Post on 31-Aug-2019
KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK 2017
www.kaspersky.com/ics
Kaspersky Industrial CyberSecurity: Lösungsüberblick 20172
ANGRIFFE AUF INDUSTRIESYSTEME NEHMEN ZU
Cyberangriffe auf industrielle Steuerungssysteme nehmen immer mehr zu, dieser Tatsache müssen sich deren Betreiber stellen.1 67 % aller IT-/OT-Sicherheitsmanager sehen die aktuellen ICS-Cyberbedrohungen als kritisch bzw. hoch an, im Vergleich zu Umfragen aus dem Jahr 2015 ein Anstieg von über 43 %.2
Im Geschäftsjahr 2015 befasste sich das ICS-CERT in den USA mit 295 gemeldeten Cybersicherheitsvorfällen auf kritische Infrastrukturen. Das sind 20% mehr als im Vorjahr.3
Unterbrechungen der Lieferkette und der Geschäftsaktivitäten wurden in den letzten drei Jahren als globales Geschäftsrisiko Nr. 1 eingestuft. Risiken im Bereich Cybersicherheit stellen die größte aufkommende Bedrohung dar.4
Die Risiken für Unternehmen mit industriellen oder anderen kritischen Infrastruktursystemen sind heute so hoch wie nie zuvor. Der Bereich der industriellen Sicherheit hat eine Tragweite, die weit über den Schutz von Unternehmen und geschäftlicher Reputation hinausgeht. Beim Schutz von industriellen Systemen vor Cyberbedrohungen spielen ökologische, soziale und makroökonomische Faktoren eine erhebliche Rolle.
Betriebstechnologie und Informationstechnologie
Der Sammelbegriff „Industrielles Steuerungssystem“ (Industrial Control System, ICS) beschreibt automatisierte Systeme zur Steuerung der industriellen Produktion. Der Begriff „ICS“ umfasst ein breites Spektrum von Computern, proprietären Steuerungsgeräten und Netzwerkarchitekturen zum Steuern industrieller Prozesse in einer Vielzahl von Branchen. Ein ICS besteht in der Regel aus SCADA (Supervisory Control and Data Acquisition), DCS (Distributed Control Systems) and PLCs (Programmable Logic Controllers).
Im Hinblick auf Unternehmenssysteme lassen sich diese Bestandteile in zwei Kategorien einteilen: • Informationstechnologie (Information Technology, IT) – Systeme für allgemeine Geschäftszwecke• Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung.
Viele IT-Sicherheitsstrategien basieren auf dem Schutz von Daten und setzen auf das Modell Datenvertraulichkeit, Integrität und Verfügbarkeit. Bei den meisten OT-Systemen ist Kontinuität der wichtigste Faktor. Schutz bezieht sich nicht auf „Daten“, sondern auf „Prozesse“. Verfügbarkeit, Integrität und Vertraulichkeit (in dieser Reihenfolge). Hierdurch unterscheiden sich die Cybersicherheitsbedürfnisse in diesem Sektor. Selbst die hochwertigste Sicherheitslösung ist letztendlich unbrauchbar, wenn sie die Verfügbarkeit (und in manchen Fällen die Integrität) der betrieblichen Abläufe gefährdet.
1 PwC: Global State of Information Security 2015
2 SANS 2016 State of ICS Security Survey
3 ICS-CERT Monitor, November – Dezember 2015
4 Allianz Risk Barometer 2015
Kaspersky Industrial CyberSecurity: Lösungsüberblick 20173
RISIKEN UND BEDROHUNGEN
Trotz des wachsenden Bewusstseins für cyber-basierte Angriffe auf industrielle Steuerungssysteme bleiben viele Modelle zur IT-Sicherheit bei der veralteten Ansicht, dass physisch isolierende Systeme (durch Luftschleusen, sog. „Air Gaps“) und „Security by Obscurity“ ausreichen. Das ist nicht der Fall: Im Zeitalter von Industry 4.0 sind die meisten nicht kritischen Industrienetzwerke über das Internet zugänglich5, ob gewollt oder nicht.
