Company Topimage

06.09.2021

4 Wege, die Angriffsflächen in OT-Netzwerken zu reduzieren

Eine Vielzahl von zum Teil systemrelevanten Unternehmen sind zunehmenden Cyberangriffen ausgesetzt. Im Folgenden zählt Cybersecurity Spezialist TXOne Networks vier Wege auf, wie diese Unternehmen bekannte Angriffsflächen in ihren OT-Netzwerken reduzieren und damit Angriffe zumindest erschweren und oft auch abwehren können.

1.     RDP-Dienste (Remote Desktop Protocol) nicht zulassen

Remote-Desktop-Verbindungen sind äußerst praktisch, da sie es ermöglichen, auf Dateien zuzugreifen oder Prozesse auf Computern auszuführen, ohne physisch anwesend zu sein. Aus diesem Grund sind Remote-Desktop-Verbindungen natürlich eine der attraktivsten Angriffsflächen für Cyber-Kriminelle, die Malware einschleusen oder private Daten stehlen wollen. Wenn diese Funktion nicht unbedingt erforderlich ist, sollte sie deaktiviert werden. Wenn der Fernzugriff wirklich notwendig ist, muss man sich dazu verpflichten, starke Passwörter zu erstellen, den Kreis derer, die sich anmelden können, streng nach Bedarf einzuschränken, Sicherheitssoftware regelmäßig zu aktualisieren und eine Firewall zu verwenden. Es ist äußerst schwierig, eine „Tür“ zur vollen Systemkontrolle offen zu lassen und gleichzeitig eine zuverlässige Sicherheit zu gewährleisten.

2.     Einfache Authentifizierung für Dateitransfers implementieren

Die Begrenzung von Dateiübertragungen zwischen Servern ist entscheidend, um die Verbreitung von Malware zu verhindern. Der grundlegendste Schutz besteht darin, dass Benutzer ihren Benutzernamen und ihr Passwort eingeben müssen, bevor sie auf einen Server zugreifen, um eine Dateiübertragung durchzuführen. Active Directory (AD), ein Dienst, der im Wesentlichen für die Arbeit mit und die Verwaltung von Netzwerkressourcen gedacht ist, bietet  eine Möglichkeit, dieses Ziel zu erreichen - AD kann Begrenzungen oder Sicherheitsrichtlinien zum Schutz von Assets bzw. Produktionsanlagen einsetzen.

Einige Betriebsumgebungen können keine Authentifizierung oder Active Directory verwenden, und für diese empfehlen wir ausdrücklich die Verwendung einer Netzwerk-Vertrauensliste „Trust List“ (die später in diesem Artikel besprochen wird).

3.     Keine Verwendung gängiger Netzwerkadministrations-Tools von technischen Arbeitsplätzen aus

Alle Tools zur Netzwerkadministration, die Teammitglieder nicht für ihre Arbeit benötigen, sollten auf den technischen Arbeitsplätzen („Engineering Workstations“) deaktiviert werden.

PowerShell, ein Framework, das Microsoft für die Konfigurationsverwaltung und Aufgabenautomatisierung bereitstellt, enthält viele administrative Tools, mit denen der durchschnittliche Mitarbeiter nicht viel zu tun haben sollte. Während das vollständige Verbot der PowerShell-Nutzung wahrscheinlich eine Herausforderung darstellt, können bestimmte Teile des Framework mithilfe von Group Policy Objects (GPOs) über Active Directory deaktiviert werden. Ein GPO ist im Grunde ein virtueller Satz von Regeln, entweder Regeln für einen Computer oder Regeln für einen Benutzer, die sich auf die Sicherheits- oder Anwendungseinstellungen auswirken können (neben anderen Dingen).

4.     Implementierung einer Netzwerk-Vertrauensliste (EdgeIPS oder EdgeFire)

Die Verwendung einer Netzwerk-Vertrauensliste („Trust List“) bestimmt den Netzwerk-Zugriff auf der Basis von IP, MAC-Adresse, Netzwerkprotokoll oder Netzwerkverhalten, d. h. nur Nutzungen, die speziell in einer Kategorie aufgeführt sind, dürfen funktionieren. Eine Vertrauensliste kann etwa verwendet werden, um sicherzustellen, dass Computer nur so viel kommunizieren können, wie für die Erledigung ihrer Aufgaben erforderlich ist. Damit die Hardware die Verwendung einer Vertrauensliste unterstützen kann, muss sie die vielen unterschiedlichen Arten von Protokollverkehr, die in einer Fabrik vorhanden sein können, sensibel unterscheiden können.

Ein Protokoll hat einen begrenzten Satz von Befehlen, die es durch eine Speicherprogrammierbare Steuerung (SPS) senden kann, und je nach Art eines Netzwerks ist ersichtlich, dass bestimmte Befehle jeweils unerwünscht sind. Zum Beispiel kann die Modbus-Funktion 90, die in Geräten von Schneider Electric verwendet wird, die SPS offline schalten, aber in „normalen“ Fabriken wäre es für die meisten Knoten ungewöhnlich, diese Funktion zu nutzen. Aus diesem Grund können wir in vielen Fällen sofort erkennen, dass die Verwendung der Funktion 90 ein bösartiges Verhalten ist, das durch eine Netzwerk-Vertrauensliste blockiert werden sollte.

Richten Sie mit den TXOne Networks Lösungen EdgeIPS und EdgeFire sofort eine Netzwerk-Vertrauensliste in Ihrem OT-Netzwerk ein.