Pressemitteilungen Rhebo

News

Was ist Zero Trust wirklich (und funktioniert es in der OT)?

Klaus Mochalski spricht mit Cybersicherheitsexperte Stefan Sebastian, Director Product Management bei Zscaler, über den Paradigmenwechsel durch Zero Trust. Stefan Sebastian erläutert, wie Zero Trust Angriffe wie den auf dänische Energieversorgungsunternehmen im Mai 2023 von vornherein unterbunden hätte und wie das Sicherheitskonzept schrittweise das Problem unzuverlässiger VPN-Verbindungen in der OT obsolet macht.

 

 

 

Hören Sie uns auf:

  

 

Transkript

Klaus Mochalski

Hallo und willkommen zu einer neuen Folge des Podcasts OT Security Made Simple. Ich bin Klaus Mochalski, Gründer von Rhebo. Mein heutiger Gast ist ein sehr alter Bekannter. Wir haben uns vor etwa 15 Jahren getroffen, wenn ich mich nicht irre - Stefan Sebastian. Stefan Sebastian ist Leiter des Produktmanagements bei Zscaler. Und damit übergebe ich das Wort an dich, Stefan, damit du dich kurz vorstellst.

Stefan Sebastian

Hallo, Klaus. Schön, hier im Podcast zu sein. Ja, ja. Wie du schon sagtest, mein Name ist Stefan Sebastian. Ich bin derzeit bei Zscaler als Leiter des Produktmanagements tätig. Aber unsere Zeit geht zurück auf Rhebo und was wir dort aufgebaut haben. Ich freue mich darauf, heute ein paar Themen anzusprechen, insbesondere zum Thema Zero Trust.

Klaus Mochalski

Ja, absolut. Schön, dich hier zu haben. Zu seiner Zeit bei Rhebo hat Stefan auch die Produkt- und Strategieabteilung geleitet. Wir haben also bei der Entwicklung des Produkts und der Entwicklung unserer Markteinführungsstrategie eng zusammengearbeitet. Aber heute wollen wir, wie du gesagt hast, über Zero Trust sprechen. Vor allem in der OT ist das noch ein neues Konzept, mit dem nicht viele Menschen vertraut sind. Deshalb möchte ich dich bitten, unseren Zuhörern eine kurze Einführung zu geben, was Zero Trust kurz und knapp bedeutet. Wir wollen hier nicht zu technisch werden. Und auch, was dies speziell in OT-Umgebungen bedeutet.

Stefan Sebastian

Ja, das kann eine lange Antwort oder eine längere Antwort sein, aber ich versuche, es kurz zu halten. Eigentlich erinnert mich das an - in Deutschland gab es diese Sache, die wir früher hatten - die Bullshit-Bingokarte. Ich weiß, dass diese Sprache wahrscheinlich nicht für alle Medien geeignet ist, aber es ist diese Karte mit diesen Marketingbegriffen. Und wenn man in einem Meeting mit zu vielen Marketingbegriffen ist, darf man laut "Bingo" rufen.

Klaus Mochalski

Daran erinnere ich mich.

Stefan Sebastian

Wenn ich mich nicht irre, wurde es zuerst in Deutschland eingeführt, aber ich glaube, dass auch andere Leute davon wissen. Und Zero Trust ist eines dieser Dinge, die auf vielen dieser Bullshit-Bingokarten stehen. Und das ist bedauerlich, aber es kommt aus einer Position, in der es tatsächlich eine Menge Dinge bedeutet. Denn im Grunde genommen bedeutet es, dass ein Netzwerk und der Zugang zu Ressourcen in diesem Netzwerk unter der Annahme eines Verstoßes konzipiert werden. Was bedeutet, das? Okay, Sie haben all diese Dienste und sind über das Netzwerk mit diesen Diensten und Anwendungen verbunden. Dabei nehmen Sie an, dass keines dieser Enden, diese Benutzer normalerweise kompromittiert werden.

Was tun Sie jetzt? Wenn Sie das Paradigma von der Annahme eines Angriffs ändern, betrachten Sie alles unter diesem Gesichtspunkt. Wie kann man den Benutzer, den Rechner oder den bösartigen Prozess so weit wie möglich einschränken? Wie kann man die Angriffsfläche reduzieren? Wie macht man es dem Angreifer oder dem Insider schwerer, den weiter vorzudringen und mehr Ressourcen für den Angriff zu kapern? Und wie kann man mehr Zeit für die Entdeckung und Wiederherstellung gewinnen? Das alles sind Faktoren. Aber im Grunde - und das ist immer noch eine Art Marketing-Bingo - geht es darum, das Netzwerk so zu gestalten, dass ein Einbruch ausgeschlossen ist. Ja. Jedenfalls ist das sozusagen die übergeordnete Sichtweise in praktischer Hinsicht. Es bedeutet tatsächlich eine Menge verschiedener Dinge. Und ich bin sicher, wir werden sie im Laufe der Diskussion behandeln. 

