Faktoren, die die industrielle Sicherheit beeinflussen

Faktoren, die die industrielle Sicherheit beeinflussen

Faktoren, die die industrielle Sicherheit beeinflussen

Was zu beachten ist, um den Schaden durch Cyber-Vorfälle in einem Industriebetrieb zu minimieren. Die durchschnittliche jährliche Anzahl von Cyberinfällen in Industriebetrieben ist in den letzten Jahren deutlich gestiegen. Unsere Kollegen haben Mitarbeiter solcher Unternehmen aus 17 Ländern befragt, die Fragen zu Vorfällen und der Einstellung von Unternehmen gegenüber Cyberrisiken stellten. Dadurch konnten sieben Faktoren identifiziert werden, die den Schaden durch Vorfälle erheblich mindern.

Verfügbarkeit einer spezialisierten Abteilung für Sicherheit. Es gibt Teams, die sich mit der Sicherheit operativer Technologien (OT) befassen, in der überwiegenden Mehrheit der Unternehmen. Oft wird diese Arbeit nur von IT-Sicherheitsexperten oder sogar IT-Abteilungen anvertraut, anstatt eine Sicherheitsabteilung zu erstellen und zu finanzieren. Und sie verstehen nicht immer genug die Besonderheiten des Funktionierens von Operationstechnologien, um ihnen den notwendigen Schutz zu bieten. Um die Risiken und Folgen von Vorfällen zu minimieren, benötigt das Unternehmen ein gut gesichertes und entsprechend qualifiziertes OT-Sicherheitsteam.

Klar strukturierter Entscheidungsprozess in Bezug auf Informations- und Sicherheit. Die Probleme in der Industrie entstehen oft durch Managementfehler: Das Management von Schutzprozessen ist zwischen nicht verbundenen Abteilungen aufgeteilt, die Unternehmen kaufen doppelte Sicherheitslösungen, die Transparenz der Netzwerke ist nicht zu 100% gewährleistet, die gesammelten Daten werden ineffizient verwendet und die Einführung neuer Projekte verzögert sich aufgrund von verwirrenden Vereinbarungen. Ganz zu schweigen davon, dass OT- und IB-Abteilungen beginnen, um Budgets zu konkurrieren.

Eine Strategie zur Verwaltung veralteter Infrastruktur. Die TPMS basieren oft auf Geräten, die geschaffen wurden, wenn die Menschen noch nicht einmal eine ungefähre Vorstellung davon hatten, auf welchem Niveau die moderne Industrie die Digitalisierung erreichen würde. Daher ist es äußerst vorsichtig, ein Array von veralteten Industrienetzen, programmierbaren Logikcontrollern, Dispatcher- und Datenerfassungssystemen (SCADA) und anderen Elementen von OT zu verwalten. Sie müssen alle inventarisiert sein, und Sicherheitsleute sollten diese Geräte regelmäßig auf kritische Schwachstellen oder Fehler untersuchen, die durch Verschleiß entstehen.

Einführung von Schutzlösungen, die speziell für industrielle Umgebungen entwickelt wurden. Es ist unmöglich, die Sicherheit des TP-ASU mit Standard-IB-Lösungen zu gewährleisten. Sie werden effektiv mit Cyberattacken umgehen, die zufällig ein Industriebetrieb zum Ziel haben, aber keine für ASU TP spezifischen Bedrohungen aufdecken. Darüber hinaus kann die Arbeit solcher Software manchmal die Kontinuität der technologischen Prozesse im Unternehmen beeinträchtigen. Um dies zu vermeiden, sind Lösungen erforderlich, die auf die Besonderheiten von Industrieumgebungen zugeschnitten sind.

Eine Konvergenzstrategie von IoT und IT mit IoT. Durch die zunehmende Digitalisierung von Prozessen wird die Integration zwischen OT- und IT-Umgebungen gesteigert. Schlüsselelemente dieser Integration sind die Verwendung von Industrie-Internet der Dinge (IIoT) -Geräten, öffentlichen Cloud-Diensten und IIoT-Gateways. All diese Elemente werden oft zu einer Sicherheitslücke, durch die Angreifer Industriesysteme angreifen. Es ist unrealistisch, diese Integration zu stoppen, daher ist es notwendig, so schnell wie möglich einen Plan für eine sichere Integration von Betriebs- und Informationstechnologien zu durchdenken.

