakelian

Ja, gezieltes aktives Scannen. Das sollte nicht mit dem traditionellen oder IT-typischen aktiven Scannen verwechselt werden.

Klaus Mochalski

Das stimmt. Lass uns vielleicht damit beginnen, die vier Kategorie zusammenzufassen und kurz zu erklären, was du unter jeder Kategorie verstehst, und vor allem, wie sie sich voneinander unterscheiden.

Raphael Arakelian

Sicher. Zuerst werde ich eine Zusammenfassung jedes einzelnen geben, und danach über die Vor- und Nachteile jeder einzelnen Lösung sprechen.

Beginnen wir mit der ersten, die in der Regel als die De-facto-Methode des OT-Cyber-Monitoring angesehen wird. Es ist das netzwerkbasierte Monitoring. Wenn wir über diese Art der Überwachung sprechen, geht es darum, dass das Tool im Wesentlichen den Netzwerkverkehr oder die Netzwerkdaten in einer Umgebung auswertet, sei es durch Port-Spiegelung oder durch den Einsatz von [Netzwerk-] Taps.Das Tool nimmt diesen Verkehr auf, zergliedert ihn und analysiert ihn. Auf dieser Grundlage identifiziert es Assets, Attribute und Schwachstellen und führt auch eine netzwerkbasierte Bedrohungserkennung [Threat Detection] durch. Dies ist eine netzwerkbasierte Überwachung. Sie ist im Wesentlichen von der Netzwerkinfrastruktur der Umgebung abhängig.

Das hostbasierte OT-Monitoring, das im Gegensatz zum netzbasierten Monitoring nicht von der Netzinfrastruktur abhängt, ist von einzelnen Endpunkten abhängig. Bei der hostbasierten Überwachung werden also Agenten eingesetzt, die auf bestimmten Endpunkten installiert werden. In der Regel handelt es sich dabei um IT-ähnliche Endpunkte. Also Windows-Rechner, Linux, usw. Es gibt nur sehr wenige Anbieter, die auch hostbasierte Überwachung anbieten, indem sie Agenten auf OT-Endpunkten einsetzen. Die meisten konzentrieren sich auf IT-Endpunkte. Bei der hostbasierten Überwachung wird in der Regel nicht der Netzwerkverkehr, traditionell über Switches, sondern die verschiedenen Arten von Audit-Trails und Protokolldateien untersucht, die sich auf dem einzelnen Endpunkt oder Host befinden, um die verschiedenen Aktivitäten durchführen zu können, die ich für die netzwerkbasierte Überwachung erwähnt habe.

Der dritte Typ, das integrationsbasierte Monitoring, ist ein Begriff, den ich gerne speziell für Tools verwende, die sich auf die Datenquellen konzentrieren, die in einer Betriebsumgebung verfügbar sind. Unternehmen haben vielleicht eine SCADA-Anwendung, sie haben vielleicht eine OPC-Software oder einen Server, der in der Umgebung läuft. Das integrationsbasierte Monitoring greift auf diese Datenquellen zurück, die verfügbar sind und als Quelle der Wahrheit [source of truth] betrachtet werden, und hilft entweder bei der Erstellung einer Konfigurationsmanagement-Datenbank oder gibt Einblick in die Schwachstellen. Der Schwerpunkt liegt also eher auf der Bestandsaufnahme von Anlagen und der Identifizierung von Schwachstellen und weniger auf der Erkennung von Bedrohungen. Genau das ist integrationsbasiertes Monitoring. Integrationsbasiertes Monitoring kann ein eigenständiges Produkt sein, auch wenn es sehr selten vorkommt. Die meisten Anbieter verwenden integrationsbasiertes Monitoring als Zusatzfunktion für netzwerkbasiertes Monitoring oder hostbasiertes Monitoring. Es handelt sich also in der Regel um eine Zusatzfunktion, obwohl es nur sehr wenige Anbieter gibt, die sich ausschließlich auf integrationsbasiertes Monitoring konzentrieren.

Klaus Mochalski

Ist das etwas, das wir normalerweise direkt von einem Hersteller beziehen würden? Nehmen wir an, Sie haben eine Honeywell- oder Siemens-Umgebung. Dann würden Sie sich für eine integrationsbasierte Monitoring-Lösung an diese Anbieter wenden.

Raphael Arakelian

Ja, das ist richtig. Nun, nicht direkt mit dem OEM, aber der OT-Monitoring-Anbieter hätte kundenspezifische Integrationen mit den vorhandenen Assets entwickelt, um diese Daten aufzunehmen und dann für die verschiedenen von mir erwähnten Funktionen zu analysieren - sei es die Bestandsaufnahme von Anlagen oder die Erkennung von Schwachstellen.

