Die alten Wege funzen nicht: Überlegen wir die OT-Sicherheit

Koloniale Pipeline. JBS. Landwirtschaftliche Genossenschaften in Iowa und Minnesota. Angriffe hinaus kritische Infrastrukturen sind zwar nichts Neues, doch erst in jüngster Zeit sind Vorbehalte in die Öffentlichkeit stämmig. Qua Colonial Pipeline wie von Ransomware getroffen wurde, gab es nachhaltig Autoschlangen und Panikkäufe an Tankstellen. Nebst einigen ging sogar dieser Vorrat aus.

„USA braucht Otto-Kraftstoff. Flugzeuge nötig haben Kerosin, und es war richtiggehend nicht mehr da“, sagt Dave Masson, Director of Enterprise Security im Rahmen Darktrace. “Und dasjenige ist so ziemlich dasjenige, welches dasjenige öffentliche Erkenntnis zum Besten von dieses Themenbereich geweckt hat.”

Einer dieser Gründe, warum es bisher so schwergewichtig war, die Geschenk dieser Menschen hinaus Bedrohungen zum Besten von kritische Infrastrukturen zu lenken, ist, dass dieser Terminus technicus selbst weit gefasst ist und viele Zeug umfasst.

„Die kritische Unterbau macht dasjenige moderne Leben so ziemlich lebenswert“, sagt Masson. „Es sind all die Zeug, von denen wir fast wie zum Leben nötig haben – wie dieser Strom aufgeht, wie dasjenige Wasser aufgeht. Wie sich dieser Verkehrswesen bewegt, wie unsrige Kommunikation abläuft und wie Lebensmittel, die wir kaufen, in den Regalen landen. Wie die Systeme, mit denen wir zu diesem Zweck bezahlen, insbesondere jetzt, da wir kein Bargeld mehr leiten.“

Die IT/OT-Konvergenz
Ein weiterer Grund zu diesem Zweck, dass kritische Infrastrukturen nicht im Vordergrund des Sicherheitsbewusstseins standen, liegt darin, dass die meisten dieser Systeme, die ihr zugrunde liegen, unter die Betriebstechnologie (OT) hinfallen, im Streitfrage zu den Computern und Servern, die in dieser Unternehmens-IT häufiger vorkommen.

„OT sind Computer, die eine Gattung physische Veränderung fabrizieren. Irgendwas öffnet sich, irgendwas schließt sich, irgendwas bewegt sich, irgendwas bewegt sich nicht“, sagt Masson. „Die meisten OT-Netzwerke wurden nie im Hinblick hinaus Cybersicherheit entwickelt – tatsächlich wurden sie gar nicht im Hinblick hinaus Sicherheit entwickelt. Sie wurden hinaus Sicherheit ausgelegt – um nicht kaputt zu in Betracht kommen und Menschen Schaden zuzufügen und immer da zu sein und immer verfügbar zu sein.“

Traditionell waren OT-Systeme nicht mit dem Web verbunden, andererseits dasjenige hat sich in den letzten Jahren geändert, da sich Unternehmen darauf konzentriert nach sich ziehen, OT effizienter, sicherer und kostengünstiger zu zeugen.

„Eine Möglichkeit, dies zu tun, besteht darin, die IT zu nutzen und OT mit dem Web zu verbinden“, sagt Masson.

Die Welt dieser IT hat dasjenige Web dieser Zeug (IoT). Dasjenige Gleichartig in dieser Welt dieser kritischen Infrastrukturen – dieser Sensoren, die in Fertigungsanlagen und im Feld eingesetzt werden – ist dasjenige industrielle Web dieser Zeug (IIoT).

Während die IT/OT-Konvergenz erhebliche Vorteile hat, wie die Möglichkeit, OT aus dieser Ferne zu beaufsichtigen und zu verwalten und Informationen von Sensoren an entfernten Standorten zu vereinen, führte sie zweitrangig Bedrohungen aus dieser IT-Welt ein, die es in OT-Netzwerken noch nie gegeben hatte, sagt Masson.