Schnelle Reaktion auf Vorfälle. So oder so, es ist unwahrscheinlich, dass es möglich ist, Vorfälle vollständig zu vermeiden. Wenn sie auftreten, ist es wichtig, dass das Problem so schnell wie möglich erkannt und behoben wird. Je schneller eine Bedrohung erkannt und behoben wird, desto weniger wird sie das Unternehmen sowohl finanziell als auch reputativ kosten. Daher ist es für Industrieunternehmen besonders wichtig, eine klar definierte Regelung für die Reaktion auf Vorfälle zu haben.

Rechtzeitige Schulung des Personals. Letzteres ist die Schulung der Mitarbeiter des Unternehmens zu Sicherheitsstandards und eine klare Verfolgung der Einhaltung interner Vorschriften. Hinter der überwältigenden Anzahl von Vorfällen steckt sowieso ein menschlicher Faktor: Jemand hat ein kompromittiertes persönliches Passwort verwendet, jemand hat das Telefon hinter einer Luftspalte an einen Computer angeschlossen, jemand hat eine fremde Website betreten. Die Menschen müssen klar verstehen, was in einem Industriebetrieb und insbesondere in einer kritischen Infrastruktur möglich und nicht möglich ist.

Wie kommen die Angreifer am häufigsten in die Infrastruktur der angegriffenen Unternehmen?

Unsere Experten müssen Unternehmen häufig im Notfall unterstützen: Sie werden gerufen, um auf Vorfälle zu reagieren, sie helfen bei der Durchführung (oder vollständigen Übernahme) von Untersuchungen oder analysieren die Werkzeuge von Angreifern. Im Jahr 2020 haben Experten viele Daten gesammelt, die es ermöglichen, die moderne Bedrohungslandschaft zu betrachten, die wahrscheinlichsten Angriffsszenarien vorherzusagen und angemessene Verteidigungstaktiken zu wählen. Unter anderem analysierten sie auch die häufigsten Anfangsvektoren für das Eindringen von Eindringlingen in Unternehmensnetzwerke.

Bei der Untersuchung eines Cyber-Vorfalls wird dem Anfangsvektor eines Angriffs immer besondere Aufmerksamkeit geschenkt: Um eine Wiederholung des Vorfalls zu vermeiden, ist es wichtig, eine Schwachstelle in Abwehrsystemen zu identifizieren. Leider ist es nicht immer möglich, dies zu tun. In einigen Fällen ist dies aufgrund der Zeit zwischen dem Vorfall und seiner Entdeckung nicht möglich, und manchmal speichert das Opfer einfach keine Protokolle, und die Spuren werden oft zerstört (sowohl zufällig als auch absichtlich). Darüber hinaus greifen Angreifer in letzter Zeit zunehmend über die Lieferkette an, so dass der Anfangsvektor grundsätzlich nicht beim Endopfer, sondern bei einem Drittanbieter-Programmentwickler oder -dienstleister gesucht werden sollte. Bei mehr als der Hälfte der Vorfälle konnte der Anfangsvektor des Angriffs jedoch ziemlich genau ermittelt werden.

Erster und zweiter Platz: Brutforce und Betrieb von öffentlich zugänglichen Anwendungen. Der erste und der zweite Platz teilen sich zwei Angriffsvektoren — die Brute Force (dh die Passwortüberprüfung) und die Ausnutzung von Schwachstellen in Anwendungen und Systemen, die außerhalb des Unternehmensbereichs verfügbar sind. Jeder von ihnen wurde in 31,58% der Fälle zum Anfangsvektor der Penetration.

Wie in den vergangenen Jahren ist die Ausnutzung von Schwachstellen weiterhin die effektivste Methode, um einen Angriff zu starten. Eine detailliertere Analyse der verwendeten Schwachstellen lässt darauf schließen, dass dies vor allem auf die verspätete Installation von Updates zurückzuführen ist, da zum Zeitpunkt des Angriffs alle verwendeten Schwachstellen über entsprechende Patches verfügten und die Installation der Schwachstellen die Folgen dieser Angriffe vermeiden würde.