Ich möchte auch erwähnen, dass ich jede Aufnahme von Konfigurationsdateien oder bestehenden Bestandsverzeichnissen – selbst wenn es sich nur um eine Excel-Tabelle handelt, auch wenn es ein manueller Prozess ist – als integrationsbasiertes Monitoring einstufe, da keine Live-Daten aus der Netzwerkinfrastruktur, z. B. von den Switches oder den Endpunkten selbst, aufgenommen werden. Sie nehmen die Daten, die zur Verfügung stehen, und führen die Prozesse aus, die für die Überwachung erforderlich sind. Das ist also integrationsbasiertes Monitoring.

Der vierte Punkt, gezieltes aktives Scannen, ist, wie ich bereits erwähnt habe, nicht mit traditionellem oder IT-typischem Scannen zu verwechseln. Ich weiß, dass Anbieter im Bereich des OT-Cyber-Monitoring in der Regel die Worte "aktiv" und "Scanning" nicht im selben Satz verwenden. Stattdessen gibt es etwa ein Dutzend verschiedene Bezeichnungen dafür. So gibt es aktive Abfragen, sichere Abfragen, Polling, Smart Polling, Safe Polling, Sondierung, selektive Sondierung. Aber ich fasse sie gerne unter diesem einen Begriff zusammen, nämlich gezieltes aktives Scannen. Denn auch wenn IT-Scans mit einem schlechten Vorurteil behaftet sind, was ja auch stimmt, geht es beim gezielten aktiven Scannen darum, dass das Tool tatsächlich punktuell scannt. Es ist eine aktive Kommunikation, aber sie ist sehr gezielt. Das bedeutet, dass das Tool die bekannte Kommunikation nachbildet, die typischerweise zwischen einer Workstation und bestimmten Endpunkten stattfindet. Es ist sehr gezielt, es ist sehr spezifisch. Und die Forschung zeigt, und das ist etwas, woran ich gerade arbeite, dass es eine vernachlässigbare Auswirkung auf die Endpunkte hat, die mit dieser Methode gescannt werden.

Klaus Mochalski

Wahrscheinlich, vor allem bei neuen Infrastrukturen, und ich denke auch, dass einer der Vorteile - aber zu den Vor- und Nachteilen kommen wir später - die bessere Datenqualität ist, die man in kürzerer Zeit im Vergleich zu passiven Lösungen erhält.

Raphael Arakelian

Richtig. Kommen wir also zu den Vor- und Nachteilen.

Das letzte, was ich über gezieltes aktives Scanning erwähnen möchte, ist, dass es, ähnlich wie integrationsbasiertes Monitoring, ein eigenständiges Produkt sein kann oder eine Erweiterung oder ein Add-on zu netzwerkbasiertem oder hostbasiertem oder sogar integrationsbasiertem Monitoring sein kann. Es gibt einige Anbieter, auch wenn es nur wenige sind, die sich nur auf gezieltes aktives Scannen konzentrieren. Das ist der Kern ihres Produkts. Aber es gibt auch eine Reihe von Anbietern, die gezieltes aktives Scannen, wie ich bereits erwähnt habe, als Add-on anbieten, um die Einschränkungen ihres Kernprodukts zu kompensieren.

Klaus Mochalski

Richtig. Die meisten Anbieter passiver Monitoringsysteme haben also auf die eine oder andere Weise aktive Komponenten in ihre Produkte integriert, die Sie aktivieren können oder die der Kunde aktivieren kann, wenn er dies wünscht.

Raphael Arakelian

Ja, sicherlich. Viele haben diesen Pfad eingeschlagen. 

Klaus Mochalski

Okay. Bevor wir uns mit den Vor- und Nachteilen befassen, eine kurze Einordnung der Rhebo-Angeiffserkennung. Meiner Meinung nach lässt es sich am ehesten als netzwerkbasiertes Monitoring-Produkt kategorisieren. Aber wir haben auch über die Überschneidungen gesprochen, und ich denke, das ist besonders interessant. Was würde ich als Anlagenbesitzer in Bezug auf die Klassifizierung tun, und was könnte für meinen letzten Auswahlprozess hilfreich sein?

Das Rhebo-System nutzt in der Regel den Netzwerkverkehr, daher würde ich es als netzwerkbasiert einstufen. Wir haben aber auch Installationen, bei denen wir direkt auf dem Gerät laufen. Wir können also auf einem Industrieswitch laufen, wir können auf einer SPS laufen, und es gibt andere Lösungen, andere Anbieter, die dasselbe tun. Aber auch wenn wir dann auf einem bestimmten Gerät laufen und potenziell auf Hunderten oder sogar Zehntausenden von Geräten laufen können, sogar auf IoT-Geräten, arbeiten wir immer noch hauptsächlich mit Netzwerkverkehr. Würdest du eine solche Lösung also als netzwerk- oder als hostbasiert einstufen?

