Herzlich Willkommen beim beam-Verlag in Marburg, dem Fachverlag für anspruchsvolle Elektronik-Literatur.


Wir freuen uns, Sie auf unserem ePaper-Kiosk begrüßen zu können.

Aufrufe
vor 5 Jahren

11-2018

  • Text
  • Elektromechanik
  • Positioniersysteme
  • Antriebe
  • Stromversorgung
  • Feldbusse
  • Kommunikation
  • Robotik
  • Qualitaetssicherung
  • Bildverarbeitung
  • Automatisierungstechnik
  • Sensorik
  • Messtechnik
  • Visualisieren
  • Regeln
  • Boards
  • Systeme
  • Sbc
  • Ipc
  • Pc
  • Automation
Fachzeitschrift für Industrielle Automation, Mess-, Steuer- und Regeltechnik

Sicherheit SOC als

Sicherheit SOC als Sicherheitszentrale Gefahr erkannt, Gefahr gebannt Autor: Marcus Pauli, Security Analyst Airbus www.airbus.com Laut dem aktuellen BSI-Bericht (Bundesamt für Sicherheit in der Informationstechnik) zur Lage der IT-Sicherheit in Deutschland werden täglich ca. 380.000 neue Schadprogrammvarianten gesichtet. Diese gelangen oft über einzelne Rechner ins Unternehmensnetzwerk, denn zu den häufigsten Einfallstoren gehören schädliche E-Mail-Anhänge, Drive-by-Download-Infizierungen sowie Links auf Schadprogramme, die immer öfter in Werbebannern platziert sind (Malvertising). Besonders der jüngste Ransomware- Vorfall (Not)Petya hat noch einen Kurz gefasst Angesichts der heutigen Bedrohungslage muss eine IT-Security- Strategie sämtliche Infrastruktur- Komponenten und den gesamten Datenverkehr nonstop überwachen. Dieser Artikel zeigt, wie die Arbeit eines Security Operation Centers (SOC) IT-Personal dabei unterstützt, Cyberangriffe frühzeitig zu erkennen und die Risiken von Schadsoftware deutlich zu minimieren. weiterführenden Infektionsweg offenbart: Die Übertragung von Schadsoftware aus dem Unternehmensnetzwerk über nicht ausreichend gesicherte Schnittstellen in industrielle Umgebungen. So waren bei der Angriffswelle im Juni 2017 weltweit auch Industrieunternehmen und Betreiber kritischer Infrastrukturen betroffen, die zum Teil schwerwiegende Störungen in Produktionszyklen und Ausfallzeiten innerhalb wichtiger Logistikprozesse hinnehmen mussten. Derartigen Angriffsszenarien wirkt beispielsweise die Norm IEC 62443 (IT-Security für Anlagen der Steuer- und Leittechnik) entgegen. Der Sicherheitsstandard ist speziell auf die Anforderungen moderner Produktionsumgebungen zugeschnitten. Das zugrundeliegende Security-Konzept beruht im Wesentlichen auf dem Defensein-Depth-Ansatz: Funktionseinheiten wie Internetübergangspunkt, vorgelagerte Sicherheitszonen, Office-IT und Feldbusebene werden dabei in Zonen zusammengefasst und durch industrietaugliche 44 PC & Industrie 11/2018