Eine umfangreiche Studie von Kaspersky Lab, für die Daten aus dem Kaspersky Security Network genutzt wurden, zeigt, dass viele in Industrieanlagen eingesetzte PCs mit derselben Malware infiziert sind, die auch Unternehmenssysteme (IT) befallen. Darunter bekannte Übeltäter wie z. B. Trojaner, Viren, Würmer, PUPs (möglicherweise unerwünschte Software) sowie andere Exploits, die es auf Schwachstellen im Windows-Betriebssystem abgesehen haben.
Obwohl der Kido (auch Conficker-Wurm genannt) nicht speziell auf industrielle Systeme zugeschnitten ist, wurde er nicht nur in wichtigen medizinischen Anlagen gefunden, sondern war möglicherweise eine Art Wegbereiter für hochkarätige Attacken auf industrielle Angriffsziele. Kido ist in der Lage, Netzwerke vollständig zu überlasten und zentrale Prozesse zum Erliegen zu bringen. Herkömmliche Vorgehensweisen der industriellen Sicherheit gehen mit dieser Art von Bedrohung nicht sehr effektiv um: „Air Gap“-Prozesse oder das Konzept von „Security by Obscurity“ lassen die Tatsache außer Acht, dass industrielle Steuerungssysteme mithilfe von Smart-Grid-Systemen und Cloud-basierten SCADA-Programmen „fast schon wie herkömmliche Verbraucher-PCs aussehen.6
Eine weitere ICS-Bedrohung mit Aufwärtstrend ist Ransomware. Zwischen 2015 und 2016 haben sich die Anzahl und der Umfang der entwickelten Ransomware drastisch erhöht. Diese neu aufkommende Ransomware hat große Auswirkungen auf die Industriebranche, da derartige Infektionen zu schwerwie-genden Systemschäden führen können. ICS sind also ein besonders attraktives potentielles Angriffsziel. Für Angriffe auf industrielle Systeme entwickelte Ransomware enthält oft besondere Funktionen – statt Dateien zu verschlüsseln, besteht das Ziel dieser Malware oft darin, die betrieblichen Abläufe zu stören oder den Zugriff auf eine wichtige Ressource zu blockieren.
Neben generischen Bedrohungen muss die industrielle Sicherheit gezielte Angriffe und speziell für ICS entwickelte Malware abwehren: Stuxnet, Citadel, Energetic Bear/Havex, Miancha, BlackEnergy, Irongate, PLC Blaster – nur einige wenige einer expandierenden Liste. Wie die Stuxnet- und Black Energy-Angriffe gezeigt haben, kann schon ein infiziertes USB-Laufwerk oder eine einzelne Spear-Phishing-E-Mail dazu führen, dass gut vorbereitete Angreifer das so genannte „Air Gap“ überwinden und in ein isoliertes Netzwerk eindringen.
Start und Ausbreitung vieler industriespezifischer Angriffe erfolgen sowohl über das Unternehmensnetzwerk als auch über das ICS. Bei der BlackEnergy-Attacke auf das ukrainische Stromversorgungsnetz im Dezember 2015, das zu einem großflächigen Netzausfall führte, setzen Hacker beispielsweise mehrere Angriffsvektoren ein. Zunächst wurden die Zugangsdaten für das SCADA-System mit einem Spear-Phishing-Angriff in der Unternehmensumgebung gestohlen. Anschließend legten die Hacker das Stromnetz manuell lahm und führten ein schädliches KillDisk-Programm ein, mit dem Daten in wichtigen Systemdateien für das industrielle Netzwerk gelöscht bzw. überschrieben wurden, sodass der Computer des Bedieners abstürzte. Parallel dazu wurde ein DDoS-Angriff auf das Callcenter des Versorgungsunternehmens durchgeführt, sodass Kunden die Ausfälle nicht melden konnten.
5 ICS and their online availability 2016, Kaspersky Lab
6 EU Agency for Network and Information Security (ENISA): „Can we learn from SCADA security incidents?“ (Können wir aus SCADA-Sicherheitsvorfällen lernen?)