Raphael Arakelian

In den Fällen, in denen du zum Beispiel die SPS erwähnst, gibt es dann etwas, das auf der SPS läuft, eine Art “Agent”?

Klaus Mochalski

Man könnte es einen Agent nennen, aber im Grunde ist es ein Erfassungsprozess, der den Netzwerkverkehr der Netzwerkschnittstelle mit verschiedenen Mitteln aufzeichnet, die das Betriebssystem bereitstellt. Die Software tut dann genau das Gleiche, als ob die Daten von einem Netzwerk-Tap kommen würden. Sie kommen nur nicht von einem physischen Tap, sondern von einem, nennen wir es mal, virtuellen Abgriffpunkt, der auf der SPS als Teil des Software-Agent läuft.

Raphael Arakelian

Okay, und die andere Frage, die ich stellen würde, ist, hat der Agent auf der SPS Einblick in die internen Prozesse der SPS?

Klaus Mochalski

Das wäre eigentlich meine nächste Frage. Wir können das tatsächlich tun. Wir haben Beispielinstallationen, bei denen wir ausschließlich mit dem Netzwerkverkehr arbeiten, auch wenn wir auf einer SPS laufen. Aber wir haben auch Installationen, bei denen wir zusätzlich zur Erfassung des Netzwerkverkehrs auch lokale Quellen wie Protokolldateien und die bereits erwähnten Audit-Trails anzapfen. Wir kombinieren diese beiden Datenquellen, um im Grunde in kürzerer Zeit zu verstehen, was vor sich geht, und um möglicherweise auch eine qualitativ hochwertigere Analyse eines bestimmten Vorfalls zu liefern, der gerade stattfindet.

Raphael Arakelian

In dem letztgenannten Beispiel, in dem Protokolldateien untersucht werden, würde ich das getrost als host-basiertes Monitoring bezeichnen. In dem Beispiel, in dem du immer noch eine Art Agent auf der SPS einsetzt, der aber nur den Netzwerkverkehr untersucht, würde ich es ehrlich gesagt immer noch als host-basiertes Monitoring einstufen, einfach weil es von der Art des Einsatzes, dem erforderlichen Aufwand und den Voraussetzungen her immer noch unter host-basiertes Monitoring fallen würde. Wenn man sich nur den Netzwerkverkehr ansieht, hat man wahrscheinlich nicht so viel Einblick wie bei einem klassischen host-basierten Monitoring. Das sind meine ersten Gedanken.

Klaus Mochalski

Okay. Ich denke, es ist wichtig für unsere Zuhörer zu verstehen, dass die Grenzen zwischen diesen Kategorien fließend sein können. Und vielleicht ist es sinnvoll, sich jetzt jede Kategorie anzuschauen und über die Vor- und Nachteile der Lösung zu sprechen. Und das kann dann auch bei der Unterscheidung zwischen der einen oder der anderen Kategorie helfen, vor allem, wenn Sie Ihre erste Wahl treffen wollen, welche Lösung Sie tatsächlich implementieren wollen.

Raphael Arakelian

Ja. Wir fangen in der gleichen Reihenfolge an.

Beim netzwerkbasierten Monitoring ist nach meiner Erfahrung und den Anforderungen der Unternehmen in der Regel eine relativ schnelle Implementierung erforderlich. Ich weiß, dass dies auch fließend oder subjektiv sein kann. Natürlich gibt es auch Ausnahmen von der Regel. Aber wenn ich mir verschiedene Organisationen in unterschiedlichen Branchen anschaue, haben sie beim netzwerkbasierten Monitoring verschiedene Möglichkeiten. Entweder ist die Netzwerkinfrastruktur ausgereift genug, d. h. es gibt Switches, die Port Mirroring unterstützen. In diesen Fällen ist die Implementierung relativ einfach. Und wenn das Unternehmen keine ausgereifte Netzwerkinfrastruktur hat, kann es entweder die Infrastruktur aufrüsten oder es kann Netzwerk-Taps einführen. Abgesehen von den Kosten werden sie aufgrund der Abhängigkeit vom Netzwerkverkehr in der Regel eine hohe Abdeckung durch eine relativ schnelle Implementierung erreichen.