Sicherheit Firewalls segmentiert. Diese Vorgehensweise erschwert es Malware, sich horizontal in der Infrastruktur auszubreiten und in tiefere IT- Hierarchieebenen vorzudringen. Externe Zugriffe automatisch administrieren und sichern Auch undokumentierte und unzureichend geschützte Direktverbindungen zum Internet sind ein grundlegendes Sicherheitsrisiko im Fertigungs- und Industriebereich. So listet das BSI in seinen Top 10 der Bedrohungen für Industrial Control Systems (ICS) mit dem Internet verbundene Steuerungskomponenten auf Platz 6. Zu den sicherheitskritischen Faktoren zählen ebenso der Einbruch über Fernwartungszugänge (Platz 4) sowie die Kompromittierung von Smartphones im Produktionsumfeld (Platz 10). Gefragt sind also Sicherheitsansätze, die sich nicht nur auf das lokale Netzwerk beschränken, sondern auch Fernzugriffe beispielsweise von Servicetechnikern absichern und kontrollieren. Denkbar sind hier zentrale Wartungsportale, die dem direkten Netzwerkzugang vorgeschaltet sind. Externe Zugriffe auf das Wartungsportal sind dann nur über eine verschlüsselte Verbindung möglich und erfordern eine Authentifizierung gegenüber einem zentralen Verzeichnisdienst. Das heißt: Soll ein bestimmter Wartungsauftrag ausgeführt werden, beantragt der externe Dienstleister zunächst einen Zugang über das Portal. Hier muss er seine Identität hinterlegen, das Zielsystem definieren sowie Angaben zur Dauer und Art des Servicevorgangs machen. Anschließend wird der Wartungsauftrag durch einen Betriebsmitarbeiter explizit freigegeben. Erst dann erhält der Servicetechniker einen zeitlich begrenzten Zugang zu dem im Wartungsticket definierten System. Er kann sich also nicht frei im Produktionsnetz bewegen, sondern erhält ausschließlich Zugang auf die im Serviceticket hinterlegten Systeme. Nach Ablauf der ebenfalls im Ticket vermerkten Wartungsdauer wird die Verbindung automatisch getrennt und die Zugriffsberechtigung wieder entfernt. Ergänzen lässt sich ein solches Konzept durch ein entsprechendes Auditing der Netzwerkparameter. Umfassendes Sicherheitskonzept Um sowohl die Absicherung von Remote-Aktivitäten als auch den Schutz des lokalen Netzwerks in Einklang zu bringen, ist ein umfassendes Sicherheitskonzept notwendig. An dessen Anfang steht im Best-Case immer ein detaillierter Security Check, der die individuelle Sicherheitslage eines Unternehmens untersucht. Hierbei können Administratoren auf externe Fachkräfte zurückgreifen, welche zusätzlich eine objektive Außensicht beisteuern. Airbus Defence and Space CyberSecurity beispielsweise bewertet im Rahmen seines ICS Security Maturity Checks speziell die Cybersicherheit von Produktions- und Steuerungssystemen. Im ersten Schritt werden dafür relevante Dokumente zum ICS-Design, der Organisationsstruktur sowie zu Richtlinien und Prozessen evaluiert. Zudem wird eine Standortbesichtigung durchgeführt, der Netzwerkverkehr aufgezeichnet und das Active Directory analysiert. Die Ergebnisse werden dann zu Best- Practices und internationalen Standards (z. B. IEC 62443) in Relation gesetzt. Das Assessment liefert einen Überblick zum vorherrschenden Security-Niveau in der ICS-Architektur, validiert vorhandene Maßnahmen auf Wirksamkeit und gibt konkrete Handlungsempfehlungen zur Beseitigung bestehender Sicherheitsmängel. Für eine langfristige Überwachung der IT-Infrastruktur ist die Integration eines Security Operation Centers (SOC) ratsam. Es stellt quasi die sicherheitsbezogene Kommandobrücke dar und koordiniert Technologien, Prozesse und menschliche Security-Expertise zu einem ganzheitlichen Sicherheitsansatz. Unternehmen, die nicht über die nötigen Ressourcen zum Betreiben eines eigenen SOC verfügen, können ein solches auch als „asa-Service“ nutzen. Wie arbeitet das Airbus SOC? Die Konzeption eines SOC beginnt bei Airbus CyberSecurity mit dem Definieren von unternehmensspezifischen Prioritäten hinsichtlich IT- Infrastruktur, Informationsfluss und Geschäftsbereichen. Hier sind Fragen zu klären wie: Gibt es Netzwerksegmente mit unterschiedlichen Schutzbedarfen, sodass die Netzübergänge durch ein Security Exchange Gateway gesichert werden müssen? Darf der Datenaustausch bidirektional erfolgen? Ist eine Zonierung von Office-IT und industrieller Steuerungsumgebung zu beachten? Wird hier ein separates ICS SOC benötigt? Diverse Monitorings sorgen anschließend für eine lückenlose Prüfung der Client-, Server- und DMZ-Layer. Dazu zählt die Kontrolle des Datenverkehrs zwischen Netzwerk und Internet (Web Traffic Monitoring) sowie der E-Mail-Kommunikation (Email Traffic Monitoring) mittels zwischengeschaltetem Proxy. Sicherheitsmaßnahmen wie das Sperren ausgewählter Domains, der Einsatz von AV-Technologie sowie Sandboxing helfen, Schadsoftware aufzuspüren, zu blockieren und sicherheitskritische Programme zu separieren. Zum Malware Monitoring gehört auch die Geräteanalyse im Rahmen der Endpoint Protection. Für die Angriffserkennung führt das SOC-Team zudem Sicherheitsanalysen mithilfe von IDS-Tools durch. Je nach individueller Sicherheitsarchitektur ergänzen diese die Aktivitäten der Deep Inspection Firewall oder laufen direkt auf den zu schützenden Systemen. Erkannte Angriffe werden dem SOC-Admin mittels Log-Files mitgeteilt. Zusätzlich verhindern IPSs proaktiv und automatisiert potenzielle Bedrohungen. Komplexe, zielgerichtete und anhaltende Attacken (APT) lassen sich durch ein spezielles APT Monitoring frühzeitig aufdecken und analysieren. Aktives Scannen Das aktive Scannen des Datenverkehrs auf Clients und Server spürt mögliche Schwachstel- PC & Industrie 11/2018 45

hf-praxis

PC & Industrie

© beam-Verlag Dipl.-Ing. Reinhard Birchel