OT-Sicherheitsfirma Claroty erweitert Fokusbereich für IoT-Tracking

Ein Werbetext über das Cybersicherheits-Sicherheits-Startup Claroty präsentiert die Firma beherrscht Industrieprotokolle fließend. „Wir sind in der Welt von Modbus, Profibus und DeviceNet geboren und aufgewachsen.“ Weiter heißt es:„Wir denken in S7 und träumen in DNP3. Wir gehen über Ethernet/IP hinaus in den Bereich der geheimnisvollsten Feldbus- und seriellen Protokolle.“ 

Jetzt fügt es dieser Liste IoT-Geräte hinzu und definiert „Internet der Dinge“ als eine Art Überbegriff für nicht-traditionelle vernetzte Geräte. „Stellen Sie mich in das Lager von jemandem, der denkt, dass ‚IoT‘ viel zu unbeholfen verwendet wird“, sagte Dave Weinstein, Chief Security Officer bei Claroty. „Was wir mit IoT in Bezug auf Betriebstechnologienetzwerke meinen, ist im Grunde alles andere – alles andere als ein OT-Gerät oder etwas, das eindeutig ein traditionelles [vernetztes] IT-Gerät ist.“

Die neueste Version der OT-Sicherheitssoftware Continuous Threat Detection von Claroty, Release 3.5, wurde entwickelt, um die Netzwerktransparenz zu verbessern, um solche IoT-Verschiedenheiten einzubeziehen. Die Software enthält auch neue Funktionen, die Sicherheitsexperten beim Umgang mit Fehlalarmen unterstützen.

„Als ehemaliger CISO und CTO war einer der größten Schwachpunkte meiner Teams, dass ich von all diesen eingehenden Warnungen überfordert wurde. Wir verbrachten unzählige Stunden damit, Alarme zu jagen, die sich in vielen Fällen nur als falsch positiv herausstellten. “, sagte Weinstein.

Sicherheitsexperten, die im Allgemeinen am besten mit herkömmlichen IT-Geräten vertraut sind, haben oft Schwierigkeiten, anomale Netzwerkdaten von OT- oder IoT-Geräten zu verstehen. „Der Triage-Prozess ist wirklich schmerzhaft, weil sie oft einfach nicht verstehen, was sie in ihrer Warteschlange sehen“, sagte Weinstein.

Claroty hat einen Warnalgorithmus entwickelt, um sicherzustellen, dass ein in seine zentrale Schnittstelle eingegebener Warnhinweis ein Sicherheits- oder Betriebssicherheitsereignis darstellt. „Das steht im Gegensatz zu dem, was der Rest der Branche tut, der buchstäblich auf jede einzelne Änderung im Netzwerk aufmerksam macht“, sagte Weinstein. „Sie sagen, dass dies Maschine-zu-Maschine-Netzwerke sind, die wiederholbar und vorhersehbar sind. Wenn es aufgrund der Kritikalität der Ausrüstung eine Änderung gibt, muss jemand davon erfahren“, fuhr er fort. "Das klingt gut. Aber in der Praxis ist es für Sicherheitsteams einfach eine absolute Katastrophe.“

Claroty hat einen Algorithmus für maschinelles Lernen entwickelt, der Trainingsdaten verwendet, um die Leistung des Systems im Laufe der Zeit zu verbessern. „Ich denke, wir könnten es ‚KI‘ nennen, wenn wir wollten, aber ehrlich gesagt hat das eine andere Bedeutung als das, was wir tatsächlich tun.“

Eine Sache, die solche IoT-Geräte mit traditionellen Industrieanlagennetzwerken gemeinsam haben, ist die erhöhte Angriffsfläche, die sie schaffen. IT- und Sicherheitsexperten wissen genau, welches Cyberrisiko solche Geräte darstellen. Viele haben jedoch Schwierigkeiten, sich ein konkretes Bild davon zu machen, wie viele IoT-Geräte sie in ihrem Netzwerk haben, so Weinstein.

„Ich gebe Ihnen eine Art greifbare Anekdote, die wir ständig sehen und die sowohl für OT-Netzwerke als auch für IoT-Geräte gilt“, sagte Weinstein. „Wir werden eine Produktionsstätte oder ein Werk eines Fortune-500-Unternehmens betreten, in dem bereits bedeutende IT-Sicherheitsoperationen vorhanden sind. Wir werden die verantwortliche Person bitten, eine Bestandsaufnahme der Assets in ihrem Netzwerk zu übergeben“, fuhr er fort. Diese Person wird dazu neigen, eine manuell ausgefüllte Liste von Geräten zu übergeben. „Und wir verwenden dies als Basis, um ihr Inventar mit allem zu vergleichen, was wir entdecken, und wir verbringen ein paar Stunden damit, ihren Datenverkehr zu hören. In neun von zehn Fällen werden wir eine um eine Größenordnung größere Anzahl von Geräten entdecken, als sie in ihrem Inventar haben.“

Während eine Reihe anderer Sicherheits-Startups in Bezug auf die Netzwerktransparenz ein ähnliches Angebot haben, hat Claroty mehr Unterstützung als viele seiner Konkurrenten. Das Unternehmen hat seit seiner Gründung rund 100 Millionen US-Dollar an Risikofinanzierungen angezogen, teilweise dank seiner Fähigkeiten in der Überwachung von OT-Geräten und der industriellen Cybersicherheit.

„Und genauso, wenn nicht sogar wichtiger als die Dollarzahl, sind die Partner, die wir auf unserem Weg mitgebracht haben und die uns unterstützt haben“, fügte Weinstein hinzu. Zu diesen Partnern zählen insbesondere drei der führenden Anbieter von Industrieautomatisierung – Siemens, Rockwell Automation und Schneider Electric, die einen Großteil der internationalen OT-Systeme herstellen.

Die drei Unternehmen haben an der letzten Finanzierungsrunde von Claroty teilgenommen und sind auch Kunden und Go-to-Market-Partner. „Wir nutzen sie als unsere Vertriebspartner“, sagte Weinstein. „Ein großer Teil unserer Geschichte besteht darin, eine wirklich solide Technologie aufzubauen, die für OT-Netzwerke maßgeschneidert ist, und dann ein Ökosystem von Partnern aufzubauen, sowohl auf der Markteinführungsseite als auch auf der Investorenseite, die in hohem Maße glaubwürdig ist im Bereich der Betriebstechnik.“

Der aktuelle Kundenstamm des Unternehmens umfasst mehr als ein Dutzend verschiedene Branchen in mehr als 20 Ländern.

Angesichts der großen Reichweite von Claroty besteht das Hauptanliegen der neuesten Continuous Threat Detection OT-Sicherheitssoftware mehr darin, bestehenden Kunden neue Fähigkeiten zu bieten, als neue zu gewinnen. „Es geht nicht so sehr darum, den Markt zu erweitern, sondern darum, mehr innerhalb unserer bestehenden Kernbranchen und unserer Kundenumgebung zu liefern“, sagte Weinstein.