Schutz kritischer Infrastrukturen durch Überwachung der Anwendungsleistung

Angesichts der jüngsten Angriffe auf bestehende Infrastrukturen ist die Cybersicherheit eingebetteter Systeme in Kritische Infrastruktur ist vielleicht noch wichtiger als ihre physische Sicherheit.

Als die Regierung von Präsident Biden ihre Bemühungen um Investitionen in Höhe von 2,9 Billionen US-Dollar in kritische Infrastrukturen (wie das Energienetz, landesweite Kommunikationsnetze und Transportnetze) beginnt und die jüngsten Nachrichten über den verheerenden Ransomware-Angriff DarkSide, der die Colonial Pipeline an der Ostküste lahmlegt, Die Anfälligkeit sowohl bestehender als auch geplanter Systeme für böswillige Akteure ist erneut ein heißes Thema. Angesichts der jüngsten Angriffe auf bestehende Infrastrukturen ist die Cybersicherheit eingebetteter Systeme, die in kritische Infrastrukturen eingebaut sind, vielleicht sogar noch wichtiger als ihre physische Sicherheit.

Die Abwehr von Exploits in solch massiv miteinander verbundenen Gerätenetzwerken stellt Geräteentwickler, Codeentwickler und Cybersicherheitsexperten vor eine erhebliche Herausforderung. Betreiber müssen eingebettete Systeme nicht nur überwachen, um einen ordnungsgemäßen Gerätebetrieb zu gewährleisten und kontinuierlich auf bösartige Aktivitäten zu prüfen. Nicht identifizierte Fehler, die zu Geräteausfällen führen, sei es aufgrund von Hardwarefehlern oder kriminellen Angriffen, haben potenziell weitreichende und verheerende Auswirkungen.

Der Aufbau der robustesten und vertretbarsten Infrastruktur erfordert die Implementierung von Systemen, die die Zuverlässigkeit eingebetteter Geräte auf allen Ebenen – Hardware, Firmware und Software – bewerten. In diesem Artikel betrachten wir die Fortschritte bei den Cybersicherheitsbemühungen für die Anwendungen, die IoT-Infrastrukturgeräte steuern, und wie sich Trends bei der Überwachung der Anwendungsleistung auf das Design eingebetteter Systeme auswirken.

Kritische Infrastruktur versus IT-Infrastruktur

Sicherheitsbedenken bezüglich des IoT in kritischen Infrastrukturen sind weitreichend, da durch neue Infrastrukturinvestitionen Millionen von eingebetteten vernetzten Geräten hinzukommen, die überwacht und geschützt werden müssen. Jedes neue eingebettete System und jede Verbindung, die es herstellt, stellt eine Gelegenheit für einen Angriff dar.

Abbildung 1. Mit der Entwicklung von Millionen eingebetteter verbundener Geräte werden Sicherheitsbedenken immer deutlicher, da jetzt viel mehr Geräte überwacht werden müssen. (Quelle:freepik)

Kritische Infrastruktur ist leider ein vager Begriff. Um Verwirrung zu vermeiden, definieren wir unsere Definitionen. Die OT oder Operational Technology bezieht sich auf die physische Hardware, die verwendet wird, um Geräte zu überwachen und physische Prozesse zu steuern. Die IT oder Informationstechnologie bezieht sich auf die Software, die verwendet wird, um Informationen innerhalb dieser Geräte zu verarbeiten. Aber die Grenzen zwischen OT und IT verschwimmen zunehmend, da die physische Welt online gestellt wird. Der Begriff IoT wurde verwendet, um dieses Phänomen zu beschreiben.

Auch die IT-Infrastruktur ist zweifellos von entscheidender Bedeutung für das IoT-Ökosystem und kann eine Untergruppe des Oberbegriffs sein. Für unsere Zwecke bezieht sich kritische Infrastruktur auf die Infrastruktur des Biden American Jobs Plan.

Gemäß der Definition des U.S.A. Patriot Act von 2001 umfasst dies Systeme, deren Beeinträchtigung „eine schwächende Auswirkung auf die Sicherheit, die nationale wirtschaftliche Sicherheit, die nationale öffentliche Gesundheit oder Sicherheit oder eine Kombination dieser Angelegenheiten haben würde“.

IoT und eingebettete Systeme werden Hauptkomponenten der neuen Infrastruktur sein und die Fähigkeiten der bestehenden Infrastruktur verbessern.

Obwohl kritische Infrastruktur und IT-Infrastruktur unterschiedlich sind, ist die Sicherheit beider von größter Bedeutung. Angriffe auf die IT-Infrastruktur sind viel einfacher, können aber ähnlich verheerende Auswirkungen haben, wie die Angriffe auf Wasserversorgungssysteme in den letzten Jahren gezeigt haben.