Kaspersky Industrial CyberSecurity: Lösungsüberblick 20174
Zusätzlich zu Malware und gezielten Angriffen müssen Industrieunternehmen weitere Bedrohungen und Risiken abwehren, die auf Menschen, Prozesse und Technologie abzielen. Diese Risiken zu unterschätzen, kann ebenfalls ernsthafte Konsequenzen haben. Kaspersky Lab hat ein umfassendes Portfolio von Technologien, Services und Lösungen entwickelt, mit dem unsere Kunden viele diese Risiken ausschalten oder mindern können, darunter die folgenden:
• Fehler durch SCADA-Bediener oder Auftragnehmer (Dritte)• Betrügerische Handlungen• Cybersabotage• Compliance• Mangelndes Bewusstsein und wenig nutzbare Daten für die digitale Forensik• Mangelnde Berichterstattung zu Vorfällen.
Spezielle industrielle Cybersicherheitslösungen sind erforderlich
Lösungen, die den besonderen Anforderungen industrieller Steuerungssysteme und industrieller Infrastruktur gerecht werden, können nur von Cybersicherheitsanbietern bereitgestellt werden, die die Unterschiede zwischen Industriesystemen und den standardmäßigen, betriebswirtschaftlich ausgerichteten Unternehmenssystemen verstehen. Forrester Research empfiehlt Industrieunternehmen, bei ihrem Sicherheitsanbieter auf „spezielle industrielle Fachkenntnisse7“ zu achten. Dabei wird Kaspersky Lab von Forrester als einer der wenigen Anbieter spezieller Sicherheitslösungen für die Industrie mit wirklicher Sachkenntnis in diesem Sektor genannt.
7 Forrester Research: S&R Pros Can No Longer Ignore Threats to Critical Infrastructure (S&R-Experten dürfen Risiken für kritische Infrastrukturen nicht länger ignorieren) von Rick Holland
Kaspersky Industrial CyberSecurity: Lösungsüberblick 20175
KASPERSKY LAB: VERTRAUENSWÜRDIGER ANBIETER VON INDUSTRIAL CYBERSECURITY
Als anerkannter Vorreiter bei Cybersicherheit und Schutz von industriellen Systemen8 ist Kaspersky Lab mit der kontinuierlichen Weiterentwicklung von Lösungen beschäftigt, die mehr leisten und mit den sich ständig weiterentwickelnden Bedrohungen von industriellen Anlagen und wichtigen Infrastrukturen umgehen können. Von der Betriebsführung bis zur SCADA-Ebene und mit dem Blick auf ein in der Zukunft vollständig geschütztes Betriebssystem, trägt Kaspersky Lab entscheidend dazu bei, dass Industrie, Behörden und staatliche Stellen auf der ganzen Welt rechtzeitig auf Veränderungen in der Bedrohungslandschaft vorbereitet sind und sich effektiv verteidigen können.
Als verlässlicher IT-Sicherheitsanbieter und Partner für führende Industrieunternehmen, die unsere Lösungen zum Malware-Schutz bereits seit vielen Jahren nutzen, arbeitet Kaspersky Lab überdies mit Anbietern aus dem Bereich der industriellen Automatisierungstechnik zusammen. Darunter Emerson, SAP, Siemens, Industrial Internet Consortium etc. Unser gemeinsames Ziel ist die Entwicklung spezieller, kompatibler Verfahren und Kooperations-Frameworks zum Schutz von industriellen Systemen vor vorhandenen und aufkommenden Bedrohungen, einschließlich APTs und gezielte Angriffe.
Kaspersky Lab entwickelt ein Portfolio von Speziallösungen für bestimmte Sicherheitsanforderungen in Industrieunternehmen: Kaspersky Industrial CyberSecurity. Diese Lösungen bieten auf allen Ebenen von Industriesystemen, effektive Sicherheit vor Cyberbedrohungen, ohne die Geschäftskontinuität und die Konsistenz der technologischen Prozesse zu beeinträchtigen. Damit schützt Kaspersky Industrial CyberSecurity („KICS“) auch SCADA-Server, HMI-Panele, Workstations, SPS und Netzwerkverbindungen.
Im Rahmen einer mehrstufigen Sicherheitsstrategie ermöglicht Kaspersky Industrial CyberSecurity eine Kombination unterschiedlicher Schutztypen. Kaspersky Industrial CyberSecurity liefert über die Technologien und Services zur Unterstützung der einzelnen Stadien des Sicherheitszyklus hinaus unter anderem Schutz bei der Integritätskontrolle, der Angriffsüberwachung und -erkennung sowie bei der Erkennung von Anti-Malware und anomalen Verhaltensmustern.