Der Anstieg der Popularität von Brutforceangriffen kann auf die massive Umstellung von Unternehmen auf Remote-Jobs und die Verwendung von Remote-Zugriffs-Diensten zurückzuführen sein. Aber viele Organisationen haben Sicherheitsfragen nicht angemessen beachtet. In dieser Hinsicht ist die Anzahl der Angriffe auf die Mechanismen solcher Verbindungen sofort gestiegen. Von März bis Dezember 2020 ist beispielsweise die Anzahl der Brutforceangriffe auf das RDP-Protokoll um 242% gestiegen.

Dritter Platz: bösartige E-Mails. In 23,68% der Fälle wurden bösartige E-Mails, die direkt Malware enthalten, als auch Phishing-E-Mails zum ersten Angriffsvektor. Beide Methoden werden seit langem von Betreibern gezielter Angriffe und Massen-Mailing-Autoren verwendet.

Vierter Platz: Kompromittierung von Websites Dritter (drive-by compromise). Manchmal versuchen Angreifer, auf das System zuzugreifen, indem sie eine Website eines Drittanbieters verwenden, auf die das Opfer regelmäßig zugreift oder versehentlich zugreift. Die Webseite wird mit den Skripten, die nutzen jede Schwachstelle im Browser des Nutzers, um schädlichen Code auszuführen sein Auto, oder durch ihn die Angreifer Opfer ausgetrickst Malware herunterladen und installieren. Diese Taktik wird manchmal in ziemlich komplexen APT-Angriffen verwendet. Im Jahr 2020 wurde diese Taktik in 7,89% der Fälle zum ersten Angriffsvektor.

Fünfter und sechster Platz: Tragbare Laufwerke und Insider. Malware, die über ein USB-Laufwerk in die Systeme des Unternehmens eindringt, ist jetzt eine selten vorkommende Option. Viren, die versehentlich ein Flash-Laufwerk infizieren konnten, gehören praktisch der Vergangenheit an, und das Szenario mit dem gezielten Werfen eines schädlichen Flash-Laufwerks ist nicht zu zuverlässig. Eine solche Methode ist jedoch für 2,63% der anfänglichen Netzwerkdurchdringung verantwortlich.

Die gleiche Anzahl von Vorfällen (2,63%) geschah aufgrund von Aktionen von Insidern - Mitarbeitern, die sich aus irgendeinem Grund dafür entschieden haben, ihr eigenes Unternehmen zu schädigen.

Natürlich sind dies nicht alle nützlichen Informationen, die im Bericht unserer Experten zu finden sind. Der vollständige Text "Reaktion auf Vorfälle: Analysebericht 2021" ist hier verfügbar.

Wie man die Wahrscheinlichkeit eines Cyberinfalls und seine Folgen minimiert. Nach den Erkenntnissen unserer Experten konnten die meisten dieser Vorfälle vermieden werden. Nach den Ergebnissen der Untersuchung der Ursachen empfehlen sie:

Erstellen und überwachen Sie eine starre Passwortrichtlinie und implementieren Sie mehrstufige Authentifizierungsmethoden. Die Verwendung von Remoteverwaltungsdiensten von der Freigabe ausschließen. Softwareupdates rechtzeitig installieren. E-Mail-Server mit Mitteln zur Erkennung von Phishing und Malware versorgen. Mitarbeiter regelmäßig für aktuelle Cyberbedrohungen sensibilisieren. Darüber hinaus sollten Sie nicht vergessen, wie wichtig es ist, Audit— und Logging-Systeme richtig zu konfigurieren und Datensicherungssysteme zu verwenden - dies erleichtert nicht nur die Untersuchung, sondern kann auch Schäden minimieren, wenn Sie schnell auf einen Vorfall reagieren.

Wie man den Flughafen vor Cyber-Vorfällen schützt. Flughäfen waren schon immer ein attraktives Ziel für Angreifer. Wir sagen Ihnen, was Sie brauchen, um sie effektiv zu schützen.

Der Schutz der Informationssysteme des Flughafens vor Cyber—Vorfällen ist eine nicht-triviale Aufgabe. Hier kann sogar ein vergleichsweise kleiner Ausfall zu allgemeinem Chaos, Flugverspätungen und Klagen von unzufriedenen Passagieren führen. Ein Vorfall aus dem Jahr 2016, bei dem ein Computersystem von Delta Airlines ausfällt, könnte eine Illustration sein, bei der Hunderttausende von Menschen auf der ganzen Welt mit unvorhergesehenen Schwierigkeiten konfrontiert wurden. Deshalb kommt es den Übeltätern regelmäßig in den Sinn, den Flughafen als Ziel zu wählen.