Klaus Mochalski

Zusammenfassend klingt das für mich wie eine Art Whitelisting-Ansatz für die Zugriffskontrolle, bei dem man nur ein Minimum an Zugriff zulässt, den man unbedingt braucht. Und zwar nicht nur auf persönlicher Ebene, d. h. wer darf zugreifen, sondern auch was beinhaltet dieser Zugriff? Also, welche Anwendungen sind erlaubt, welche Ziele sind über diesen Zugangskanal erlaubt, aber nur das Mindestmaß erlauben. Ist das richtig?

Stefan Sebastian

Ja, ich denke, das ist eine gute übergeordnete Sichtweise. In der Praxis bedeutet das, dass Sie alles ähnlich des Standards NIST SP 800-27 [ersetzt durch SP 800-160] betrachten. Die Grundlage ist, dass Sie Ressourcen haben und alles eine Ressource ist. Und Sie haben Benutzer auf Geräten, die versuchen, auf diese zuzugreifen. Und Sie wollen, dass diese quasi in einen Policy Enforcement Point passen. D.h., Sie wollen nur die Benutzer auf diesen Geräten mit bestimmten Ressourcen verbinden. Und diese Annahme, dieses Designmodell, ist zunächst, dass es sich um authentifizierte Benutzer über eine Multi-Faktor-Authentifizierung handelt. Aber diese Benutzer können nur eine Verbindung zu den Ressourcen, den Anwendungen herstellen, die sie benötigen und für die sie autorisiert sind. Und diese Anwendungen selbst melden sich beim Policy Enforcement Point und sagen: "Ich bin verfügbar".

Und natürlich ist das Zero Trust der Punkt, der besagt, dass Klaus auf diesem Gerät eine Verbindung zu dieser Ressource über diese Kommunikation herstellen kann. Und wir werden diese Kommunikation überwachen. Und jede Sitzung zwischen Klaus und der Ressource wird auf Dinge wie Angriffe von Klaus oder Klaus' Rechner auf die Ressource oder die Exfiltration von Daten aus der Ressource untersucht. Das bedeutet, dass Sie das Paradigma ändern, wonach das Netzwerk implizites Vertrauen genießt. 

Denken Sie zum Beispiel an eine VPN-Verbindung. In der OT-Welt ist es sehr üblich, VPN zu verwenden, um Änderungen an SPSen vorzunehmen oder auf Verlaufsdaten zuzugreifen oder anderweitig das MES zu überprüfen oder was auch immer, und man vertraut implizit diesem Netzwerk. Jetzt haben Sie Zugang und es wird zu einer Verfolgungsjagd. Das ist der Grund, warum das bestehende Sicherheitsparadigma [des impliziten Vertrauens] nicht funktioniert und zu viel kostet, um das erforderliche Risikoniveau zu erreichen. Sie verbinden die Benutzer so, als wären sie Netzwerkpunkte, ihre Heimcomputer, mit Ihrem Unternehmensnetzwerk. Und jetzt sagen Sie, dass Klaus nur auf diese Anwendung oder was auch immer zugreifen kann, und wenn er woanders hingeht, dann werde ich versuchen, den Datenfluss zu unterbrechen. Und das ist wirklich eine sehr kostspielige Art und Weise, Dinge zu implementieren, die Zero Trust behebt.

[Bei Zero Trust] kann sich Klaus nur mit einer Reihe von Anwendungen verbinden, und ich werde nur diese Verbindungen überwachen. Es gibt also keine Unbekannten, es gibt keine Anwendungen, die für das Internet verfügbar sind, es gibt keine eingehenden Verbindungen, es gibt nur ausgehende. Und das ändert das Kostenparadigma wirklich. Und es ist etwas, das wahrscheinlich nur langsam in die OT kommt, einfach weil so viel Vertrauen in diese Technologie besteht. Aber ja, es ist eines der Dinge, die die IT-Landschaft erheblich verändert und in der OT viele Anwendungsmöglichkeiten hat.

Klaus Mochalski

Okay, schauen wir uns also ein wenig die OT an. Ich denke, es ist ziemlich klar, dass Zero Trust intuitiv eine Verbesserung in IT-Umgebungen darstellt. Du hast über den Zugang von Personen, Vertrauensstufen, den Zugriff auf Geräte und Ressourcen gesprochen. Schauen wir uns nun an, wie sich dies auf OT-Umgebungen anwenden lässt. Hier sind plötzlich Menschen und persönliche Informationen weniger wichtig, denn die kritischen Elemente sind Geräte und Systeme, die miteinander kommunizieren. Vielleicht greifen Menschen auf sie zu, aber normalerweise arbeiten sie ziemlich autonom. Wie kann man also das Zero-Trust-Modell nutzen? Oder kann man das Zero-Trust-Modell nutzen, um das Risikoniveau zu senken, wie man es in der IT tut? Auch im OT-Bereich, wo es hauptsächlich Low-End-Geräte gibt, die größtenteils selbstständig arbeiten?