Cybersicherheit von eingebetteten Systemen kritischer Infrastruktur

Prominente Cyberangriffe auf die Infrastruktur in Verbindung mit der allgemeinen Zunahme der Cyberkriminalität haben Regierungen weltweit dazu veranlasst, der Sicherheit von IoT-Geräten und eingebetteten Systemen große Aufmerksamkeit zu widmen.

Ende letzten Jahres hat der US-Kongress den IoT Cybersecurity Act of 2020 verabschiedet, der die Sicherheitsstandards für den Einsatz von IoT-Geräten durch Regierungsorganisationen stärkt. Obwohl das Gesetz nicht allgemein für alle IoT-Implementierungen in kritischen Infrastrukturen gilt, ist es wahrscheinlich, dass es Auswirkungen auf die Branche haben wird.

Während der Kongress über den IoT Cybersecurity Act debattierte, veröffentlichte das National Institute of Standards and Technology (NIST) zwei Dokumente, die zukünftige IoT-Sicherheitsstandards leiten werden. Die IoT Device Cybersecurity Capability Core Baseline definiert minimale Sicherheitsstandards zum Schutz von IoT-Geräten und deren Daten.

Die grundlegenden Cybersicherheitsaktivitäten für Hersteller von IoT-Geräten skizzieren die Schritte, die Hersteller von IoT-Geräten unternehmen sollten, um zu beurteilen, welche Cybersicherheitskontrollen in ein Gerät zu integrieren sind. Die kontinuierliche Systemüberwachung ist ein besonderer Schwerpunkt.

Die Europäische Union verschärft auch ihre Cybersicherheitsvorschriften, um Infrastrukturbedrohungen zu begegnen. Ende letzten Jahres hat die EU damit begonnen, Änderungen ihrer Richtlinie über die Sicherheit von Netz- und Informationssystemen in Erwägung zu ziehen.

Entwickler von eingebetteten Systemen verfolgen diese rechtlichen Entwicklungen, während sie auftreten. Obwohl sie derzeit eher ehrgeizig als betriebsbereit sind, werden sie irgendwann zu spezifischen Anforderungen an das Gerätedesign führen.

Trends bei der Überwachung der Anwendungsleistung

Für konkrete Ideen zum zukünftigen Design der Cybersicherheit eingebetteter Systeme können Entwickler Trends in anderen IT-Leistungs- und Sicherheitsbereichen, wie zum Beispiel bei der Überwachung der Netzwerkanwendungsleistung (APM), berücksichtigen.

Die Anwendungen, die eingebettete Systeme in kritischen Infrastrukturen überwachen und steuern, sind jedoch ein Ziel für dedizierte Hacker. APM wird ein wesentlicher Aspekt bei der Aufrechterhaltung der Sicherheit kritischer Infrastrukturen sein. Entwickler von eingebetteten Systemen sollten sich bewusst sein, wie APM-Tools mit ihren Geräten interagieren und wie sich APM-Trends auf die Designanforderungen für eingebettete Systeme auswirken.

Optimierung der Datenerfassung und -übertragung

Bei bestehenden Netzwerken treten bereits Bandbreitenprobleme im Zusammenhang mit verbundenen Geräten auf. Stellen Sie sich vor, wie viel schlimmer das Problem wird, wenn die Anzahl der verbundenen Geräte um eine Größenordnung oder mehr steigt. Und wenn Netzwerkprobleme die Verbindung zwischen einem eingebetteten Gerät und seinem Fernüberwachungssystem unterbrechen, ist das Gerät anfälliger für Angriffe.

Die Investition in die Dienste eines erfahrenen und gut ausgebildeten Netzwerkadministrators kann eine Lösung sein. Es wird erwartet, dass der Beruf der Netzwerkadministration bis zum nächsten Jahr um über 42.000 Stellen wachsen wird, und der Grund dafür ist leicht zu erkennen. Netzwerkadministratoren sind dafür verantwortlich, die Installation von Netzwerksicherheitssystemen zu überwachen, bei Bedarf Verbesserungen in Netzwerken zu implementieren und Hardware und Software zu installieren oder zu reparieren.

Lokale KI kann, wie bereits erwähnt, eine andere Lösung sein. APM-Entwickler suchen auch nach verbesserten verlustfreien Komprimierungsverfahren, um die Übertragung qualitativ hochwertiger Daten mit begrenzten Bandbreitenanforderungen zu gewährleisten. Entwickler von eingebetteten Systemen müssen weiterhin effizientere Onboard-Datenkomprimierungsalgorithmen untersuchen.