Wachsende Risiko zum Besten von kritische Infrastrukturen
Ursprünglich seien viele dieser Angriffe hinaus kritische Infrastrukturen dasjenige Werk von Nationalstaaten gewesen, sagt Masson und weist darauf hin, dass deren Budgets, Ressourcen und Menschen gesucht würden, um welche Gattung von Angriffen durchzuführen. „Um vereinen Übergriff hinaus dasjenige industrielle IoT durchzuführen, musste man wirklich recherchieren“, sagt Masson.

Dasjenige ist nicht mehr dieser Kasus. Cyberkriminelle Banden nach sich ziehen herausgefunden, dass sie mit dem Übergriff hinaus kritische Infrastrukturen Geld verdienen können. Während manche kriminelle Banden unter Umständen im Namen von Nationalstaaten handeln, fließen viele zweitrangig vereinen Teil des Lösegelds „zurück in ihre eigene Wissenschaft und Weiterentwicklung“, sagt Masson. Die Konvergenz von IT und OT hat es diesen kriminellen Banden ermöglicht, ihre IT-basierten Angriffe hinaus Provider kritischer Infrastrukturen auszurichten.

„Du musst nur in dieser IT landen, dich durcharbeiten [the network], zu OT wechseln und los geht’s“, sagt Masson. “Es ist nicht so viel Kostenaufwand, es zu tun.”

Es wird immer deutlicher, dass Angreifer nicht einmal OT-Systeme kompromittieren zu tun sein, um Lösegeld zu zur Kasse bitten oder Zahlungen von dieser Organisation zu erpressen. Die Fracksausen vor einem Übergriff nur kann ebenso wirksam sein. Genau dasjenige geschah mit dem Übergriff hinaus die Colonial Pipeline, dieser nie in die Nähe von OT gelangte. Die Administratoren fuhren die Systeme herunter, aus Sorge, dass die Schadsoftware Schaden auftischen könnte, so dass sie dasjenige Netzwerk nicht herunterfahren könnten – oder die Schadsoftware würde sie jedweder von selbst herunterfahren.

„Die absolute Fracksausen, dass sich ein Ransomware-Übergriff von dieser IT hinaus dasjenige OT ausbreitet, führt dazu, dass Hersteller aus Fracksausen und großer Vorsicht dasjenige OT schließen“, sagt Masson.

Wenn ein Unternehmen den Unternehmen aufgrund einer Kompromittierung seiner IT-Netzwerke herunterfährt, führt dies zu einigen Unterbrechungen, andererseits die Auswirkungen sind ziemlich konzentriert. Krankenhäuser zu tun sein Patienten unter Umständen zu anderen Einrichtungen in dieser Umgebung umleiten. Die Gemeinden müssten manche ihrer Dienstleistungen verzögern.

„Wenn die Spiel getroffen wird, eine Gegebenheit zu schließen, wird unter Umständen ein Teil dieser kritischen Unterbau des Landes abgeschaltet“, sagt Masson.

Wie Ransomware hinaus OT aussieht
Es ist wichtig zu im Gedächtnis behalten, dass Ransomware-Angriffe hinaus OT nicht theoretisch sind: Es gab schon zahlreiche Angriffe, im Rahmen denen die Fakten hinaus den Maschinen nicht zugreifbar und unzugänglich gemacht wurden. Selbige Angriffe könnten eine Gegebenheit zum Erliegen erwirtschaften.

Ransomware-Angriffe sind heutzutage sehr selten Smash-and-Grabgewölbe-Operationen, sagt Masson. Die Bedrohungsakteure sind fertig, viel Zeit im Zielnetzwerk zu verleben, nachdem sie sich mehr als vereinen Phishing-Link oder vereinen Remote-Desktop den ersten Zugriff verschafft nach sich ziehen.

Sowie die Schadsoftware installiert ist, verleben die Angreifer manche Zeit im Netzwerk, in Bewegung setzen sich seitwärts und finden hervor, wo sich was auch immer befindet.

„Sie untersuchen, hinaus welche Systeme sie zupacken können, und zünden dann die Verschlüsselung dieser wirklich wichtigen Bits“, sagt Masson. Die Angreifer suchen nachher Dingen zum Verschlüsseln, zum Besten von die dasjenige Unternehmen fertig ist zu bezahlen.

Gegner tendieren dazu, flexibel zu sein. Sie sind flink genug, um Taktiken zu ändern, neue Fähigkeiten hinzuzufügen oder sogar ihre Tools und Unterbau komplett zu umschreiben, wenn dies sinnvoll ist.

