Viele IT-Tools ungeeignet
Viele Erkennungsmethoden für IT-Netzwerke erfordern tiefgreifende Protokollkenntnisse, die im OT-Kontext eine Vielzahl unterschiedlicher Protokolle und Angriffsszenarien umfassen, die in kommerziellen IT-Netzwerken nicht üblich sind. Intrusivere Sicherheitslösungen zum aktiven Schwachstellen-Scanning können in OT-Umgebungen ebenfalls problematisch sein, da sie Störungen oder sogar Ausfälle verursachen können. Das Gleiche gilt für Intrusion Prevention Systeme (IPS), da sie Netzwerkpakete blockieren und damit die Stabilität in OT-Umgebungen beeinträchtigen können. Daher sind passive Netzwerkerkennungssysteme wie Network Detection & Response (NDR)-Lösungen für diesen Zweck oft besser geeignet.
Überwachen und absichern
Network Detection and Response (NDR)-Systeme bieten einen nicht-intrusiven Ansatz zur Überwachung von OT-Umgebungen. NDR-Systeme konzentrieren sich auf die Kommunikationsmuster von OT-Geräten, die Schnittstelle zwischen IT und OT und den Zugriff Dritter auf OT-Netzwerke. So sollen diese Anwendungen Transparenz herstellen und Erkennungsfunktionen bereitstellen, ohne den laufenden Betrieb und die Geschäftsprozesse zu stören. Insbesondere NDR-Anwendungen mit erweiterten Baselining-Funktionen können neue und ungewöhnliche Kommunikationsmuster identifizieren, die auf schädliche Aktivitäten in OT-Netzwerken hinweisen. Diese NDR-Systeme verwenden maschinelles Lernen, nutzen Informationen über Datenflüsse für das Baselining und bieten eine protokoll- und geräteunabhängige Erkennung von Anomalien. Dazu erfassen sie, wer mit wem und in welcher Häufigkeit kommuniziert. Anstatt diese Parameter manuell zu konfigurieren, ermitteln NDRs die Baseline, korrelieren auffällige Unregelmäßigkeiten und alarmieren bei verdächtigen Aktivitäten die Sicherheitsteams. Darüber hinaus ermöglicht ein Framework die Einstellung fein abgestimmter Schwellenwerte für die OT-spezifische Überwachung, einschließlich der Möglichkeit, die Lastüberwachung granular und für einzelne Netzwerkzonen einzustellen. Zudem sind ML-Algorithmen zur Erkennung von Anomalien und potenziellen Bedrohungen regelbasierten Systeme häufig überlegen.
Produkt für OT-Netzwerke
Daher sind die passiven Überwachungsfunktionen von NDR-Anwendungen gerade dort gut geeignet, wo alternative Überwachungsmethoden schwierig zu implementieren sind oder Störungen verursachen können. Das ML-gesteuerte NDR-System ExeonTrace analysiert beispielsweise Protokolldaten aus IT-Umgebungen, OT-Netzwerken und Jump-Host-Gateways, um Betreibern den Überblick über die Netzwerkaktivitäten zu vermitteln. Das System ermöglicht die Integration industrietypischer Protokollquellen und lässt sich in andere OT-spezifische Erkennungsplattformen integrieren, um das Schutzniveau auf das gewünschte Maß zu heben.