Umgebungen der Betriebstechnologie (OT) - wie Fabriken, Kraftwerke, Vertriebszentren und Bürokomplexe - sind zunehmend dem Risiko von Cyberangriffen ausgesetzt. Früher waren diese Systeme von den IT-Netzwerken der Unternehmen isoliert, aber das ist nicht mehr der Fall.
Je mehr Unternehmen das IoT Geräte einführen und OT-Systeme mit breiteren Netzwerken verbinden, verschwindet die traditionelle Kluft zwischen OT und IT. Diese Verschiebung erhöht die Gefährdung durch Bedrohungen, die früher auf die Unternehmens-IT beschränkt waren.
Ein erfolgreicher Angriff auf OT-Systeme kann zu Stromausfällen, chemischen Explosionen und anderen erheblichen Risiken für Mitarbeiter und die öffentliche Sicherheit führen. Der potenzielle Verlust von Menschenleben ist nur ein Grund, warum Investitionen in die OT-Sicherheit so wichtig sind. OT-Systeme sind auch für die kritische Infrastruktur verantwortlich, auf die sich die moderne Welt verlässt, z. B. für die Stromverteilung, die Öl- und Gasversorgung oder das Transportwesen. Angriffe auf diese Art von Systemen können unsere Gesellschaft zum Stillstand bringen.
Vorausschauende Unternehmen sichern ihre OT-Systeme mit Netzwerksegmentierung und fortschrittlichen Public-Key-Infrastruktur-Lösungen (PKI).
PKI für IoT und OT-Sicherheit
Da die OT-Systeme immer stärker mit modernen IT-Netzwerken verbunden werden, verschwimmen die Grenzen zwischen OT und IT. Das Ergebnis? Höhere Effizienz, Echtzeitüberwachung und datengesteuerte Automatisierung.
Das sollte doch toll sein, oder?
Allerdings sind moderne OT-Umgebungen auf hardware und proprietäre Protokolle angewiesen, die in der Regel nicht besonders sicher sind - wenn sie überhaupt welche haben. Legacy-Systeme sind in der Regel Jahrzehnte alt, haben keine Verschlüsselung und bieten nur minimale oder gar keine AuthentifizierungskontrollenDas macht sie zu einer Brutstätte für Schwachstellen in einer Welt der sich ständig weiterentwickelnden Bedrohungen.
Im Bereich des industriellen Internet der Dinge (IIoT) werden X.509-Zertifikate hauptsächlich auf zwei Arten verwendet: zur Identifizierung von Geräten (Geräte-ID) und zur Sicherung von Vorgängen (Betriebszertifikate). Geräte-ID-Zertifikate werden hauptsächlich von Produktmanagern und Werksteams während der Herstellung und Integration verwendet. Betriebszertifikate, die zur Sicherung der Gerätekommunikation und zur Authentifizierung des Zugriffs verwendet werden, werden von IT-Administratoren verwaltet, die in die OT-Umgebung eingreifen.
Diese Verwendung von X.509-Zertifikaten ist direkt mit der PKI verbunden, die den Rahmen für die Ausstellung, Verwaltung und Validierung dieser Zertifikate bildet.
Im Kontext der OT-Sicherheit stellt PKI beispielsweise sicher, dass sowohl Geräte als auch ihre Kommunikation authentifiziert und verschlüsselt werden, wodurch das Risiko von Spoofing oder unberechtigtem Zugriff verringert wird.
Durch die Zuweisung von Geräte-ID-Zertifikaten an angeschlossene Produkte während der Herstellung und Bereitstellung wird bereits zu einem frühen Zeitpunkt im Lebenszyklus des Geräts Vertrauen geschaffen. Betriebszertifikate erweitern dieses Vertrauen dann auf den Echtzeitbetrieb und werden von den Betreibern verwaltet, um sicherzustellen, dass diese intelligenten Geräte keine Eintrittspforte in das Netzwerk darstellen.
Segmentierung des Netzes
Netzsegmentierung Es geht um die Kontrolle des Datenverkehrs. Sie verhindert, dass sich Bedrohungsakteure seitlich von den kompromittierten IoT zu anderen Teilen des Netzwerks bewegen, wodurch die gesamte Angriffsfläche, die ein Angreifer ausnutzen kann, im Wesentlichen eingeschränkt wird. Die Segmentierung schafft eine proaktivere Haltung, die Ihrer Umgebung folgende Vorteile bietet mehrschichtige Netzwerksicherheit.
Und so funktioniert es:
Schritt 1: Kritische Systeme isolieren
Wenn ein IoT , ein Wartungs-Laptop eines Drittanbieters oder ein anderer Zugangspunkt kompromittiert wird, schränkt die Netzwerksegmentierung die Möglichkeiten eines Angreifers ein, sich frei im Netzwerk zu bewegen, um die wertvollsten oder sensibelsten Systeme zu erreichen.
In modernen OT-Umgebungen reicht die traditionelle Segmentierung allein jedoch nicht aus. Man muss tiefer gehen, in die Mikrosegmentierung.
Schritt 2: Mikrosegmentierung
Die Mikrosegmentierung ist ein weiterer Schritt. Sie ermöglicht es Unternehmen, Zugriffsrichtlinien auf Workload- oder Geräteebene zu definieren, anstatt sich auf breite Netzwerkzonen zu verlassen.
