Modernes Schwachstellen-Management bei IT und OT

Modernes Schwachstellen-Management bei IT und OT
Anzeige

Beitrag teilen

Die Messung und Verbesserung der IT-Sicherheit ist bei vielen Unternehmen mittlerweile angekommen und werden vorangetrieben. Die Frage der OT-Sicherheit hingegen ist für viele Unternehmen noch ein Buch mit sieben Siegeln. OTORIO erläutert, wie IT- und OT-Sicherheit gleichermaßen vorangebracht werden können und welche Rolle hierbei Schwachstellen-Management und -Scoring spielen.

Welches sind die effizientesten Risikominderungsmaßnahmen, die die effektivste Risikominderung für eine bestimmte Anlage, einen Prozess oder eine ganze Produktionsstätte erzielen? Sobald die Maßnahmen zur Risikominderung umgesetzt sind und ein akzeptables Restrisiko verbleibt, gibt es jedoch noch mehr zu tun. Der Grund dafür ist, dass der Prozess der Risikominderung zusätzliche Gefährdungen und Lücken aufdeckt, die Teil des neu eingeführten „akzeptablen“ Restrisikos sind.

Anzeige

Dies ist ein fortlaufender Prozess, denn er ermöglicht es den operativen und OT-Sicherheitsteams, sich ständig auf die Schwachstellen zu konzentrieren, die Angreifer am ehesten ausnutzen, um einem Unternehmen so viel Schaden wie möglich zuzufügen. Nur durch die wiederholte Durchführung dieser Risikobewertungsschleife können Unternehmen ihre geschäftliche Widerstandsfähigkeit erreichen, und das mit einem begrenzten Umfang an Ressourcen.

Ziele der Lagebeurteilung

Das Hauptziel des Bewertungsprozesses besteht darin, die Schwachstellen mit der richtigen Priorität anzugehen. In diesem Beitrag geht es um die Art der Schwachstellen, die Art und Weise, wie sie bewertet werden sollten, und ihre Anwendung auf die digitale OT-Sicherheit.

Anzeige
WatchGuard_Banner_0922

Das National Institute of Standards and Technology (NIST) definiert eine Schwachstelle wie folgt: „Eine Schwachstelle in der Rechenlogik (z. B. Code) von Software- und Hardwarekomponenten, die, wenn sie ausgenutzt wird, zu einer negativen Auswirkung auf die Vertraulichkeit, Integrität oder Verfügbarkeit führt. Die Behebung der Schwachstellen in diesem Zusammenhang umfasst in der Regel Änderungen am Code, kann aber auch Änderungen an der Spezifikation oder sogar die Abschaffung der Spezifikation (z. B. die vollständige Entfernung der betroffenen Protokolle oder Funktionen) beinhalten. “

Beziehung zwischen Anlageninventar und OT-Schwachstellen

Die Erstellung eines genauen, kontextbezogenen und detaillierten Bestandsverzeichnisses der Assets ist der erste Schritt bei der Entwicklung eines effektiven Verfahrens zur Analyse von OT-Schwachstellen. Das Inventar sollte Software- und Versionsdaten, Geräteverbindungen, Status und Verwaltungsinformationen (z. B. Eigentümer, Betriebsrolle, Funktion) enthalten. Eine aktuelle und genaue Bestandsaufnahme spiegelt verschiedene Aspekte des Anlagenzustands wider.

Nach einer ersten Bestandsaufnahme können die Schwachstellen mit den entsprechenden Assets verknüpft werden. Diese Zuordnung sollte über einen automatisierten Prozess erfolgen, insbesondere bei einer großen Anzahl von Assets. Dazu muss ein Algorithmus erstellt und verwendet werden, der halbstrukturierte Schwachstellendaten mit Assets im Netzwerk verknüpfen kann.

Die CVE-Datenbank (Common Vulnerabilities and Exposures) des NIST enthält derzeit etwa 170.000 bekannte IT- und OT-Schwachstellen und ist damit eine wichtige Informationsquelle. Diese Zahl und die ständige Einführung neuer Schwachstellen verdeutlichen das Ausmaß und die Notwendigkeit, ihre Identifizierung zu automatisieren.

Quellen für Schwachstellendefinitionen

Bei der Bewertung von Schwachstellen wird der Schweregrad der einzelnen Schwachstellen anhand eines Schwachstellenindexes quantifiziert. Ein Standardverfahren zur Bewertung von Schwachstellen ist das Common Vulnerability Scoring System (CVSS) von NIST, ein Industriestandard, der bewertet, wie leicht eine Schwachstelle ausgenutzt werden kann und welche Auswirkungen dies auf Vertraulichkeit, Integrität und Verfügbarkeit haben kann. Diese drei Faktoren (auch bekannt als „CIA“ – für „confidentiality, integrity, and availability“) sind auch Variablen, die den potenziellen Schweregrad einer Bedrohung messen.

Die Berücksichtigung gängiger Schwachstellen allein reicht jedoch nicht aus, um die Gefährdung eines bestimmten Assets zu bestimmen. Eine weitere Quelle zur Bestimmung ist die interne Richtlinie eines Unternehmens. Wenn eine solche Richtlinie beispielsweise vorschreibt, dass Passwörter mittlerer Stärke eine Schwachstelle darstellen, muss dies bei der Berechnung der Schwachstelle des Assets berücksichtigt werden. Unternehmensspezifische Sicherheitsmängel sind die wichtigste Methode, mit der Praktiker Richtlinien als Faktor bei der Bewertung von Schwachstellen berücksichtigen können.