„Nebst Ransomware erkannten die Personen, dass es egal war, ob die Bösen dasjenige Netzwerk verschlüsselten, wenn sie Backups hatten. »Selbst fange mühelos wieder mit Backups an. Es ist schmerzhaft und kann nachhaltig dauern, andererseits ich kann es schaffen“, sagt Masson. „Im Unterschied dazu Angreifer nach sich ziehen sehr schnell entschlossen, dass sie die Fakten stehlen und verschlüsseln, welches zurückgeblieben ist. Und wenn dasjenige Lösegeld nicht getilgt wird, decken Sie es hinaus.“

Wenn der gerne Süßigkeiten isst eine funktionierende Verteidigung findet, spendieren die Angreifer nicht hinaus und verschwinden. Aufgrund dieser Anpassungsbereitschaft scheinen Angreifer oft im Vorteil zu sein, „andererseits es ist möglich, den Vorteil wieder in die Hände dieser Verteidiger zu legen“, sagt Masson.

Die Angreifer zu tun sein mehrere Phasen wiederholen, im Vorhinein „sie hinaus Feuer quetschen, um die Verschlüsselung tatsächlich durchzuführen“, sagt er. Dasjenige bedeutet, dass es mehrere Möglichkeiten gibt, den Übergriff zu wiedererkennen und zu stoppen.

KI zum Sicherheit kritischer Infrastrukturen einsetzen
Künstliche Intelligenz (KI) spielt hier eine bedeutende Rolle, da die Technologie die Probe dieser gesamten digitalen Unterbau – IT und OT – verstehen und Abweichungen in dieser Geräteaktivität wiedererkennen kann, nachhaltig im Vorhinein ein menschlicher Organisator dies tun würde, sagt Masson.

Im Kasus von Ransomware würde so irgendwas wie eine Eintragung hinaus einem Server mit ungewöhnlichen Zugangsdaten eine Warnung dieser KI hervorrufen. Darüber hinaus erzwingt die KI dann dasjenige „normale“ Verhalten des Geräts, welches wie bedeuten könnte, interne Downloads vom kompromittierten Server zu blockieren. Wenn welche KI-Fähigkeit dieser „autonomen Reaktion“ einsetzt, würde keine ihrer Aktionen die normalen Aktivitäten des Unternehmens behindern, sodass dieser Geschäftsbetrieb nicht unterbrochen wird.

„Viele Personen werden vereinen Herzkasper erleiden, wenn sie daran denken, tatsächlich Maßnahmen gegen Geräte im OT zu ergreifen, andererseits die Idee ist, den Übergriff zu stoppen, im Vorhinein er OT erreicht [before any encryption can even take place]“, sagt Masson.

KI kann eine wichtige Rolle im Rahmen dieser Sicherung dieser OT spielen, da sie die erforderliche Transparenz bietet, um jederzeit zu verstehen, welches jedes einzelne Gerät tun soll und tut. KI hilft hier, die vorhandenen Systeme zu wiedererkennen, zu beurteilen, welche Bedrohungen hinaus die Systeme abzielen, und herauszufinden, welche Maßnahmen zu ihrem Sicherheit erforderlich sind.

„Hier geht es nicht drum, dass KI den Menschen ersetzt. Skynet wird nicht vorbeigehen, folglich vergiss dasjenige“, sagt Masson. „Hier geht es drum, dass die KI den Menschen unterstützt, während sie die schwere Arbeit in Bezug hinaus Konfiguration und Untersuchung übernimmt. Gute, hochwertige Cyber-Profis wachsen nicht hinaus Bäumen. Die KI gibt den menschlichen Analytikern die Ungezwungenheit, wirklich hochwertige menschliche Denkzeit zum Besten von aktuelle Probleme aufzuwenden.“

Dass die Angreifer eindringen, ist unvermeidlich. „Im Unterschied dazu es ist nicht unvermeidlich, dass Schaden entsteht“, sagt Masson. Die KI ermöglicht es, die sehr frühen Stadien eines Angriffs zu wiedererkennen und die Angriffe entweder vollwertig zu stoppen oder schnell zu reagieren, um eine Verbreitung des Angriffs zu verhindern.