Wenn man die Infrastruktur aufrüstet, braucht das natürlich Zeit. Aber wie ich schon sagte, haben die Organisationen im Allgemeinen einige Optionen zur Verfügung. Diese Flexibilität sollte man im Auge behalten. Ein weiterer Vorteil des netzwerkbasierten Monitoring ist, dass es nicht rückwirungsfrei ist. Da das Monitoring passiv erfolgt, ist diese Tatsache vom betrieblichen Standpunkt aus gesehen von Vorteil. Dies steht im Zusammenhang mit dem dritten Vorteil oder dem dritten Pro, der darin besteht, dass es aufgrund des nicht-intrusiven Charakters relativ einfach ist, die OT-Stakeholder, Standortbesitzer, Anlagenbetreiber, Techniker usw. für diese Vision der Cybersicherheitsüberwachung zu gewinnen, da sie ihre täglichen Prozesse nicht stört.

Klaus Mochalski

Sie müssen nicht befürchten, dass Sie bei der Implementierung der Lösung etwas kaputt machen.

Raphael Arakelian

Ja. Das Risiko ist in der Regel relativ gering, und das sorgt theoretisch für mehr Ruhe, und das kann dazu beitragen, dass die Dinge schneller vorangehen. Der andere Vorteil, den ich vorhin schon angedeutet habe, ist, dass die Lösungen in der Regel auch Asset Management, Konfigurationsmanagement, Schwachstellenmanagement und Angriffserkennung betreiben. Es gibt also eine breite Abdeckung von Cybersicherheitskontrollen.

Wenn wir nun zu den Nachteilen übergehen, ist es interessant, weil es ein zweischneidiges Schwert ist. Die einfache Installation und der hohe Abdeckungsgrad können sich in Nachteile verwandeln, denn auch wenn Sie eine hohe Abdeckung der Assets haben, wird die Sichtbarkeit der einzelnen Assets gering sein. Und es wird eine ganze Menge an Konfiguration und Simulation des Datenverkehrs erforderlich sein, um die Informationen über die Assets zu erweitern. Und manchmal ist das für viele Unternehmen nicht wirklich tragbar, wenn es sich um Tausende von Assets handelt. Das ist also eine der Grenzen für des netzwerkbasierten Monitoring.

Die andere Einschränkung besteht darin, dass zwar eine große Anzahl von Cybersecurity-Kontrollen vorhanden ist, aber bei der Erkennung von Bedrohungen eine hohe Rate von Fehlalarmen [false-positive] auftritt. Das liegt daran, dass die Spezifität oder der Einblick in die Assets gering ist und man sich auch auf den Netzwerkverkehr verlässt. Das Vertrauen in das, was als Warnung angezeigt wird, ist relativ gering. Ich denke, das gilt für das netzbasierte Monitoring.

Kommen wir nun zum host-basierten Monitoring, wenn du keine Ergänzungen oder Fragen hast. Nein? OK. Die Vorteile des host-basierten Monitorings liegen darin, dass man eine hohe Sicherheit in Bezug auf die Sichtbarkeit oder Spezifität der einzelnen Endpunkte hat. Das liegt daran, dass der Agent sich speziell auf diesem Endpunkt befindet und die Prozesse sowie die verschiedenen Protokolle und Pfade kennt, die bewertet oder analysiert werden. Man hat also ein hohes Maß an Vertrauen in das, was man sieht. Ein weiterer Vorteil besteht darin, dass das host-basierte Monitoring zusätzlich zu all den Cybersecurity-Kontrollen, die das netzwerkbasierte Monitoring abdeckt, in der Lage sein wird, dies zu tun. Hinzu kommen einige neue Kontrollen, wie z. B. das Patch-Management, das in der Regel nicht durch netzwerkbasiertes Monitoring durchgeführt werden kann. Das ist etwas, das durch host-basiertes Monitoring durchgeführt werden kann. Ich würde sagen, das sind die großen Vorteile, und sie ergänzen die Einschränkungen des netzwerkbasierten Monitoring.

Was jedoch die Einschränkungen angeht, so ist der Bereitstellungsprozess für host-basiertes Monitoring langsamer. Sie haben es mit einzelnen Assets zu tun, die eine Installation erfordern. In der OT-Umgebung gibt es in der Regel keine zentralisierte Möglichkeit, die Agents auf die einzelnen Endpunkte zu bringen. Sie müssen dies also im Grunde auf jedem einzelnen Gerät tun. Der andere Nachteil ist, dass die OT-Stakeholder in der Regel mehr Vorbehalte gegen die Bereitstellung von Agents auf den Endpunkten haben, weil es Risiken im Zusammenhang mit Unterbrechungen geben könnte.