Stefan Sebastian

Ja, es verläuft wahrscheinlich ein bisschen von oben nach unten. Und wie der Top-Down-Ansatz beim Purdue-Modell ist es so, dass es ab einem bestimmten Punkt eine Ebene in der OT gibt, auf der sie heute nicht mehr anwendbar ist. Es geht zum Beispiel um die Echtzeitkommunikation zwischen SPS und Steuerungen. Wenn man also dieses Zero-Trust-Modell einrichtet, also die gesamte Kommunikation steuert, kommt es zu einer Latenzzeit von einigen Millisekunden in der Kommunikation. Man würde den Stack deshalb ein wenig nach oben schieben und sagen: "Okay, wir werden zum Beispiel die Steuerung einer funktionierenden Fabrik nicht ändern. Die Steuerung wird also weiterhin mit den SPSen in Verbindung stehen. Aber es gibt eine Menge verschiedener Benutzer, die dann in die Steuerung gehen und sie programmieren, die andere Aspekte weiter oben im Purdue Network Stack erreichen, die heute für Zero Trust anwendbar sind.“ Und das ist jedes Mal, wenn man ein HMI hat, jedes Mal, wenn man Zugriff auf eine Datenbank hat, jedes Mal, wenn man Zugriff auf eine Kontaktplanlogik hat,  normalerweise von einer Art Wartungsgerät, das auf dieses Gerät zugreift.

In diesem Fall würde das Zero-Trust-Verfahren in der OT so funktionieren, dass die Kommunikation im Wesentlichen von dir vermittelt / gesteuert wird. Es gibt also einen Windows XP-Rechner, und Johnny, der Programmierer, möchte den Status überprüfen. Nun, zuerst muss Johnny Klaus oder Stefan authentifizieren. Wir müssen uns auf unseren mobilen Geräten mit Hilfe der Multifaktor-Authentifizierung ausweisen, wer wir sind. Und dann hat das Gerät selbst einen Fingerabdruck und wir sagen: "Nun gut, ist das Gerät in einem Zustand, der für mein Netzwerk als sicher genug angesehen wird? Muss der XP-Rechner aufgerüstet werden oder was auch immer? Oder ist das mit einem gewissen Risiko verbunden?"

Klaus Mochalski

Zusammenfassend lässt sich sagen, dass es sich dabei um eine Möglichkeit handelt, den Netzwerk-Perimeter zu sichern. Man regelt also im Grunde, wer Zugang zu einem bestimmten geschützten Bereich erhält, und erkennt an, dass es nicht nur einen einzigen Parameter gibt, sondern dass es verschiedene Ebenen von Parametern gibt, die ineinander übergehen.

Stefan Sebastian

Ja, aber nur solange du nicht sagst, dass es den Perimeter sichert, denn das tut es nicht. Es geht vielmehr darum, die Ressource, die Oberfläche, das Gerät, den Controller oder den Historian zu sichern und nur die Benutzer zu verbinden, die diesen Historian sehen müssen.

Angriffe auf OT-Netze folgen demselben Modell wie Angriffe überall. Ich meine, man sucht im Grunde nach der Angriffsfläche. Man findet also den verwundbaren Punkt und kompromittiert diesen Punkt. Dann bewegt man sich lateral, z. B. findet man heraus, dass die SPS mit dem Internet verbunden ist, kompromittiert diese und übernimmt sie. Eine SPS, die Steuerung, ist keine große Gefahr, aber sagen wir mal, einige der anderen Systeme. Dann geht man lateral auf diese Systeme über und fragt sich: "Was kann ich noch ausnutzen?" Und dann stiehlt man Daten oder exfiltriert Daten.

Und das Zero-Trust-Modell würde sagen: "Nun, diese Ressourcen und diese Endpunkte müssen kommunizieren, müssen sich gegenseitig sehen. Und sie können einander nur sehen, wenn es diese Endpunkte gibt, wenn sie authentifiziert sind, wenn sie dort autorisiert sind“. Es geht also nicht um die Sicherung eines Perimeters, sondern um die Sicherung von Benutzern und Geräten, die miteinander kommunizieren müssen. Auch die Ressourcen spielen dabei eine Rolle. Es geht also nicht nur um den Umkreis. Ich mache diese Unterscheidung, weil zum Beispiel eine Firewall-Regel für eingehende Daten die größte Gefahr darstellt. Einige der größten Schwachstellen sind, dass diese Firewalls VPN-Konzentratoren sind oder eingehende Verbindungen zulassen. Nun, jeder, der eine eingehende Verbindung herstellen kann, also im Grunde das Internet, kann diese Firewall ausnutzen, wenn sie nicht gepatcht ist, und das sehen wir recht häufig. Und sobald der Exploit durchgeführt wurde, hat er Zugang. Er durchdringt den Perimeter und hat nun überall Zugang. Und das ist genau das falsche Modell.