8 Gartner Market Guide for Operational Technology Security, 2016
Technologien ServicesZentralisierte Verwaltung
• Single management console• Software provisioning• Policy management• Reporting
Malware-Schutz• Signature-based• Proactive Defense• Kaspersky (Private) Security Network• Malware actions rollback
Integritätskontrolle• Whitelisting• Device control• Network Integrity Control• Process Integrity Control• PLC Integrity Check
Interoperabilität• SIEM• HMI• Syslog• Network Management System• Mail
Wissen• Cybersecurity
Trainings• Awareness
Programs• Intelligence
Reporting
Expertenservices• CyberSecurity-
Assessment• Solution
Integration• Incident
Response
Forensik• Safe Event Logs• Data Analysis
Angriffsüberwachung/-erkennung• Network Attack Blocker• Firewall• IDS/IPS
Erkennung anormalen Verhaltens
Kaspersky Industrial CyberSecurity: Lösungsüberblick 20176
KASPERSKY INDUSTRIAL CYBERSECURITY: SERVICES
Unsere Suite aus Services ist ein wichtiger Teil des Kaspersky Industrial CyberSecurity-Portfolios. Wir bieten eine umfassende Palette von Security Services, vom Cybersecurity Assessment bis hin zur Vorfallsreaktion.
Wissen (Schulung und Informationen)
Cybersecurity Trainings: Kaspersky Lab bietet Schulungskurse für IT-/OT-Sicherheitsexperten und ICS-Bediener und -Ingenieure. Während der Schulung erhalten die Teilnehmer Einsichten zu relevanten Cyberbedrohungen, Trends bei ihrer Entwicklung und zu effektiven Schutzmethoden vor diesen Bedrohungen.
Awareness-Programme: Um das Bewusstsein für relevante Cybersicherheitsprobleme zu erhöhen und die Fähigkeiten zu entwickeln, diese anzugehen und zu lösen, bietet Kaspersky Lab CyberSafety Games für Sicherheitsmanager und Techniker. Beispielsweise werden bei der Kaspersky Industrial Protection Simulation (KIPS) echte Cyberattacken auf industrielle Automatisierungssysteme simuliert und die wichtigsten Probleme bei der Bereitstellung industrieller Sicherheit aufgezeigt.
Intelligence Reporting: Aktuelle, von führenden Cybersicherheitsexperten zusammengestellte und auf die Anforderungen von Industriekunden zugeschnittene Sicherheitsberichte.
Expert Services
Cybersecurity Assessment: Unternehmen, die sich um die potentiellen betrieblichen Auswirkungen der IT-/OT-Sicherheit sorgen, bietet Kaspersky Lab ein minimal invasives Cybersecurity Assessment vor der Installation an. Dies ist ein maßgeblicher erster Schritt bei der Bestimmung der Sicherheitsanforderungen im Kontext der betrieblichen Anforderungen und bietet darüber hinaus wichtige Erkenntnisse zur vorhandenen Cybersicherheit, ohne dass weitere Schutztechnologien bereitgestellt werden müssen.
Lösungsintegration: Wenn die industriellen Steuerungssysteme eine spezielle Architektur haben oder auf angepassten Hardware- und Softwarekomponenten basieren, die in der Branche nicht weithin verwendet werden, kann Kaspersky Lab die empfohlenen Cybersicherheits-Tools auf diese Systeme anpassen. Dieser Service umfasst Unterstützung für spezielle Software- und Hardwaresysteme, einschließlich SCADA und SPS, und der zugehörigen Kommunikationsprotokolle für industrielle Netzwerke.
Vorfallsuntersuchung: Bei einem Cybersicherheitsvorfall erfassen und analysieren unsere Experten die Daten, rekonstruieren die Timeline des Vorfalls, bestimmen mögliche Quellen und Gründe und entwickeln einen Plan zur Problemlösung. Weiterhin bietet Kaspersky Lab einen Service zur Malware-Analyse. Dabei kategorisieren die Spezialisten von Kaspersky Lab die bereitgestellte Malware-Probe, analysieren deren Funktionen und Verhaltensweisen und stellen Empfehlungen sowie einen Plan auf, um die Malware zu entfernen und ein Rollback aller schädlichen Aktionen durchzuführen.