Ausgehend von Untersuchungen und dem, was wir in OT-Umgebungen und bei Agents, die speziell für OT-Endpunkte entwickelt wurden, gesehen haben, ist das Risiko jedoch recht gering, da die Arbeitslast auf diesen Endpunkten dieselbe ist wie bei einem IT-Agent. Natürlich gibt es immer ein Risiko, und es ist immer relativ, wenn man es mit netzwerkbasierten Lösungen vergleicht. Aber es gibt dieses Vorurteil. Daher kann es manchmal schwieriger sein, die Beteiligten für diese Vision zu gewinnen. Ich würde sagen, das sind die Hauptnachteile.

Ein weiterer Nachteil des host-basierten Monitorings ist die eingeschränkte Kompatibilität, denn der Agent muss mit dem Endpunkt selbst, mit dem Betriebssystem des Endpunkts, kompatibel sein. Die meisten Anbieter konzentrieren sich, wie bereits erwähnt, auf den IT-Typ. Wenn es also in einer OT-Umgebung keine, sagen wir, IT-Endpunkte gibt und der Anbieter keine Funktionen für OT-Endpunkte anbietet, dann bleiben nicht viele Optionen, um diesen Weg zu gehen. Im Vergleich zum netzwerkbasierten Monitoring gibt es mehr Abhängigkeiten von der Infrastruktur, denn [für netzwerkbasiertes Monitoring] gibt es in der OT-Umgebung höchstwahrscheinlich einen Netzwerk-Switch.

Klaus Mochalski

Vor allem in Umgebungen mit mehreren Anbietern kann dies zu dem Problem führen, dass man nie den gleichen Abdeckungsgrad erreicht wie mit einer netzwerkbasierten Lösung. Denn den verschiedenen Anbietern fehlt die Unterstützung für die Agents, die man einsetzen müsste.

Raphael Arakelian

Ja, das ist richtig. Wenn wir die beiden miteinander vergleichen, hat netzwerkbasiertes Monitoring, mehr Abdeckung, weniger Sichtbarkeit oder Spezifität. Host-basiertes Monitoring dagegen hat weniger Abdeckung, aber sehr hohe Spezifität oder Sichtbarkeit der einzelnen Endpunkte. Deshalb ergänzen sie sich gegenseitig.

Klaus Mochalski

Für mich hört sich das nach einer Hybridlösung an, die hier eine ideale Wahl wäre, bei der man im Grunde die Vor- und Nachteile ergänzt. Wenn man also beides dort einsetzt, wo es am besten passt, und wenn man den Support des Anbieters in Anspruch nimmt, könnte das die bestmögliche Lösung sein. Doch bevor wir das diskutieren, sollten wir noch kurz auf die Vor- und Nachteile der beiden anderen Kategorien eingehen.

Raphael Arakelian

Sicher. Die Vorteile einer integrationsbasierten Lösung liegen darin, dass Sie sich auf Quellen der Wahrheit verlassen, von denen man weiß, dass sie auf die eigene OT-Umgebung anwendbar sind, weil man sie nutzt - SCADA, OPC usw. Man hat ein hohes Maß an Vertrauen oder Sichtbarkeit in das Asset-Inventar, das auf dieser Grundlage erstellt oder aufgenommen wird. Außerdem lassen sich Konfigurationen und Schwachstellen nachverfolgen - auch hier ohne Abhängigkeit vom Netzwerkverkehr, den einzelnen Endpunkten oder dem Rollout. So gesehen ist das Vertrauen in diese Art von Cybersicherheitskontrollen sehr hoch.

Bei den Nachteilen sehen wir wieder einmal ein zweischneidiges Schwert. Da diese Art der Überwachung eine Abhängigkeit von der Datenbank selbst oder der Software, mit der gearbeitet wird, voraussetzt, ist ein hohes Maß an Anpassung erforderlich. Wenn man also eine Siemens-Plattform oder eine ABB-Plattform hat, muss der Anbieter, der OT-Monitoring-Anbieter, tatsächlich eine Integration mit jeder dieser Plattformen vornehmen. Das ist sehr zeit- und arbeitsaufwändig, und es sollte sich für den Anbieter relativ gut rechnen, sich darauf einzulassen. Es gibt vielleicht nicht viele Optionen, wie man das machen kann.

Das andere Manko ist vielleicht kein Manko, sondern eher eine Frage des Geschmacks, wie man an die OT-Cyberüberwachung herangeht. Mit diesem [dem integrationsbasierten] Ansatz geht es nicht um die Angriffserkennung. Der Schwerpunkt liegt auf der Entwicklung eines umfassenden Asset Inventories, damit Konfigurationsobjekte, Schwachstellen usw. verfolgt werden können. Das ist alles zum integrationsbasierten Monitoring.

