Industrie 4.0: SOC-Analysten setzen Daten in Taten um

Die Konvergenz von IT und OT wird sich weiter beschleunigen – ebenso wie die Konvergenz von OT-bezogenen Sicherheitsprodukten: vom Expositionsmanagement bis hin zur Integration zwischen mehreren OT-Sicherheitsanbietern. Dies erfordert, dass Unternehmen im kommenden Jahr eine ganzheitliche Perspektive einnehmen, was ihr Sicherheitskonzept eingeht. Eine Prognose für 2024 und ein Plädoyer für moderne Monitoring-Lösungen.

Da Komponenten der Betriebstechnologie (OT), wie z. B. industrielle Kontrollsysteme (ICS), zunehmend mit dem Netzwerk verbunden sind, ist es unerlässlich, die Sichtbarkeit und Sicherheit auf diese vernetzten Domänen auszuweiten. Für Unternehmen mit einem bestehenden SOC, unabhängig vom Modell, können und sollten Daten aus OT-Systemen integriert werden, um die Cybersicherheitsrisiken aller angeschlossenen Geräte besser zu verwalten. OT-Daten im SOC sind der beste Weg, um OT-Sicherheitsereignisse zu erkennen und zu behandeln, bevor sie zu ernsthaften Vorfällen werden und sichtbare Konsequenzen nach sich ziehen.

Obwohl die Entscheidung, zu einem konvergenten SOC zu migrieren, wichtig ist, wird die Umsetzung Zeit und Überlegung erfordern. OT-Systeme bringen einzigartige Sicherheitsherausforderungen mit sich, die ein profundes Wissen und Verständnis seitens des SOC-Teams erfordern. Die einzige Möglichkeit, IT und OT wirklich in einem einzigen SOC zusammenzuführen, besteht darin, eine Kultur der Einheit zu schaffen – und zwar von oben nach unten.

Um die unvermeidliche Konvergenz von IT- und OT-Teams zu erreichen und ein gut funktionierendes, kosteneffizientes SOC für das gesamte Unternehmen zu schaffen, benötigen Organisationen eine bessere Transparenz. Das betrifft einerseits die OT- und IoT-Infrastruktur und andererseits potenzielle sowie reale Bedrohungen. Es kann jedoch zur Herausforderung werden, das richtige Maß an Transparenz in OT-Ressourcen zu erhalten, da diese Systeme spezielle Hardware, ungewöhnliche oder unbekannte Protokolle und nur begrenzte Sicherheitsfunktionen umfassen. Der Ausgangspunkt für die effektive Einführung von OT-Daten in eine SOC-Umgebung ist die Implementierung einer kontinuierlichen Überwachungstechnologie für die OT-Umgebung, um Anlagen und Verbindungen zu identifizieren und potenzielle Bedrohungen proaktiv zu erkennen.

Durch kontinuierliche Überwachung, Einsicht in Bedrohungsdaten und KI-generierte Auswertungen erhalten Analysten ein relevantes Situationsbewusstsein. So gelingt es, sich auf die wichtigsten Sicherheitsereignisse, den Datenverkehr und sichtbare Änderungen zu konzentrieren.

Die rechtzeitige und genaue Einstufung von IT- und OT-Sicherheitsereignissen hilft Analysten, die wichtigsten Sicherheitsereignisse zu priorisieren. Die Analyse lässt sich passiv und aktiv durchführen, um das Risiko und die Risikotoleranz in der eigenen Umgebung zu bewerten.

Eine wichtige Überlegung für OT-Umgebungen ist, dass die Automatisierung von Reaktionsmaßnahmen, wie z. B. die Isolierung gefährdeter Hosts, die Deaktivierung von Konten oder die Sperrung von IPs, nicht immer machbar ist. Denkbare Gründe dafür sind unter anderem mögliche Auswirkungen auf die Sicherheit, alte Geräte oder ungeplante Ausfallzeiten.

Folgende Punkte sind bei der Auswahl einer OT-Sicherheits- und Sichtbarkeitslösung relevant:

– Eine hervorragende Echtzeit-Überwachung von OT- und IoT-Bedrohungen, welche die durchschnittlichen Erkennungs- und Reaktionszeiten reduziert.

– Umfassende OT-Netzwerkvisualisierung und Bestandsaufnahme der Anlagen, ohne den industriellen Prozess zu gefährden.

– Eine gute Lösung befähigt Sicherheitsanalysten, Bedrohungen mit TO-spezifischen Warnungen, Alarmaggregationen, Dashboards und forensischen Tools schnell anzugehen. Für viele Unternehmen ist es einfacher, die Qualifikationslücke zu schließen, indem sie IT-Mitarbeiter in OT-Sensibilitäten schulen, als OT-Mitarbeiter in IT-Cybersicherheitsfähigkeiten zu schulen.

– Die Lösung fügt sich nahtlos in die IT-Infrastruktur ein und ermöglicht die gemeinsame Nutzung von Daten mit bestehenden Anwendungen und Anlagen.

– Sie enthält vorgefertigte Integrationen mit SOC-Tools.

– Sie lässt sich schnell und einfach mit ausgereifter Technologie und ISO 9001-Zertifizierung implementieren.

– Die Lösung konsolidiert Informationen von verschiedenen Industriestandorten und ist so skaliert, dass sie die Anforderungen sehr großer, dezentraler Organisationen erfüllt.

Es lohnt sich, künftig mehr Ressourcen in unterstützende Technologien zu stecken: Unternehmen mit einem IT/OT-SOC erkennen und reagieren auf Bedrohungen nachweislich besser. Zudem haben Sie eine höhere Cyber-Resilienz und sehen sich im Allgemeinen einem geringeren Cyber-Risiko ausgesetzt.