Wenn Sie Mikrosegmentierung mit strengen identitätsbasierten Kontrollen kombinieren, nähern Sie sich einer echten Zero-Trust-Architektur, bei der jede Anfrage - ob von einem Benutzer, Gerät oder System - überprüft wird, bevor der Zugriff gewährt wird. Nichts wird als sicher angenommen.
Schritt 3: Kombinieren mit PKI-basierter Authentifizierung
Die identitätsbasierte Zugangskontrolle in der OT-Sicherheit funktioniert jedoch nur, wenn Sie eine Identität zuverlässig überprüfen können. Hier kommt die PKI-basierte Authentifizierung ins Spiel.
Die PKI-basierte Authentifizierung ist eine Methode zur Überprüfung digitaler Identitäten unter Verwendung kryptografischer Zertifikate anstelle von IP-Adressen oder Hostnamen. Jedes Gerät ist gezwungen, ein gültiges Zertifikat vorzulegen, bevor es mit anderen Systemen kommunizieren kann. In der OT-Sicherheit hilft dies sicherzustellen, dass nur vertrauenswürdige Benutzer oder Geräte auf sensible Systeme zugreifen können.
Ohne eine PKI-Lösung besteht das Risiko, dass man sich auf unsichere Alternativen verlässt - wie gemeinsam genutzte Kennwörter, Standardanmeldeinformationen oder unverschlüsselte Protokolle. Angreifer wissen das. Sie nutzen diese Schwachstellen aus, um sich seitlich zwischen Systemen zu bewegen.
Eine verwaltete PKI erzwingt die Authentifizierung an jeder Netzwerkgrenze. In Kombination mit einer Segmentierung erlaubt sie nur autorisierten Geräten den Zugriff auf bestimmte Zonen - und zwar nur für genehmigte Aufgaben.
Darüber hinaus ist es einfacher, den Zugriff mit minimalen Rechten durchzusetzen, wenn PKI und Segmentierung zusammenarbeiten. Das Sperren der einzelnen Segmente auf der Grundlage von Rollen, Gerätetypen oder sogar des Alters eines Zertifikats begrenzt die Risiken von Sicherheitsverletzungen.
PKI + Sichtbarkeit = maximale OT-Sicherheit
Die Segmentierung funktioniert am besten, wenn der Zertifikatsbestand des Unternehmens sichtbar ist, einschließlich der Erkenntnisse darüber, wie und wo die Zertifikate verwendet werden. Ein Mangel an Transparenz erhöht das Risiko, dass abgelaufene oder fehlerhafte Zertifikate vorhanden sind. Angesichts der explosionsartigen Zunahme der verwendeten Zertifikate ist es nicht praktikabel, diese Zertifikate manuell zu verwalten.
Im Falle einer Sicherheitsverletzung oder eines Eindringens beschleunigt die Kenntnis der Details aller Zertifikate die Erkennung und Eindämmung.
Erfolgreiche OT-Sicherheit erfordert daher Automatisierung und Überwachung, um die Zertifikatsnutzung, die Zuordnung und die Überwachung von Anomalien zu verfolgen. So können Sie das Zertifikat schnell widerrufen und das betroffene Segment isolieren, wenn etwas ungewöhnlich erscheint.
Jetzt Widerstandsfähigkeit für sichere OT-Systeme aufbauen
Der Aufbau einer langfristigen Ausfallsicherheit beginnt mit der Durchführung einer vollständigen kryptografischen Untersuchung Ihrer OT- und IT-Umgebungen, um nicht verwaltete Schlüssel und Zertifikate zu identifizieren.
Als Nächstes segmentieren Sie Ihre Industrienetzwerke mit Firewalls, VLANs und identitätsbewussten Proxys. Ersetzen Sie den passwortbasierten Zugriff durch Gerätezertifikate, um sicherzustellen, dass nur verifizierte Geräte über die Segmente hinweg kommunizieren können.
Da industrielle Systeme lange Lebenszyklen haben, hilft Ihnen die Investition in Krypto-Agilität, sich an die Weiterentwicklung kryptografischer Standards anzupassen, was wiederum dazu beiträgt, die Sicherheit Ihres Betriebssystems zu erhöhen.
Um Sichtbarkeit und Kontrolle über Ihre digitalen Assets zu erhalten, verwenden Sie automatisierte Tools zur Verwaltung des Lebenszyklus von Zertifikaten wie Keyfactor Command. Mit diesem Tool können Sie die Ausstellung, Erneuerung und den Widerruf von Zertifikaten in großem Umfang verwalten - sogar für ältere OT- und moderne IoT . Die manuelle Nachverfolgung kann einfach nicht mit dem Volumen oder der Geschwindigkeit mithalten, die in den heutigen Umgebungen erforderlich sind.
Die Kombination von Segmentierung und starker PKI bietet Ihnen eine mehrschichtige Verteidigung. Im Falle eines Verstoßes werden die Auswirkungen isoliert, und die wichtigsten Systeme bleiben geschützt. Die PKI-basierte Identität sorgt für Vertrauen, während die Segmentierung die Gefährdung begrenzt.