Beim gezielten aktiven Scannen ist es von Vorteil, wenn man einen sehr guten Einblick in einzelne Anlagen hat. Denn man ruft im Grunde spezifische individuelle Antworten von diesen Endpunkten ab, die auf der Kommunikation basieren, die sie normalerweise zu übertragen pflegen. Man erhält einen umfassenden Einblick in die Informationen über die Anlagen und ihre Konfigurationen. Dadurch erhält man auch ein hohes Maß an Vertrauen in die erkannten Schwachstellen. Das ist einer der Hauptvorteile des gezielten aktiven Scannens.

Was die Nachteile angeht, so gibt es manchmal auch das Vorurteil, dass die Hersteller oder OEMs nicht wollen, dass ihre Geräte gescannt werden. Wir sehen das auch manchmal beim Einsatz von Agents. Ein weiterer Nachteil ist die Tatsache, dass einige Anbieter für ihre Lösung eine Software benötigen, die auf einer Workstation installiert werden muss. Die Kompatibilität wird also eingeschränkt sein. An manchen Standorten gibt es vielleicht keine Workstations. Es gibt bestimmte Branchen, in denen diese Flexibilität nicht gegeben ist.

Die andere Herausforderung besteht darin, dass beim gezielten aktiven Scannen, obwohl jede Art des Monitoring eine Konfiguration erfordert, diese Art der Methodik etwas mehr Aufwand in Bezug auf die Konfiguration erfordert.

Denn man will sicherstellen, dass die Profile, die man verwendet, oder die gezielten Scans, die man einsetzt, mit den Endpunkten und dem, was sie zu sehen erwarten, übereinstimmen. Natürlich ändert sich die OT-Umgebung, so dass man stets auf dem Laufenden bleiben muss, damit man keine Pakete sendet, die von den Endpunkten nicht erwartet werden und zu Störungen führen können. Und natürlich gibt es noch eine weitere Überlegung, nämlich die Fähigkeit des Anbieters. Da es so viele Protokolle, so viele Anbieter und so viele verschiedene Gerätetypen gibt, ist es möglich, dass Sie nicht alle Möglichkeiten abdecken können. Die gebräuchlichsten Hersteller und Protokolle werden in der Regel abgedeckt, aber es gibt einen gewissen Prozentsatz, den der Anbieter möglicherweise nicht abdecken kann, und das sollte man im Hinterkopf behalten.

Klaus Mochalski

Richtig. Es ist also eher ein Vertrauensproblem, wenn man über den Einsatz dieser Lösungen nachdenkt und sich Sorgen über Unterbrechungen macht. Und auf lange Sicht wird es zu einer Frage des Supports, da man bei einer netzwerkbasierten Lösung mit einer bestimmten Anzahl von Netzwerkprotokollen konfrontiert ist, die man unterstützen muss. Bei diesem gezielten aktiven Scanning-Ansatz hingegen hat man es mit vielen verschiedenen Produkten zu tun, mit Produktkategorien, aber auch mit einzelnen Produkten, die sich unterschiedlich verhalten können, selbst bei einem einzigen Anbieter. In diesem Fall muss man sich also auf die langfristige Unterstützung des gewählten Anbieters verlassen.

Raphael Arakelian

Ja, denn es ist immer noch ein hohes Maß an Anpassung erforderlich.

Klaus Mochalski

Du hast dir den Markt für Lösungen eine ganze Weile angeschaut. Du hast Installationen bei Kunden gesehen, Kunden beraten. Du hast dieses Klassifizierungsschema entwickelt. Siehst du den Markt für OT-Überwachungslösungen in eine bestimmte Richtung gehen? Handelt es sich um eine hybride Lösung, bei der alle diese Lösungen zum Einsatz kommen? Oder denkst du, dass sich eine oder zwei dieser Kategorien langfristig auf dem Markt durchsetzen werden?

Raphael Arakelian

Das ist eine gute Frage. Ich bin mir nicht sicher, ob ich sagen kann, dass sich eine bestimmte Kategorie durchsetzen wird. Ich denke, es wird immer Bedarf für alle vier Kategorien geben. Ich denke, wir werden mehr und mehr das sehen, was ich im Leitfaden als Entkopplung der Angriffserkennung vom OT-Cyber-Monitoring bezeichne. Denn in der Vergangenheit konnte man, wie ich bereits erwähnt habe, durch netzwerkbasiertes Monitoring Asset Management, Konfigurationsmanagement und so weiter betreiben, aber auch Angriffserkennung.