Kaspersky Industrial CyberSecurity: Lösungsüberblick 20177
KASPERSKY INDUSTRIAL CYBERSECURITY: ZENTRALE SICHERHEITSVERWALTUNG
Für den bestmöglichen Schutz vor allen Angriffsvektoren, muss die Sicherheit für Industrieanlagen sowohl am Node, als auch auf Netzwerkebene ansetzen. Kaspersky Industrial CyberSecurity ist für optimale Kontrolle, einfache Verwaltung und hohe Transparenz ausgelegt und wird, wie alle Schutztechnologien von Kaspersky Lab, über eine einzige Management-Konsole, das Kaspersky Security Center, gesteuert. Diese zentralen Verwaltungsfunktionen gewährleisten eine einfache Kontrolle und hohe Transparenz nicht nur auf industrieller Ebene an mehreren Standorten, sondern auch auf den zugehörigen geschäftlichen Ebenen, wie in der Abbildung unten gezeigt.
Kaspersky Industrial CyberSecurity: Lösungsüberblick 20178
KASPERSKY INDUSTRIAL CYBERSECURITY FOR NODES
Kaspersky Industrial CyberSecurity for Nodes wurde entwickelt, um die spezifischen Bedrohungen in ICS/SCADA-Umgebungen zu bewältigen. Die Lösung setzt am ICS/SCADA-Server, der Mensch-Maschine-Schnittstelle und auf Engineering-Workstation-Ebene an und stellt zuverlässigen Schutz vor unterschiedlichen, durch menschliche Faktoren, generische Malware, gezielte Angriffe oder Sabotage verursachten Cyberbedrohungen bereit. Kompatibilität mit den Software- und Hardware-Komponenten industrieller Automatisierungssysteme wie SCADA, PCS und DCS ist dabei gewährleistet.
Bedrohungen und Risikofaktoren Technologien von Kaspersky Lab
Nicht autorisierte Ausführung von
Software
Whitelists; Modi für Überwachung oder Erkennung
(kein Blockieren, sondern Registrieren)
Malware, einschließlich Zero-Day
Fortschrittlicher Malware-Schutz: signaturbasiert und
reaktionsschnell; Automatischer Exploit-Schutz und
Kaspersky (Private) Security Network (KPSN)
Netzwerkangriffe Hostbasierte Firewall und Network Attack Blocker
Nicht autorisierte Geräteverbindungen Gerätekontrolle
Software-Schwachstellen Vulnerability Scanning
Gefälschte SPS-Programme SPS-Integritätsprüfung
ICS-spezifische Funktionen: Air Gaps,
Fehlalarme (False-Positives) für
ICS-Software und -Prozesse usw.
Vertrauenswürdige Updates; KPSN; Zertifizierung durch
führende ICS-Anbieter; Zusammenarbeit bei Whitelists
Software- und Hardware-IntegritätskontrolleDie relativ statische Beschaffenheit von ICS-Endpoint-Konfigurationen bedeutet, dass Integritätskontrollmaßnahmen sehr viel effektiver sind als in dynamischen Unternehmensnetzwerken. Kaspersky Industrial CyberSecurity for Nodes umfasst u. a. die folgenden Technologien zur Integritätskontrolle:
Kontrolle von Programmstart und ProgrammberechtigungenProgrammkontrollmechanismen bieten u. a. die folgenden Vorteile:
• Steuerung von Programminstallation und Programmstart anhand von Whitelist- (Best Practice für industrielle Kontrollnetzwerke) oder Blacklist-Richtlinien
• Steuerung des Programmzugriffs auf Betriebssystemressourcen: Dateien, Ordner, Systemregistrierung usw.• Kontrolle aller in einer Windows-Umgebung ausgeführten Installationsdateien wie exe, dll, ocx, Treiber,
ActiveX, Skripte, Befehlszeilen-Interpreter und Kernelmodus-Treiber• Aktualisierung der Reputationsdaten von Programmen• Vordefinierte und kundendefinierte Programmkategorien zur Verwaltung von Listen kontrollierter
Programme• Feinabstimmung der Programmkontrollen für unterschiedliche Benutzer• Modi für Überwachung oder Erkennung: Blockieren aller Programme, die nicht in der Whitelist aufgeführt
sind oder sich nicht im Beobachtungsmodus befinden; Zulassen der Ausführung von Programmen, die nicht in der Whitelist aufgeführt sind, wobei diese Aktivität aber zur Überprüfung im Kaspersky Security Center registriert wird.
