Die speziellen Risiken, die im OT-Bereich (Betriebstechnologie) bestehen können, sind häufig noch zu wenig bekannt und werden unterschätzt. Wenn es Konzepte und Lösungen für eine Risikoanalyse als Basis der Cybersicherheit gibt, dann in aller Regel für den IT-Bereich (Informationstechnologie). Doch es gibt bereits spezielle Lösungen zur Unterstützung einer Risikoanalyse für den OT-Bereich.
Stand der OT-Risikoanalysen
38 Prozent der risikoreichsten cyber-physischen Systeme (CPS) werden von traditionellen Schwachstellenmanagement-Ansätzen übersehen, so das Ergebnis eines aktuellen Reports von Claroty. Lösungen, die ausschließlich auf dem Common Vulnerability Scoring System (CVSS)-Score basieren, lenken die Aufmerksamkeit auf zu viele Schwachstellen, die keine unmittelbare Gefahr für das Unternehmen darstellen, während sie gleichzeitig riskante Assets übersehen, erkärt der Anbieter für OT-Sicherheit. Dies stelle einen enormen blinden Fleck dar, der von Angreifern ausgenutzt werden kann.
Team82, die Forschungseinheit von Claroty, analysierte für den Report die Daten von über 20 Millionen CPS-Geräten aus den Bereichen Betriebstechnik (OT), vernetzte medizinische Geräte (IoMT), IoT und IT. Die Forschung konzentrierte sich auf Assets, die als „hohes Risiko“ eingestuft werden, eine unsichere Internetverbindung aufweisen und mindestens eine bekannte ausgenutzte Schwachstelle (Known Exploited Vulnerability, KEV) enthalten.
Als „hohes Risiko“ gilt eine hohe Wahrscheinlichkeit kombiniert mit weitreichenden Auswirkungen eines Angriffs. Hierbei werden verschiedene Risikofaktoren wie der End-of-Life-Status, die Kommunikation über unsichere Protokolle, bekannte Schwachstellen, schwache oder voreingestellte Passwörter einbezogen.
Die wichtigsten Ergebnisse des Reports
1,6 Prozent der OT- und IoMT-Assets werden als „hochriskant“ eingestuft, verfügen über eine unsichere Internetverbindung und enthalten mindestens eine bekannte ausgenutzte Schwachstelle (KEV). Diese Kombination von Risikofaktoren stellt eine echte, unmittelbare Gefahr für Unternehmen dar, so der Bericht. Bei Millionen Geräten im Einsatz entspricht dieser scheinbar geringe Wert hunderttausenden CPS-Ressourcen mit hohem Risiko, auf die Angreifer aus der Ferne zugreifen können und die Schwachstellen enthalten, die aktiv ausgenutzt werden.
Von diesen besonders risikoreichen OT- und IoMT-Geräten weisen 38 Prozent keinen CVSS-Score von 9,0 oder höher auf. Deshalb werden sie von herkömmlichen Schwachstellenmanagement-Methoden nicht erkannt und stellen einen deutlichen blinden Fleck dar, der hunderttausende Geräte betrifft, warnt der Report.
Aktuelle Beispiele für spezialisierte Risikoanalysen
Spezielle Lösungen für OT-Schwachstellen und -Risiken
Laut Analystenhaus Gartner „können die bisherigen Ansätze zum Management der Angriffsfläche mit der digitalen Geschwindigkeit nicht mehr mithalten – in einem Zeitalter, in dem Unternehmen weder alles beheben noch völlig sicher sein können, welche Abhilfemaßnahmen bedenkenlos zurückgestellt werden können. Continuous Threat Exposure Management (CTEM) ist ein pragmatischer und effektiver systemischer Ansatz zur kontinuierlichen Optimierung von Prioritäten, der sich auf dem schmalen Grat zwischen diesen beiden Polen bewegt.“
Wichtige Funktionen einer solchen CTEM-Lösung
- Integration von CPS-Geräten in Exposure-Management-Programme: Dieser Ansatz bildet die Grundlage für das Netzwerk-Scoping, um sowohl Bereiche zu schützen, die für herkömmliche Lösungen unsichtbar sind, als auch die betrieblichen Auswirkungen bei der Priorisierung von Sicherheitskontrollen zu berücksichtigen.
- CPS-Erkennung und Schwachstellenbewertung: Sämtliche CPS-Assets müssen mithilfe flexibler Erkennungsmethoden identifiziert werden. Dabei werden die Kommunikationspfade und Protokollnutzung abgebildet, Schwachstellen zugeordnet und auf Bedrohungen überwacht. Das Ergebnis sind Risikobewertungen auf der Grundlage eines transparenten und individuell zugeschnittenen Risiko-Frameworks.
- Unterstützung bei der Priorisierung: Sicherheitsverantwortliche erhalten umsetzbare Empfehlungen, die eine Priorisierung der Abhilfemaßnahmen auf der Grundlage quantifizierter Ergebnisse vornehmen. Diese basieren auf spezifischen Angriffsvektoren und deren Wahrscheinlichkeit sowie den Auswirkungen im Falle einer Ausnutzung.
- Geeignete Abhilfemaßnahmen: Integration mit den gängigen IT/OT-Cybersecurity- und Asset-Management-Lösungen zur Rationalisierung bestehender Risikomanagement-Prozesse
Weiterführende Links
Report: Understanding the Riskiest Exposures in Cyber-Physical Systems (https://claroty.com/resources/reports/understanding-the-riskiest-exposures-in-cyber-physical-systems)
Gartner, Implement a Continuous Threat Exposure Management (CTEM) Program (https://www.gartner.com/en/documents/4021605)