Jetzt sehe ich, dass sich immer mehr Unternehmen, vor allem mit immer mehr Anbietern, die diese Rolle übernehmen, nur noch auf die Inventarisierung von Assets oder das Tracking von Konfigurationen und Schwachstellen ohne Angriffserkennung konzentrieren. Das bedeutet jedoch nicht, dass die Arten der Überwachung, die sich auf die Angriffserkennung konzentrieren, obsolet werden. Ich denke, im schlimmsten Fall wird sich der Markt 50:50 zwischen diesen beiden Ansätzen aufteilen. Ich denke, dass wir irgendwann sehen werden, dass diese beiden Arten von Lösungen zusammenkommen werden. Natürlich wird das nur in den ersten 5 bis 10 % der reifen OT-Organisationen der Fall sein. Aber ich denke, dass wir mehr und mehr eine Verlagerung in Richtung Anlageninventarisierung sehen werden, aber auch eine Ergänzung zu den Einschränkungen des netzwerkbasierten oder host-basierten Monitoring.

Klaus Mochalski

Langfristig könnte eine Vision darin bestehen, dass die Lösungen, wenn man über offene Schnittstellen nachdenkt, tatsächlich zusammen verwendet werden und zusammenarbeiten und Daten austauschen können. Dies kann entweder über eine zentrale Anlaufstelle wie ein SIEM-System oder sogar durch direkten Datenaustausch geschehen, so dass man die Stärken verschiedener Produktklassen kombinieren kann.

Raphael Arakelian

Ja, und das haben wir auf dem Markt auch schon gesehen. Mir fallen zumindest ein paar Anbieter ein, die diese Kombination von Fähigkeiten oder Ansätzen praktizieren. Mit der Zeit werden wir sehen, wie erfolgreich sie sein werden.

Klaus Mochalski

Das stimmt. Das bringt mich zu der wichtigsten Frage dieser Folge. Wir versuchen immer, unseren Zuhörern am Ende jeder Folge eine Schlüsselbotschaft, eine wichtige Erkenntnis mit auf den Weg zu geben. Nehmen wir an, ich bin ein Anlagenbesitzer. Ich bin ziemlich ausgereift, was die Cybersicherheit angeht. Ich habe meine Hausaufgaben bezüglich der Netzwerksegmentierung gemacht. Ich habe angemessene Firewalls und andere Sicherheitskontrollen eingerichtet. Heute verwende ich noch kein OT-Monitoring, aber ich habe vor, es einzuführen. Was würdest du mir empfehlen?

Außerdem wissen wir alle, dass die Budgets für solche Implementierungen in der Regel zunächst einmal begrenzt sind. Wir haben also wahrscheinlich nicht die ideale Lösung, bei der wir verschiedene Anbieter kombinieren und alles in einem Schritt einführen können. Was sind also die ersten Schritte, die ein Anlagenbesitzer unternehmen sollte, wenn er sich für eine der verschiedenen von dir genannten Kategorien entscheidet?

Raphael Arakelian

Ja, das ist eine gute Frage. Aus meiner Sicht, Klaus, gibt es unabhängig vom Reifegrad des Unternehmens oder vom Stand der OT-Cybersicherheitsentwicklung wichtige Fragen, die sich die Unternehmen stellen müssen, bevor sie sich für einen Ansatz zur Überwachung der OT-Cybersicherheit entscheiden.

Die Unternehmen müssen verstehen, auf welche Cybersicherheitskontrollen sie sich konzentrieren möchten. Welche sind es, die ihnen fehlen? Vielleicht geht es um bewährte Verfahren, vielleicht um Fragen der Einhaltung von Vorschriften, aber es ist sehr wichtig, darüber nachzudenken. Es gibt aber auch noch andere Fragen, die vielleicht detailliert klingen, aber sehr wichtig sind.

Welche Arten von Endgeräten gibt es in ihren Umgebungen?

Gibt es verschiedene Arten von Herstellern? Wie viele sind es?

Wie ausgereift ist die Netzinfrastruktur?

Verfügen sie über Fähigkeiten, die, sagen wir, den Anforderungen an ein netzwerkbasiertes Monitoring entsprechen?

Sind sie in der Lage, Agents zu implementieren? Ist die Bereitschaft dazu vorhanden?

Wie sieht die Kultur des OT-Teams aus? Wie ist das Verhältnis zwischen IT und OT?

Gibt es Einschränkungen hinsichtlich des Einsatzes in Bezug auf den Platz- oder Energiebedarf?

Sie sind zwar detailliert, aber wenn man diese Fragen durchgeht und über sie nachdenkt - und das ist etwas, was ich in dem von mir entwickelten Leitfaden selbst dargelegt habe -, wird die Organisation in der Lage sein, ihre technischen und geschäftlichen Anforderungen besser zu verstehen. Und wenn die Organisation das geschafft hat, muss sie die Stärken und Grenzen jeder Art von Monitoring überdenken und sie in den Kontext ihrer Anforderungen stellen. Dann kann das Unternehmen die Art des Monitoring auswählen.