Industriestandards und Best Practices sind ebenfalls wichtige Quellen für Schwachstellen, die zum Risiko beitragen. Beispiele für Industrienormen sind ISA/IEC 62443 in Europa und NERC CIP in Nordamerika. Die Nichteinhaltung von Best Practices kann zu Problemen wie einer zulässigen Segmentierungskonfiguration, dem Fehlen von EDR-Agenten und einer ungerechtfertigten Kommunikation zwischen IT- und OT-Bereichen im Netzwerk führen. Diese müssen in eine allumfassende Schwachstellendatenbank aufgenommen werden, wo sie von Fachleuten geändert werden können, wenn sich Industriestandards und Best Practices weiterentwickeln.

Bewertung von Schwachstellen

Praktiker sollten unternehmensspezifische Schwachstellen mit Hilfe des CVSS-Systems bewerten und sie auf dieselbe Skala wie allgemeine Schwachstellen setzen. Die Schwachstellendatenbank sollte so flexibel sein, dass der Praktiker die Bewertung der Schwachstellen auf der Grundlage der Unternehmensrichtlinien beeinflussen kann.

Da jeder Asset-zustand eine Schwachstelle darstellen kann, ist es ratsam, einen Algorithmus einzusetzen, der die Unternehmensrichtlinien auf alle Asset-Zustände anwendet. Die Grundlage für die richtigen Entscheidungen über die Sicherheitslage ist also die konsistente Verwendung einer Schwachstellendatenbank, in der alle Schwachstellen nach einer Standardmethode bewertet werden. Auf diese Weise kann ein Unternehmen anhand des Risikos Prioritäten bei der Schadensbegrenzung setzen.

Fazit

Schwachstellen sind eine der vier Risikokomponenten und ein wichtiger Faktor bei der Analyse der Sicherheitslage. Eine große Herausforderung ist der Aufbau und die Pflege einer Schwachstellendatenbank, die auf Assets angewendet werden kann, um Entscheidungen über die Priorisierung von Abhilfemaßnahmen zu treffen.

Die beste Möglichkeit, Schwachstellen zu bewerten, ist die Einhaltung des CVSS-Systems. Dadurch vermeiden Unternehmen, alle gängigen Schwachstellen neu bewerten zu müssen, und halten gleichzeitig den Industriestandard ein. Aufgrund des Umfangs und der Größenordnung dieses Prozesses ist es notwendig, ihn zu automatisieren. Auf diese Weise kann ein Unternehmen regelmäßig eine konsistente und skalierbare Bewertung der Sicherheitslage vornehmen, die es ermöglicht, die Bewertungen im Laufe der Zeit zu vergleichen und Trends bei der Sicherheitslage festzustellen.

Mehr bei Sophos.com

 


Über OTORIO

OTORIO entwickelt und vermarktet die nächste Generation von OT-Sicherheits- und digitalen Risikomanagementlösungen. Das Unternehmen kombiniert die Erfahrung führender staatlicher Cybersicherheitsexperten mit modernsten Technologien für das digitale Risikomanagement, um ein Höchstmaß an Schutz für kritische Infrastrukturen und die Fertigungsindustrie zu bieten.


 

Passende Artikel zum Thema

OneLogin: globale Studie zu Sicherheit im Homeoffice

OneLogin, eines der weltweit führenden Unternehmen im Bereich des Identitäts- und Zugriffsmanagements, hat heute eine neue globale Studie veröffentlicht, in ➡ Weiterlesen

Zyxel: neue KMU-Firewall-Modelle USG-FLEX-100/200/500

Während die Telearbeit zur neuen Normalität wird, stehen Unternehmen vor der Herausforderung, ihre Geschäftstätigkeit sicher zu gestalten und gleichzeitig die ➡ Weiterlesen

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko für die IT-Sicherheit?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für die IT-Sicherheit von Unternehmen dar. In der ➡ Weiterlesen

Kaspersky Endpoint Security for Business mit EDR Optimum & Sandbox

Zukunftsweisender 3-in-1-Lösungsansatz für erweiterte Cybersicherheit für mittelständische und große Unternehmen Die neueste Version der Kaspersky-Flaggschifflösung Endpoint Security for Business [1] ➡ Weiterlesen

Analyse-Ergebnisse des Kaspersky Threat Intelligence Portal

Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner ➡ Weiterlesen

DriveLock Release 2020 mit neuen Funktionen

Das neue DriveLock 2020.1 Release kommt mit zahlreichen Verbesserungen und implementiert Kundenwünsche als Updates: Schwachstellen-Scanner, Self-Service Portal für Anwender, Pre-Boot ➡ Weiterlesen

Kaspersky Security Awareness Training

Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training, die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und ➡ Weiterlesen

Bitdefender GravityZone mit „Human Risk Analytics“

EDR-Modul jetzt auch On-Premises erhältlich zur Abmilderung von Ransomware-Attacken Bitdefender bietet ab sofort mit Human Risk Analytics eine zusätzliche Funktion ➡ Weiterlesen