Kaspersky Industrial CyberSecurity: Lösungsüberblick 20179
GerätezugriffskontrolleZugriffsverwaltung für Wechseldatenträger, Peripheriegeräte und System Busses je nach Gerätekategorie, Gerätefamilie und bestimmter Geräte-ID
• Unterstützung für Whitelists und Blacklists• Detaillierte Richtlinienzuweisung pro Computer und Benutzer für einzelne Benutzer/Computer oder
eine Gruppe von Benutzern/Computern• Modi nur für Überwachung oder nur für Erkennung
Hostbasierte Firewall und Network Attack Blocker
Einrichten und Durchsetzen der Netzwerkzugriffsrichtlinie für geschützte Nodes wie Server, HMIs oder Workstations Wichtige Funktionen:
• Zugriffskontrolle auf eingeschränkte Ports und Netzwerke• Erkennen und Blockieren von Netzwerkangriffen aus internen Quellen, z. B. Laptops von Auftragnehmern,
über die Malware eingeschleust werden kann, die den Host sofort nach Verbindung mit dem industriellen Netzwerk scannt und infiziert
Automatischer Exploit-Schutz
SCADA-Prozesse werden durch eine Isolationsschicht vor schädlichen Speicherinjektionen oder -änderungen wie z. B. Exploit-Nutzlasten geschützt.
SPS-Integritätsprüfung
Ermöglicht zusätzliche Kontrolle über die SPS-Konfiguration anhand regelmäßiger Überprüfungen bestimmter, durch Kaspersky Lab geschützte Server oder Workstations. Die Prüfsummen-Ergebnisse werden mit gespeicherten „Etalon“-Werten verglichen und Abweichungen gemeldet.
Moderner Malware-Schutz
Die hochwertigen Technologien zu Malware-Erkennung und Malware-Schutz von Kaspersky Lab wurden angepasst und umgestaltet, um dem intensiven Ressourcenverbrauch und den hohen Anforderungen an die Systemverfügbarkeit gerecht zu werden. Unser fortschrittlicher Malware-Schutz funktioniert sogar in statischen oder nur selten aktualisierten Umgebungen.Die Anti-Malware-Lösung von Kaspersky Lab umfasst die volle Palette von Technologien; dazu gehören:
• Signatur-, heuristische und verhaltensbasierte Malware-Erkennung• Zugriffs- und bedarfsabhängige Erkennung• Speicherinterne (speicherresidente) Erkennung• Erkennen von Rootkits• Kaspersky Security Network (KSN) und Kaspersky Private Security Network (KPSN) ermöglichen einen
erstklassigen Malware-Erkennungsservice.
Kaspersky Industrial CyberSecurity: Lösungsüberblick 201710
Vertrauenswürdige Updates
Um sicherzustellen, dass die Sicherheits-Updates von Kaspersky Lab keine Auswirkungen auf die Verfügbarkeit des geschützten Systems haben, werden sowohl vor Datenbank-/Komponentenfreigaben als auch vor PCS-Software-/Konfigurations-Updates Kompatibilitätsüberprüfungen durchgeführt.
Potentielle Probleme bei der Ressourcenbelastung können anhand unterschiedlicher Szenarien gelöst werden:
• Kaspersky Lab führt Kompatibilitätstests zum Datenbank-Update mit der SCADA-Anbietersoftware in der Testumgebung von Kaspersky Lab durch.
• Der SCADA-Anbieter führt Kompatibilitätsüberprüfungen durch.• Kaspersky Lab überprüft die Updates der Sicherheitsdatenbank für Sie: SCADA, Workstation, Server
und HMI-Images werden in die Testumgebung von Kaspersky Lab integriert.• Die Sicherheits-Updates von Kaspersky Lab werden an Ihrem Standort getestet und über das Kaspersky
Security Center automatisiert.