Natürlich kann dies nicht direkt geschehen. Es kann sein, dass die Organisation eine direkte Bewertung der verschiedenen Monitoringarten vornehmen muss, was durchaus plausibel ist und gefördert werden kann. Aber wenn sie diese Übung durchlaufen, werden sie besser verstehen, welche Stärken sie anstreben und welche Einschränkungen sie entweder akzeptieren können oder in der Lage sind, als Organisation mit ihnen Schritt zu halten und sie zu umgehen. Ich denke, das ist die wichtigste Empfehlung.

Klaus Mochalski

Richtig. Anstatt sich auf die Vor- und Nachteile zu konzentrieren und das, sagen wir mal, beste Produkt auszuwählen, sollten Unternehmen sich lieber mit sich selbst als Organisation beschäftigen, um zu verstehen:

  • wo sie stehen, was ihre spezifischen Anforderungen sind,
  • was sie schützen müssen,
  • was sie erreichen wollen,
  • welche anderen Ressourcen zur Verfügung stehen.

Für mich hört sich das nach etwas an, wo wir ziemlich oft ankommen. Wenn sich Unternehmen diese Fragen stellen, sollten sie ein bestimmtes Regelwerk für die Cybersicherheit wählen, z. B. das NIS-Regelwerk oder, insbesondere in der Industrie, die IEC 62443. Das ist wahrscheinlich der beste Leitfaden, um herauszufinden, was sie haben, wo sie stehen und wo die Lücken sind.

Und wenn Unternehmen dies verstanden haben und auch das Risikoniveau kennen, das sie bereit sind zu akzeptieren, und was sie bereit sind zu investieren, um das Risiko zu reduzieren, dann können sie sich für die richtigen Lösungen entscheiden, die sie selektiv einsetzen müssen. Und vielleicht sind verschiedene Lösungen für verschiedene Teile des Unternehmens geeignet. Wenn ich das richtig verstanden habe, ist dies also der Prozess, den du normalerweise durchlaufen würdest.

Raphael Arakelian

Ja, absolut. Das ist eine großartige Zusammenfassung. Denn wir wollen nicht, dass Unternehmen in Panik ihr Geld auf die erstbeste Lösung werfen und dann bei der Anwendung erkennen, dass diese Lösung überhaupt nicht die Fähigkeit besitzt, die das Unternehmen benötigt und wollte.

Denn dann haben sie in etwas investiert, was ihnen nicht hilft, sie frustriert und dann ein schlechtes Licht auf die Lösung werfen und pauschal weiterkommunizieren. Ja, Technologien sind nie perfekt. Es gibt immer Limitierungen. Deshalb ist es wichtig, von Anfang zu verstehen, ob diese Lösung überhaupt passt oder nicht. Denn vielleicht ist eine ganz andere Methode viel passender, um die eigene OT-Umgebung abzusichern.

Klaus Mochalski

Genau. Da sind wir wieder bei der Methodologie. Sie ist wichtiger als der reine Fokus auf ein Werkzeug oder eine Lösung. Und das gilt für jedes Unternehmen, ganz unabhängig vom Cyber-Reifegrad. Studieren Sie das für Ihre Branche passende Cybersicherheits-Framework und folgen Sie dem Prozess. Holen Sie bei Bedarf externe Beratung, und gehen Sie dann, ganz am Ende der Reise, in den Auswahlprozess.

Raphael Arakelian

Okay. Ich würde sagen, das ist eine passable Zusammenfassung.

Klaus Mochalski

Sehr gut. Es ist interessant zu beobachten, dass ich immer oder zumindest sehr häufig am Ende meiner Podcasts an diesem Punkt ankomme. Es ist so unglaublich wichtig, diese ersten Schritte zu machen. Das fasst es gut zusammen. Ich bedanke mich vielmals bei dir, in meiner Show zu sein. Danke, dass du das Klassifizierungsschema vorgestellt hast. Ich denke, es gibt eine Menge Details, die wir in einem zukünftigen Podcast vertiefen können. Ich bin gespannt, wie Kunden deine Methodologie anwenden werden. Da bin ich sehr daran interessiert, in Zukunft noch mehr aus deinen Arbeitsergebnissen zu erfahren.

Raphael Arakelian

Absolut. Danke dir vielmals, Klaus. Es war eine tolle Chance, mit dir dieses Gespräch geführt zu haben. Ich hoffe, die Zuhörenden profitieren davon und sind inspiriert, diese wichtige Reise Richtung OT Sicherheitsmonitoring anzutreten.

Klaus Mochalski

Wunderbar. Ich danke für deinen Besuch, Raphael.