Von besonderem Interesse für Kriminelle sind die Informationen der Passagiere: In den Systemen des Flughafens können sich nicht nur Daten aus den Dokumenten der Reisenden befinden, sondern auch ihre Zahlungsinformationen. Das ist nicht nur ein Problem für die Kunden, sondern auch für den Flughafen selbst: Die aktuellen Datenschutzgesetze sind für Organisationen, die nicht in der Lage sind, den richtigen Schutz zu gewährleisten, sehr streng: Der Heathrow Airport wurde mit 120.000 Pfund bestraft, nur weil er einen USB-Stick mit dienstlichen Informationen, die die Daten mehrerer Sicherheitspersonal enthalten, verloren hatte. Die lautesten Cyber-Vorfälle an Flughäfen. Im Sommer 2017, während einer globalen Epidemie Kryptographen Intelligence ExPetr (aka NotPetya oder PetrWrap), litt und das Kiewer Flughafen Boryspil. Die offizielle Website wurde zusammen mit dem Online-Anzeiger abgeschaltet. Mehrere Flüge mussten verschoben werden.

Ziel eines weiteren Angriffs des Erpresser-Verschlüsselers war der internationale Flughafen Hartsfield-Jackson in Atlanta. Im März 2018 musste er seine Website deaktivieren und den Passagieren empfehlen, sich direkt an die Fluggesellschaften zu wenden. Außerdem musste er das Wi-Fi-Netzwerk deaktivieren, um eine Ausbreitung der Infektion zu verhindern, was den Passagieren zusätzliche Schwierigkeiten bereitete. Am Weihnachtstag 2019 wurde der Albany International Airport von einem Erpresser-Verschlüssler angegriffen. Damals hat der Angriff die Arbeit des Flughafens selbst nicht beeinflusst, und die Daten der Passagiere wurden anscheinend nicht verletzt — die Angreifer konnten nur die interne Dokumentation (zusammen mit den Backups) verschlüsseln. Die Verwaltung musste den Forderungen der Angreifer zustimmen und das Lösegeld zahlen. Im April 2020 wurde der San Francisco International Airport ebenfalls angegriffen: Unbekannte konnten mehrere Flughafen-Websites kompromittieren und bösartigen Code in sie injizieren, der die Anmeldeinformationen der Benutzer sammelt. Es ist nicht bekannt, welche Informationen die Angreifer erreichen wollten (und ob sie es erreicht haben), aber das Flughafenpersonal hat Passwörter für die Mail und das Netzwerk zurückgesetzt.

Wie schützt man die Flughafensysteme vor Cyberangriffen? Der moderne Flughafen ist ein riesiges Gebäude, das mit verschiedenen Informationssystemen gefüllt ist. Natürlich sind kritische Systeme am häufigsten von Büro- und öffentlichen Netzwerken isoliert. Angreifer müssen jedoch keine kritische Infrastruktur angreifen, um Probleme zu verursachen. Das Funktionieren von Fluggesellschaften, zahlreichen Handelsplattformen und verschiedenen Diensten hängt vom normalen Betrieb und den einfacheren IT-Systemen ab. Um diese gesamte Infrastruktur effektiv zu schützen, benötigt das Cybersicherheitszentrum des Flughafens aktuelle Informationen über aktuelle Cyberbedrohungen. Vor kurzem hat uns der Flughafen München angesprochen, der sich ernsthaft um den Schutz seiner Informationssysteme kümmert. Der Flughafen München hat sich mit dem Advanced Persistent Threat Intelligence Reporting-Dienst verbunden, der Zugriff auf unsere Ermittlungsdaten bietet und Daten über die Methoden, Taktiken und Werkzeuge moderner Angreifer sowie Indikatoren für Kompromittierungen liefert. Außerdem hat das Team Zugriff auf den Dienst Kaspersky Threat Lookup erhalten, um nach detaillierten Daten zu erkannten Bedrohungen sowie nach Datenströmen über Malware und verdächtige Aktivitäten von Kaspersky Threat Data Feeds zu suchen, die mit automatisierten Schutzsystemen verbunden werden können.