Vulnerability Assessment
Funktionen zum passiven Vulnerability Assessment: Erkennung von und Informationen zu Software-Schwachstellen ohne jedwede Unterbrechung der Technologieprozesse
Zentrales Deployment und Management sowie zentrale Kontrolle
Kaspersky Industrial CyberSecurity for Nodes wird über eine zentrale Konsole bereitgestellt, die Folgendes ermöglicht:• Zentrale Verwaltung von Sicherheitsrichtlinien, Festlegen unterschiedlicher Schutzeinstellungen für
verschiedene Nodes und Gruppen• Vereinfachtes Testen von Updates vor der Einführung im Netzwerk, somit umfassende Prozessintegrität• Rollenbasierter Zugriff im Rahmen der Sicherheitsrichtlinien und dringenden Aktionen.
Kaspersky Industrial CyberSecurity: Lösungsüberblick 201711
KASPERSKY INDUSTRIAL CYBERSECURITY FOR NETWORKS
Die Sicherheitslösung auf Netzwerkebene von Kaspersky Lab setzt an der Abstraktionsebene für die Prozesskontrolle an. Sie analysiert und prüft die Quellen für den Netzwerkverkehr und bietet gleichzeitig eine Integritätskontrolle für das industrielle Netzwerk und die industriellen Kontrollprozesse. Ein integrierter Stack komplementärer Technologien bildet eine effiziente Engine zur Erkennung anormalen Verhaltens.
Bedrohungen und Risikofaktoren Technologien von Kaspersky Lab
Plötzliches Vorhandensein nicht
autorisierter Netzwerkgeräte im
industriellen Netzwerk
Network Integrity Control entdeckt neue/unbekannte
Geräte
Plötzliches Vorhandensein nicht
autorisierter Kommunikation im
industriellen Netzwerk
Network Integrity Control überwacht die Kommunikation
zwischen bekannten/unbekannten Geräten
Schädliche SPS-Befehle durch:
• Bediener oder Drittanbieter (also
Auftragnehmer), versehentlich
• Insider (betrügerische Handlungen)
• Angreifer/Malware
Überwachen von Kommunikationen an und von den
SPS und Kontrolle der Befehls- und Parameterwerte der
Technologieprozesse
Fehlende Daten für Betreiber zu
Cybersicherheitsvorfällen
Melden verdächtiger Änderungen an technologischen
Prozessparametern an den Bediener
(über HMI-Integration)
Keine Daten für Untersuchungen und
Forensik
Forensik-Tools: Überwachung und sichere Protokollierung
von Vorfällen im industriellen Netzwerk
Passive Prüfung des industriellen Netzwerkverkehrs, effektive Sicherheitsüberwachung
Kaspersky Industrial CyberSecurity for Networks ermöglicht eine passive Analyse von anomalem Verhalten im Netzwerkverkehr und bleibt doch für potentielle Angreifer unsichtbar. Für die Installation muss lediglich die Port-Spiegelung aktiviert/konfiguriert werden, und eine einfache Integration in die existierende industrielle Infrastruktur wird über den SPAN-Port des vorhandenen Switches oder TAP-Geräts erzielt.
Kaspersky Industrial CyberSecurity: Lösungsüberblick 201712
Hierarchische Architektur, Single Point of Control
Die passiv über den SPAN-Port oder das TAP-Gerät mit dem kontrollierten Netzwerksegment verbundenen Sensoren für den Netzwerkverkehr werden über eine einzige Kontrolleinheit verwaltet, die folgende Funktionen bietet:
• Abrufen und Speichern von Vorfallsdaten von allen Sensoren, Verwendung der Daten bei der Vorfallsreaktion und bei Untersuchungen/Forensik
• Melden aller erkannten Vorfälle und Anomalien an Drittanbietersysteme wie SIEM, Mail, Syslog-Server und Netzwerkmanagement-System über das SNMP-Protokoll
• Überwachen der gesamten Systemintegrität• Verwaltung über das Kaspersky Security Center oder die lokale Schnittstelle.
Vertrauenswürdige Überwachung der industriellen Prozesskontrolle
Mit der Lösung von Kaspersky Lab erhalten Industrieunternehmen eine vertrauenswürdige Plattform zur Überwachung des Befehlsflusses und der Telemetriedaten bei der Prozesskontrolle. Dies bietet u. a. die folgenden Vorteile:
• Erkennen beliebiger Befehle zur Neukonfiguration von SPS oder zu Änderungen am SPS-Status, darunter STOPP, PAUSE, SPS-Programm ändern, SPS-Firmware ändern
• Kontrolle von Parametern und Algorithmen beim Technologieprozess• Schutz vor externen Bedrohungen unter gleichzeitiger Risikosenkung von „erweiterten“ Insider-Störungen
durch Ingenieure, SCADA-Bediener oder andere interne Mitarbeiter mit direktem Systemzugriff.