Besser wäre es zu sagen: "Nun, die Firewall könnte eine Ressource sein, oder der Historian oder das MES oder der Controller könnten diese Zugänge sein. Und auf die muss nicht jeder im Internet zugreifen können. Klaus muss darauf zugreifen können, Stefan muss darauf zugreifen können und sonst niemand." Und das bedeutet, dass die Angriffsfläche nur aus Klaus und Stefan besteht, die diesen Controller, dieses MES, diesen Historian angreifen können. Das ist dann die Angriffsfläche, das ist der Vektor, und das reduziert die Angriffsfläche erheblich. Aber das ist dann die Art und Weise, wie man den Angriff durchführen würde.

Klaus Mochalski

Das klingt sehr überzeugend. Betrachten wir das Ganze mal aus einer ganz praktischen Perspektive. Du hast bereits erwähnt, wie OT-Angriffe normalerweise funktionieren, und viele von ihnen funktionieren sehr ähnlich. Und was wir über OT-Angriffe sagen müssen, ist, dass sie immer noch ein sehr seltenes Ereignis sind. Oft gibt es Angriffe auf die IT-Infrastruktur, die dann auf den OT-Bereich übergreifen. Aber wirklich gezielte OT-Angriffe sind schwer zu finden. 

Aber wir hatten erst kürzlich eine großartige Veröffentlichung des dänischen SektorCERT, dem Cybersicherheitszentrum für kritische Infrastrukturen in Dänemark. Und [der dänische Energiesektor] war von einem Angriff im Mai 2023 betroffen. Sie haben einen sehr detaillierten Bericht darüber veröffentlicht, was dabei passiert ist. Ich möchte dies nur als Beispiel dafür nehmen, wie dieser Angriff hätte verhindert werden können oder auch nicht, wenn man sich an die Zero-Trust-Prinzipien gehalten hätte. 

Interessant ist, dass sie alle Informationen, die sie für die Veröffentlichung verwendet haben, durch den Betrieb eines ausgedehnten Netzes von Netzsensoren erhalten haben. Sie haben also etwa 270 Verkehrsüberwachungssensoren in den kritischen Infrastrukturen eingesetzt. Also im Grunde bei allen Stromversorgungsunternehmen in Dänemark. So hatten sie alle Daten über die gesamte kritische Infrastruktur, um eine angemessene Analyse durchführen zu können. Und der Angriff selbst war, soweit ich dem Bericht entnommen habe, recht einfach. Die Angreifenden nutzten zunächst eine bekannte Schwachstelle in einer Zyxel-Firewall, die sie ausnutzen konnten, indem sie ein manipuliertes UDP-Paket an einen bestimmten Port schickten, das dann später zum Herunterladen bösartiger Firmware-Updates, also von Firmware-Software, in diese Firewalls verwendet wurde. Und dann wurden diese Firewalls Teil eines Botnetzes des Mirai-Botnetzes oder einer Variante des Mirai-Botnetzes, glaube ich. Und dann wurden Angriffe gegen bestimmte Ziele im Internet durchgeführt. Und dann gab es eine zweite Angriffswelle, die etwas gezielter und interessanter aussah und unbekannte Schwachstellen nutzte, aber im Großen und Ganzen sah es sehr standardmäßig aus, würde ich sagen. [Anmerkung: Tatsächlich war es genau andersherum. Die erste Welle war zielgerichtet, die zweite war breiter angelegt]. Es gab also nichts wirklich Neues an diesem Angriff. Neu ist, dass wir diese großartige Analyse haben, und wenn wir uns also ansehen, was Zero Trust hätte tun können. Hätte dies von vornherein vermieden werden können? Oder wie passt Zero Trust zu diesem Bild?

Stefan Sebastian

Ja, du hast Recht. Der Angriff sah hier sehr standardmäßig aus. Ich meine, sie haben diese Angriffsfläche gefunden. Es gab etwa 16 Kraftwerke oder was auch immer, auf die sie speziell abzielten [Anmerkung: ursprünglich waren es 12]. Sie waren nicht auf Shodan zu finden. Ich glaube, darauf hast du hingewiesen. Es könnte also einige Insiderinformationen gegeben haben. Aber dann haben sie natürlich auch diese Zyxel-Firewalls kompromittiert. Ich meine, eine sehr einfache Firewall, aber es spielt keine Rolle, ob sie einfach oder hochwertig ist. Sie fanden die Firewalls und kompromittierten sie. Und man sollte meinen, dass der nächste Schritt laterale Bewegung gewesen wäre. Jetzt gehört ihnen die Firewall im Grunde genommen, und sie würden sich seitwärts bewegen. Ich glaube, sie haben dort einige Benutzernamen herausbekommen, und vielleicht können diese dazu verwendet werden, LDAP-Verzeichnisse zu durchsuchen und auf diese Weise andere Ziele zu finden. Aber im Grunde genommen würde ein Angreifender sich lateral bewegen und dann ein Ziel anvisieren, denn die Firewall ist nicht das primäre Ziel, wie man meinen könnte. Eine Firewall zu besitzen und sie dann in einem Botnet zu verwenden, scheint keine gute Ressourcennutzung zu sein, vor allem, wenn es sich um diese billige Zyxel handelt. Die Firewall hat nicht viel Rechenleistung.

