Kritische Netzwerkbereiche abschotten und überwachen

SCADA und industrielle Steuerungssysteme schützen

Seite: 3/3

Firmen zum Thema

Next Generation Firewalls können folgende Aufgaben problemlos bewältigen:

  • Aufbau der Netzwerke mit einer SCADA-Sicherheitszone, die vom restlichen Netzwerk isoliert und segmentiert wird
  • Der Zugriff auf den SCADA-Bereich wird über den User authentifiziert, nicht über die IP-Adresse. Die Möglichkeit, Security-Richtlinien mit der Identität des Nutzers zu verknüpfen, ermöglicht nicht nur den korrekten Zugriff auf den Bereich, sondern auch Reporting, Auditing und Nachvollziehbarkeit. Unberechtigten Nutzern bleibt der Zugriff verwehrt. Zusätzlich kann auch eine Always-on-VPN-Anbindung eingesetzt werden, um den Nutzern den sicheren Zugriff auf den SCADA-Bereich zu ermöglichen.
  • Der Zugriff auf SCADA-spezifische Applikationen, wie Modbus, DNP3 und ICCP lässt sich sicher auf Basis der eigentlichen Applikation, nicht über den Port, herstellen. Damit entfällt das Risiko, mehrere offene Portes managen zu müssen, über die Bedrohungen eingeschleust werden könnten. Management- oder Backdoor-Applikationen wie RDP und Telnet lassen sich somit streng kontrollieren und stehen nur bestimmten Nutzern zur Verfügung.
  • Einsatz eines vollständigen Frameworks zum Schutz vor Schwachstellen durch Prüfung des gesamten Traffics, der über den SCADA-Bereich läuft, auf Exploits, Malware Botnets und gezielte Bedrohungen. So können insbesondere die SCADA-spezifischen Schwachstellen abgesichert werden. Die Fähigkeit der Next Generation Firewalls, den gesamten Traffic über alle Ports jederzeit zu verstehen, ermöglicht die Erkennung evasiver, auch verschlüsselter Bedrohungen, die Port Hopping verwenden.

Die Next Generation Firewall von Palo Alto Networks identifiziert und kontrolliert den Netzwerkverkehr basierend auf Anwendungen und Protokollen. Damit eignet sie sich für kritische Netzwerke, die spezifische Anwendungen nutzen, zu denen nur wenige Administratoren Zugang haben.

Dies ermöglicht auch die Netzwerksegmentierung von SCADA-Systemen, so dass die Systeme ohne Leistungseinbußen vom Firmennetz isoliert werden können. Gleichzeitig verringern eine Schwachstellen-Datenbank und die systematische Analyse des gesamten Datenverkehrs die Risiken ungepatchter Komponenten.

Fazit

Im SCADA-Netzwerk sollten zunächst einmal Security Best Practices zum Einsatz kommen. Darunter fallen beispielsweise organisatorische Prozesse wie die Einführung eines kontinuierlichen Risikomanagements, routinemäßige Selbstbewertungen sowie regelmäßige Security-Audits und Prüfungen. Effizienter wird der Schutz mit der Transparenz und Leistung einer Next Generation Firewall, die zusätzlich das Logging und Reporting unterstützt.

Über den Autor

Achim Kraus ist als Senior Systems Engineer Strategic Accounts bei Palo Alto Networks tätig.

(ID:39332690)