Netzwerkintegrität und Ressourcentransparenz
Mit Kaspersky Industrial CyberSecurity for Networks können Sie alle mit dem Ethernet verbundenen Netzwerkressourcen identifizieren, darunter SCADA-Server, HMI, Engineering-Workstations, SPS und RTUs. Alle neuen oder unbekannten Geräte und die zugehörige Kommunikation werden automatisch erkannt. Dadurch erhalten Sicherheitsteams die Möglichkeit, ihre eigenen, zuverlässigen und sicheren Netzwerkbestände zur Ressourcenverwaltung zu entwickeln, statt potentiell anfällige OT/IT-Tools zu verwenden, auf die Angreifer es insbesondere abgesehen haben.
Forensik
Die Lösung von Kaspersky Lab stellt industriellen Benutzern ein sicheres Protokollsystem mit Tools zu Datenanalyse und Forensik bereit. Darüber hinaus lässt das System Änderungen an Systemereignissen nicht zu.
Kaspersky Industrial CyberSecurity: Lösungsüberblick 201713
WEITERE SERVICES FÜR KASPERSKY INDUSTRIAL CYBERSECURITY-PRODUKTE: KASPERSKY SECURITY NETWORK
Das Kaspersky Security Network (KSN) ist eine Cloud-basierte, komplexe verteilte Architektur zur Erfassung und Analyse von Informationen zu Sicherheitsbedrohungen aus Millionen Nodes weltweit. Das KSN ermittelt und blockiert nicht nur die neuesten Bedrohungen und Zero-Day-Attacken, sondern unterstützt Kunden auch beim Auffinden von Online-Angriffsquellen und deren Aufnahme in eine Blacklist. So werden Reputationsdaten für Webseiten und Programme bereitgestellt.
Alle Unternehmenslösungen von Kaspersky Lab, einschließlich denen für industrielle Anwendungen, können auf Wunsch mit dem KSN verbunden werden. Wichtige Funktionen:
• Hervorragende Erkennungsraten• Kürzere Reaktionszeiten: Herkömmliche, signaturbasierte Antworten dauern Stunden, KSN antwortet
in etwa 40 Sekunden• Weniger Fehlalarme (False-Positives)• Reduzierter Ressourcenverbrauch für standortgebundene Sicherheitslösungen.
Kaspersky Private Security Network (KPSN)
Für Unternehmen mit speziellen Datenschutzanforderungen hat Kaspersky Lab das Kaspersky Private Security Network entwickelt. Es bietet so gut wie alle Vorteile des KSN, es werden aber keine Informationen an Ziele außerhalb des eigenen Netzwerks übertragen.
Das KPSN kann im Rechenzentrum eines Unternehmens installiert werden. Die eigenen IT-Spezialisten behalten so die vollständige Kontrolle. Lokale KPSN-Installationen können zur Erfüllung landesspezifischer Compliance-Anforderungen oder anderer branchenspezifischer gesetzlicher Auflagen nützlich sein.
Wichtigste Funktionen des KPSN
• Datei- und URL-Reputationsservices: MD5-Hashes für Dateien, reguläre Ausdrücke für URLs und Malware-Verhaltensmuster werden zentral gespeichert, kategorisiert und schnell auf dem Client bereitgestellt.
• Record Management System (RMS): Bisweilen treten Fehler in der Sicherheitssoftware auf, und Dateien oder URLs werden fälschlicherweise als vertrauenswürdig/nicht vertrauenswürdig eingestuft. RMS verhindert Fehlalarme (False-Positives), korrigiert Fehler und führt kontinuierliche Analysen zur Qualitätsverbesserung durch.
• Cloud-basierte Informationen
© 2016 Kaspersky Lab. Alle Rechte vorbehalten. Eingetragene Markenzeichen und Handelsmarken sind das Eigentum ihrer jeweiligen Rechtsinhaber.
Mehr zu Industrial CyberSecurity erfahren Sie hier: www.kaspersky.com/ics