Aber die Art und Weise, wie Zero Trust dies betrachten würde, ich meine, dieses UDP-Paket, dieses UDP war im Grunde der IKE [Internet Key Exchange] SA [Security Association] Handshake und die Aushandlung, die dort stattfindet. Es handelt sich also vermutlich um so etwas wie eine eingehende VPN-Kommunikation. Ich meine, sie müssen dies zulassen, weil die VPN-Kommunikation an jedem beliebigen Punkt eintreffen kann. Und das ist wahrscheinlich der erste Punkt, an dem Zero Trust hilft. Das heißt, nicht die ganze Welt hat Zugang zu Ihrer Firewall. Und dann fordern Sie sie heraus. An diesem Punkt müssen die Endpunkte, die Sie kennen und erkennen, überprüft werden, ob sie die sind, für die sie sich ausgeben, und nur an diesem Punkt. Wenn sie sich also authentifiziert haben, wenn sie sich per Multi-Faktor identifiziert haben, erst dann können sie auf Ihre Ressourcen zugreifen. In diesem Fall ist es eine Firewall, aber es könnte auch der Historian oder der Controller oder was auch immer sein.

Klaus Mochalski

Nur um das klarzustellen. Alles begann mit diesem UDP-Paket, das an die Firewalls weitergeleitet wurde. Und das wäre nicht möglich gewesen, wenn ein richtiges Zero-Trust-Modell implementiert worden wäre. Ist dies korrekt?

Stefan Sebastian

Nun, die Kompromittierung wäre nur ohne weitere Änderungen möglich gewesen. Dieser erste Schritt müsste sein, dass nicht das ganze Internet auf meine Firewall zugreifen kann. Nur Klaus und Stefan und vielleicht die 200 anderen Leute, die Zugang zu meiner kritischen Infrastruktur haben und dort alles Mögliche machen können. Die erste Änderung ist also, dass ich diese Leute identifiziere. Ich weiß, wer diese Leute sind, wer sie vorgeben zu sein, weil sie diese Multi-Faktor-Authentifizierung durchlaufen haben und auf Geräten arbeiten, denen ich vertraue, und diese Geräte eine für mich akzeptable Konfiguration haben.

Sie wissen, dass es sich nicht um XP-Geräte handelt und dass sie nicht kompromittiert worden sind. Klaus oder Stefan wissen vielleicht nicht, dass ihr XP-Rechner kompromittiert ist. Nun, XP hat eine höhere Wahrscheinlichkeit, kompromittiert zu werden, als etwa die neueren Versionen von Windows oder Mac. Der erste Schritt besteht also darin, den Endpunkt zu identifizieren und zu wissen, wie hoch das Risiko an diesem Endpunkt ist. Und das bedeutet nur, dass 200 plus Klaus und Stefan, also 202 Personen, auf diese Firewall zugreifen können, ohne etwas anderes zu tun. Diese Leute können das UDP-Paket vielleicht so gestalten, dass es die Firewall ausnutzt, weil sie die Einzigen sind, die die Firewall sehen können. Der nächste Schritt des Zero-Trust-Modells ist also die Frage, welche Kommunikation möglich ist und wie man diese Kommunikation validiert. Die anderen Schritte eines richtigen Zero-Trust-Systems validieren natürlich, was ausgetauscht werden kann, indem sie den Inhalt der Kommunikation, die ausgetauschten Daten, die eingehenden und ausgehenden Daten validieren. 

So hätte das Zero-Trust-Modell dieses Problem eigentlich gelöst. Bei einem echten Zero-Trust-Modell würde es sich nicht um eine Perimeter-Firewall handeln. Der springende Punkt ist, dass die dänischen Administratoren die Firewall benutzen, um sich einzuloggen. Was auch immer sie zu kommunizieren versuchen, wäre also eine Anwendung, die sich selbst ankündigt und so etwas wie eine Firewall durchläuft, in dem Sinne, dass dieser Dienst sich selbst an diesem Ort ankündigt und dieser Ort dann von authentifizierten Benutzern auf authentifizierten Geräten verbunden wird, und dann wird diese Kommunikation vermittelt.

Können sich diese beiden Endpunkte überhaupt gegenseitig sehen? Sind diese Endpunkte die, für die ich sie halte? Okay, sie sind es.