Einsatz von künstlicher Intelligenz und maschinellem Lernen

In den letzten Jahren wurde zunehmend auf KI und maschinelles Lernen angewiesen, um APM zu verbessern. So sehr, dass Gartner das Feld der AIOps definiert hat. AIOps zielt darauf ab, den Fokus von APM von der reaktiven Identifizierung und Korrektur von Problemen auf die proaktive Identifizierung von Problemen zu verlagern, bevor sie auftreten.

Abbildung 2. Eine der größten Entwicklungen der letzten Jahre war die zunehmende Abhängigkeit von APM von künstlicher Intelligenz. (Quelle:pixabay)

Darüber hinaus wendet AIOps KI an, um Behebungsaktivitäten nach der Identifizierung eines Problems zu automatisieren. Entwickler von eingebetteten Systemen können KI in ähnlicher Weise als primäres Werkzeug für den Aufbau proaktiver Funktionen zur Identifizierung von Cyberangriffen auf Anwendungsebene betrachten.

Während künstliche Intelligenz derzeit verwendet wird, um eingebettete Systeme zu trainieren, findet ein Großteil des Trainings außerhalb der eingebetteten Geräte statt. Remote-Training bietet größere Mengen an leistungsfähigeren Verarbeitungsfunktionen, um schnell mit den großen Datenmengen umzugehen, die die Entwicklung von KI-Modellen vorantreiben.

Es gibt jedoch einen zunehmenden Einsatz von KI am Edge, und Entwickler von eingebetteten Systemen sollten die Möglichkeit der Onboard-KI in Betracht ziehen, Sicherheitsüberwachungsaufgaben lokal auszuführen. Da die Rechenanforderungen von KI-Modellen jedoch hoch sind, müssen sich Entwickler von eingebetteten Systemen weiterhin darauf konzentrieren, den Overhead traditioneller KI-Methoden zu reduzieren, um sie besser in einer lokalen Umgebung anwenden zu können.

Überwachung von konvergenten Anwendungen und Infrastruktur

Jeder Aspekt des Betriebs eines eingebetteten Systems muss geschützt werden, sei es die zugrunde liegende Hardware der darauf laufenden Anwendungen. Die Abhängigkeit von der Überwachung einzelner Komponenten weicht einer ganzheitlicheren Sicht auf den Systembetrieb.

Die Anwendung von Observability-Prinzipien (vorzugsweise in Verbindung mit einer robusten Überwachung) kann ein besseres Gesamtverständnis der Leistung eingebetteter Echtzeitsysteme ermöglichen, wodurch Anomalien und potenzielle Angriffe besser identifiziert werden können.

Automatisierung

Für Netzwerkadministratoren und andere IT-Experten ist es nahezu unmöglich, manuell alle Daten und Analysen zu verwalten, die für ein modernes Cybersicherheitsprogramm erforderlich sind. Automatisierung ist daher ein wesentlicher Bestandteil zukünftiger Cybersicherheitsbemühungen. Während APM beispielsweise effektiv ist, um das Vorhandensein eines Angriffs zu beurteilen, ist es in Verbindung mit Systemen effektiver, die Schwachstellen automatisch und proaktiv identifizieren.

Die Cybersicherheitsexpertin Barbara Ericson von Cloud Defense sagt:„Sie können herkömmliche und lineare Schwachstellenscanner einsetzen oder adaptive Schwachstellenscanner verwenden, um basierend auf früheren Erfahrungen nach bestimmten Dingen zu suchen. Glücklicherweise können Schwachstellen-Scanner automatisiert werden, wenn Sie eine gute Schwachstellen-Management-Software erwerben. Durch die Automatisierung Ihrer Scans stellen Sie sicher, dass Ihr Unternehmen ständig auf neue Bedrohungen untersucht wird und Sie nicht zu viel Personal für regelmäßig geplante Scans verschwenden müssen.“

Entwickler von eingebetteten Geräten müssen außerdem die Automatisierung zur Überwachung potenzieller Angriffe auf Geräte oder deren zugehörige Anwendungen weiter verbessern und automatische Korrekturmaßnahmen für identifizierte Probleme implementieren.

Schlussfolgerung

Da die USA umfangreiche Infrastruktur-Upgrades durchführen, wird der Anteil des IoT in kritischen Infrastrukturen exponentiell zunehmen. Und dieser Anstieg geht zwangsläufig mit einer Zunahme der Bedrohung durch Cyberangriffe einher. Entwickler von eingebetteten Geräten müssen sich erneut auf die Implementierung neuartiger Cybersicherheitskontrollen an Bord konzentrieren, um die Zuverlässigkeit und Sicherheit kritischer Infrastrukturen zu gewährleisten.