Nun, können sie auf diese Weise miteinander kommunizieren? Jetzt untersuche ich jede Transaktion, jeden Fluss, jede Transaktion, jede Sitzung, die das passiert, und stelle sicher, dass sie das tun, was zu der Zeit und an dem Tag erwartet wird. Und zwar nur zwischen diesen beiden Punkten, die ich erwartet habe.

Und Sie haben das gesamte Problem der Internetbevölkerung aus der Welt geschafft. Sie haben Ihre Angriffsfläche von Milliarden und Abermilliarden auf 202 Personen in diesem Fall reduziert. Und das ist sozusagen der erste Schritt. Ja, die Firewall würde verschwinden, aber es gibt immer noch etwas zu tun. Aber Zero Trust ändert dieses Paradigma und sagt: kein implizites Vertrauen mehr. Ich meine, wenn man sich mit einem Gerät verbindet und dieses Gerät oder diese Anwendung oder dieser Dienst dann versucht, einen Angriff zu verhindern, das funktioniert einfach nicht. Es funktioniert nicht mit dem Geld, das man ausgeben muss, um das Sicherheitsrisiko in irgendeiner Form unter Kontrolle zu bekommen.

Klaus Mochalski

Es ist also großartig zu hören, dass wir die Firewall endlich loswerden können, weil wir sie nicht mehr brauchen, weil es nichts zu blockieren gibt, weil wir nur die Kommunikation und die Benutzer zulassen, von denen wir wissen, dass sie Zugang zu einer bestimmten Ressource und einem bestimmten System benötigen. Es gibt also keinen Platz mehr für eine Firewall. Das ist also großartig.

Stefan Sebastian

Ich vermute, dass sie eine andere Form annimmt. Der größte Teil Ihrer Arbeit besteht dann darin, die Kommunikation zu vermitteln und den Inhalt dieser Kommunikation zu untersuchen. Sie wollen also Dinge wie Proxy-Verbindungen von der rechten Seite auf die linke Seite verlagern, damit Sie Dateien vollständig untersuchen können. 

Wenn man beispielsweise versucht, eine Datei an diesen Endpunkt zu senden oder eine Datei zu extrahieren, muss man sicherstellen, dass sie keine Malware enthält. Sie müssen sicherstellen, dass Sie den Inhalt der extrahierten Datei überprüfen können, damit keine personenbezogenen Daten extrahiert werden. Das ist der Aspekt der zielgerichteten Vorgehensweise. Und das ist es, was mir bei diesem Angriff auf den [dänischen Energie-]Sektor fehlt. Die Frage, was das ultimative Ziel der Angreifenden war. Wenn ihr Ziel darin bestand, ein paar Zyxel-Firewalls zu besitzen, hätten sie das viel billiger haben können. Es waren 12 Standorte mit Backup. Das sind also 32 Zyxel-Firewalls für 400 Dollar pro Stück. Ich meine, die hätten sie viel billiger haben können. Ich bin mir nicht sicher, ob wir die ganze Geschichte kennen, weil sie normalerweise die Firewall nur nutzen, um auf etwas anderes zugreifen zu können. Aber nehmen wir einfach an, dass sie sich auf die Firewall selbst bewegt haben.

Ja, das kann man kontrollieren. Und in einer Welt des Zero Trust haben nur diejenigen Zugang zu diesen Firewalls, denen Sie Zugang gewähren wollen oder die herausgefordert werden wollen.

Klaus Mochalski

Okay, in einem richtigen Zero-Trust-Modell wäre dieses ursprüngliche UDP-Paket, das von irgendwo aus dem Internet kam, nicht von der Firewall akzeptiert worden. Es wäre nur von einem der authentifizierten Benutzer akzeptiert worden. Jeder Angreifer, der die Infrastruktur angreifen will, müsste also durch diese [authentifizierten] Benutzer gehen. Und diese sind natürlich auch Teil der Zero-Trust-Infrastruktur. Sie würden also auf das gleiche Problem stoßen. Der Beginn des Angriffs, die anfängliche UDP-Übertragung, wäre also bereits nicht mehr möglich gewesen. Ich denke also, dass dies sehr wichtig für das Verständnis ist, wie Zero Trust helfen kann. 

Stefan Sebastian

Das stimmt. Ein weiterer Punkt ist, dass Zero Trust ein großer Paradigmenwechsel ist. Aber du hast erwähnt, dass diese Sensoren im Netzwerk immer noch wichtig sind. Ich denke, dass es immer noch eine Rolle spielt, Anomalien zu erkennen, weil Zero Trust den horizontalen Verkehr eliminiert. Der gesamte Verkehr findet also zwischen der Ressource und dem Benutzer statt. Er findet nicht zwischen den Ressourcen selbst oder den Benutzern selbst statt. Dieser Vektor ist also auch weg. Und wenn es eine Kommunikation gibt, sollte ein System zur Erkennung von Anomalien in der Lage sein zu sagen, dass es sich um eine ungewöhnliche Kommunikation zwischen diesen beiden Geräten handelt.

Das passt eigentlich zur Rhebo-Botschaft. Der Rhebo-Controller würde jede Art von anomaler Kommunikation überwachen, aber auch anomale Verbindungen zu bestimmten Orten, an denen es vorher keine solche Verbindung gegeben hat. Und das ist wichtig, denn in einem Zero-Trust-Modell gibt es keine horizontalen oder lateralen Bewegungen mehr, sondern nur noch einen authentifizierten Benutzer, der eine Ressource erreicht, und diese Ressource greift nach außen. Und diese Kommunikation wird vermittelt. Es gibt also kein links und rechts, kein Ost-West, keine seitliche Bewegung. Es gibt nur noch ausgehende Verbindungen, und alles andere kann als anomal betrachtet werden.

Klaus Mochalski

Okay. Es ist natürlich gut zu hören, dass es immer noch Raum für OT-Monitoring-Lösungen wie die, die Rhebo baut, gibt, aber das sollte hier nicht der Punkt sein. Ich denke, dies ist eine sehr interessante Perspektive, wie Zero Trust in OT-Infrastrukturen helfen kann.

Welchen Rat würdest du einem Unternehmen geben? Nehmen wir als Beispiel ein Versorgungsunternehmen, das Ziel des Angriffs war. Der dänische Versorgungsmarkt ist auf einige kleine bis mittelgroße Unternehmen verteilt. Sie haben also wahrscheinlich keine großen CERTs [Computer Emergency Response Teams]. Das ist auch der Grund, warum sie den Dienst von SektorCERT nutzen. Wenn also ein mittelgroßes Versorgungsunternehmen seine eigene Zero-Trust-Reise beginnen möchte, wo sollte es dann anfangen? Was wäre der erste nützliche Schritt? Ein, zwei, drei Schritte, die du ihnen raten würdest?

Stefan Sebastian

Ja, das ist eine gute Frage. Ich meine, der erste und vielleicht sogar der zweite Schritt ist im Grunde, zu verstehen, wie sich das Paradigma verändert hat. Also zu verstehen, was Zero Trust bedeutet. Und ich hoffe, dass ich hier so etwas wie eine Einführung gegeben habe. Vielleicht war es zu kompliziert, aber es gibt eine vereinfachte Version davon und wir sind sie hier durchgegangen.

Verstehen Sie also, was Zero Trust tatsächlich bedeutet, und beginnen Sie, eine Strategie für Zero Trust zu entwickeln. Jetzt, da Sie wissen, was es bedeutet, was bedeutet es für Ihr Unternehmen? Und das sind wahrscheinlich die erste und zweite Art von schrittweisem Vorgehen. Aber dann bleibt noch etwas, das Sie umsetzen können, nämlich: "Was werde ich als Erstes in Angriff nehmen?" 

Und das ist das Tolle an Zero Trust oder an der Art und Weise, wie Zero Trust von Leuten wie meiner Firma umgesetzt wird, über die ich nicht unbedingt sprechen möchte. Aber die Art und Weise, wie Zscaler es implementiert, erlaubt es einem, dies in einer schrittweisen Form zu tun. So können Sie zum Beispiel in diesem Fall einfach auswählen, was Sie über den Sicherheitsverstoß oder den allgemeinen Angriff wissen und wie der Verstoß tatsächlich stattgefunden hat. Wahrscheinlich möchten Sie damit beginnen, sich mit der Frage zu beschäftigen, wie man das Problem von VPNs, von Netzwerken, die sich mit Netzwerken verbinden, ersetzen kann, um nicht immer diesem Problem hinterherzulaufen und den Patch-Zyklus zu überstürzen.

Bei der zweiten Angriffswelle im [dänischen Energie-]Sektor handelte es sich um eine unbekannte Sicherheitslücke. Bei der ersten Welle handelte es sich um bekannte Sicherheitslücken. Es gibt also eine ganze Reihe von Patches, die die Unternehmen nicht hätten anwenden können, weil sie die Schwachstellen nicht gut kannten. Wie beseitigt man dann die Angriffsfläche? Der beste Ansatzpunkt wäre in diesem Fall wahrscheinlich: Wie schalte ich VPNs als Zugangsmöglichkeit zu bestimmten Dingen aus?

Und dann wird man auf die Strategie, die ersten beiden Schritte, zurückblicken und sagen: "Nun, es gibt eine bestimmte Klasse von Administratoren, die eine Fernverbindung herstellen müssen, um darauf zuzugreifen". Und beginnen Sie damit, diese Anwendungen, diese Ressourcen, auf die zugegriffen werden muss, den Benutzern zuzuordnen, die darauf zugreifen müssen, und damit beginnen, diese unter einen Zero-Trust-Schirm zu bringen. Das ist zwar nur ein kleiner Schritt, aber ein großer Schritt, der dazu führt, dass es nicht zu Verstößen wie [dem beim SektorCERT Case]k ommt. Damit sich nicht jemand aus Russland oder dem Nahen Osten in Ihre Firewall einklinken kann. Gibt es irgendeinen Anwendungsfall, der das sinnvoll macht und der dann nicht mehr in Betracht kommt? Nur diese authentifizierten Auftragnehmer, die ich mag, oder diese Mitarbeiter, denen ich vertraue, können sich mit diesen Geräten verbinden.

Diese schrittweise Implementierung von Zero Trust, insbesondere im Zusammenhang mit VPNs, wäre in diesem Fall wahrscheinlich der empfohlene Weg, um die ersten Schritte auf dem Weg zu Zero Trust zu unternehmen. Und das bedeutet nicht, dass man die Zyxel [Firewalls] wegwirft. Es bedeutet nur, dass es ganz anders aussieht, dass diese Zyxels keine eingehende Kommunikation mehr akzeptieren und die internen Geräte die Zyxels nutzen, um zu einer Zero-Trust-Cloud zu gehen. Und jeder wird über diese Cloud vermittelt. Alle sind ausgehend und es gibt keinen horizontalen Verkehr.

Und dann könnte man weitere Schritte unternehmen und sagen: Okay, es gibt keine horizontale Bewegung, aber es gibt einige Fälle, in denen Sie Firewalls einsetzen oder ausgehende Verbindungen zum Internet sichern wollen, Verbindungen, die diese Auftragnehmer oder Mitarbeiter vielleicht von zu Hause aus herstellen wollen. Aber der erste Schritt besteht vielleicht darin, die Kommunikation zu sichern, so dass diese VPNs ausgeschaltet werden, damit dieses Problem nicht wiederholt auftritt. Angreifende haben dann nicht mehr eine Milliarde verschiedener Möglichkeiten für Angriffe, um ihre Geräte zu kompromittieren.

Klaus Mochalski

Ich denke, das ist in der Tat ein sehr interessanter und sehr anwendbarer Rat für unsere OT-Hörer. Zusammenfassend kann ich sagen, dass der erste Schritt darin besteht, sich mit dem Konzept vertraut zu machen, wenn ich dies in drei Schritten angehen möchte. Der zweite Schritt besteht darin, die eigene VPN-Infrastruktur zu untersuchen und dies als Ausgangspunkt zu verwenden. Und im dritten Schritt geht man dann den Rest der, nennen wir es mal "Zero Trust"-Reise an, indem man sich alle anderen Bereiche ansieht.

Ich denke aber, dass VPN ein besonders guter Ausgangspunkt ist, denn auch aus unserer Zusammenarbeit mit Kunden haben wir immer wieder festgestellt, dass VPNs ein wichtiges Anliegen sind, weil jeder vor Jahren damit begonnen hat, sie auch in kritischen Bereichen der Infrastruktur zu nutzen, und jeder hat das Problem, sie zu sichern. Das ist also ein sehr guter Ausgangspunkt, und ich denke, das ist der perfekte Ratschlag für unsere Zuhörer heute.

Natürlich sollten Sie sich immer mit dem Konzept vertraut machen. Es ist nicht allzu schwierig, wie du zu erklären versuchst. Und dann betrachten Sie Ihren eigenen VPN-Zugang als Beispiel und nutzen ihn als Testumgebung, um Ihre eigene Zero-Trust-Reise zu beginnen.

Stefan Sebastian

Ja, absolut. Und natürlich ist Zero Trust nur dann sinnvoll, wenn es Ihnen Geld spart, um das gewünschte Risikoniveau zu erreichen. Wenn Sie also das VPN ersetzen, sollten Sie Ihren Anbieter fragen: "Ist das billiger als diese VPN-Konzentration, wenn man bedenkt, wie hoch die Kosten für diesen Angriff waren?" Es sollte also einfacher und leichter sein, egal welchen Ansatz Sie wählen. Der VPN-Ersatz muss diese Hürde überwinden. Es sollte also nicht einfach nur ein weiteres Tool sein, das nicht oder nur halb eingesetzt wird. Die Herausforderung besteht darin, dass es genauso gut oder besser sein muss als das, was Sie haben, und dass das Risikoniveau viel niedriger sein muss als das, was Sie heute entschärfen.

Klaus Mochalski

Ich denke, das ist eine großartige Schlussbemerkung, denn wir sind immer bestrebt, auf diese Weise Risiken zu verringern und gleichzeitig Geld zu sparen oder Kosten zu senken. Das ist immer ein guter Ansatz.

Stefan Sebastian

Absolut.

Klaus Mochalski

Vielen Dank, Stefan, für dieses interessante Gespräch. Es war mir ein Vergnügen, dich in diesem Podcast zu haben, und vielleicht bis zum nächsten Mal.

Stefan Sebastian

Ja, ich freue mich darauf. Danke dir.