home Herstellungstechnologie Produktionsanlagen
Industrielle Fertigung
Industrielles Internet der Dinge | Industrielle Materialien | Gerätewartung und Reparatur | Industrielle Programmierung |
home  MfgRobots >> Industrielle Fertigung >  >> Industrial Internet of Things >> Internet der Dinge-Technologie

So planen Sie Ihre Reaktion auf ICS-Cybersicherheitsvorfälle

Unternehmen, die kritische Systeme betreiben, müssen planen und vorbereiten, um auf Cyber-Vorfälle von Industrial Control Systems (ICS) zu reagieren, unabhängig davon, ob sie von unbeabsichtigten Insidern oder böswilligen Angreifern verursacht werden.

Eine ordnungsgemäße ICS-Planung zur Reaktion auf Cybervorfälle (IR) minimiert finanzielle Verluste durch Systemausfallzeiten, Datenverlust, höhere Versicherungsprämien, ein beschädigtes Unternehmensimage und verringerte Mitarbeiter- und öffentliche Sicherheit. Dieses Papier gilt nur für ICS (z. B. Überwachungs- und Datenerfassungssysteme, Gebäudemanagementsysteme), da die meisten Organisationen bereits über einen Informationstechnologie-(IT-)IR-Plan (IRP) verfügen. Es bietet einen allgemeinen Überblick über die IR-Phasen, sagt Robert Talbot, Senior IT Manager, Parsons Information Security Office und Jack D. Oden, Hauptprojektmanager, Parsons Critical Infrastructure Operations.

Begründung

Heutige ICS werden üblicherweise von Windows- oder LINUX-basierten Mensch-Maschine-Schnittstellen verwaltet, kommunizieren über Internetprotokolle und verbinden sich mit dem lokalen Unternehmensnetzwerk und dem Internet. Die neue Architektur bietet erhebliche Vorteile, darunter Kosteneinsparungen, geringere Abhängigkeit von proprietären Geräteanbietern und einfachere/schnellere Datenübertragung an die Buchhaltungsabteilung und das obere Management.

Leider gehen mit den Vorteilen auch erhöhte Risiken durch internetbasierte Cyberangriffe einher. Es ist nicht mehr die Frage, ob es zu einem Angriff kommt, sondern wann. Kein Unternehmen oder keine Organisation kann alle Cyberangriffe verhindern, dennoch bleiben die meisten ICS-Organisationen unvorbereitet.

Vorbereitung vor einem Vorfall

Obwohl es ratsam ist, ein IRP- und IR-Team (IRT) für ICS zu bilden, spart die Prävention von Cyber-Vorfällen viel Zeit und Geld. Während Büros einen Tag oder länger ohne E-Mail effektiv funktionieren, kann sich ICS keine Ausfallzeiten leisten. Die Kontrolle des ICS-Zugriffs reduziert die Wege, die Angreifern zur Verfügung stehen, um Malware einzuschleusen. Da die meisten ICS-Angriffe über das Unternehmen erfolgen, sollte dieser Zugriff zuerst gesichert werden. Darüber hinaus sind in letzter Zeit Intrusion Detection-Systeme auf dem Markt erschienen, die ICS-Protokolle erkennen und es ermöglichen, genau zu bestimmen, wie ein Angreifer Systemzugriff erlangt hat.

Einige grundlegende Schritte reduzieren die Auswirkungen eines Vorfalls und helfen dabei, das ICS schneller wieder online zu stellen. Durch regelmäßiges Testen von Backup-Bändern wird sichergestellt, dass funktionsfähige Backup-ICS-Konfigurationen verfügbar sind. Die Verwendung von Intrusion Detection-Systemen, die proprietäre Protokolle unterstützen, ist unerlässlich, da proprietäre Systeme anfällig für Cyberangriffe und anfällig für Personen mit Systemkenntnissen sind.

Vorbereitung der Reaktion auf Vorfälle

Stellen Sie ein Cyber-Vorfallreaktionsteam zusammen

Der Aufbau eines Cyber-IRT ist der erste von zwei wichtigen Schritten bei der Entwicklung effektiver IR-Fähigkeiten. Das Team sollte sich aus ICS-Ingenieuren und -Administratoren, Netzwerk- und Systemadministratoren, Anlagenbetreibern und Vertretern aus den Bereichen IT, Cybersicherheit, Personal, Kommunikation und Recht zusammensetzen. Das IRT sollte sich mit verschiedenen Strafverfolgungsbehörden, Branchenaufsichtsbehörden und Anbietern abstimmen.

Die Zusammensetzung des IRT muss internes Personal gegen externe Experten mit Erfahrung in IR, Forensik, Beweiserhebung und -bewahrung, Angriffen und Exploits oder verschiedenen anderen Bereichen der Cybersicherheit abwägen. Externe Experten können schneller und gründlicher sein, während ICS-Mitarbeiter über Systemkenntnisse verfügen.

Plan zur Reaktion auf Vorfälle erstellen

Ein wirksames IRP ist ebenso wichtig wie das IRT. Sobald ein ICS ausfällt, brauchen die Ersthelfer trotz des organisatorischen Drucks Zeit, um die Quelle und das Ausmaß der Infektion zu finden.

Sobald der Plan vom gesamten IRT überprüft und fertiggestellt wurde, müssen mehrere wichtige Aufgaben erfüllt werden:

Vorfallreaktionsplan

Umfang und Zweck

Das IRP gilt für vermutete oder verifizierte ICS-Cybersicherheitsvorfälle. Es enthält allgemeine Richtlinien zum Erkennen, Klassifizieren und Reagieren auf ICS-Cybersicherheitsvorfälle, um Störungen des ICS-Betriebs zu minimieren.

Verfahren zur Bearbeitung von Vorfällen

Das Befolgen bewährter Verfahren ermöglicht einen schnelleren Neustart der Produktion und verringert das Risiko von Fehlern. Mehrere Internet-Sites beschreiben bewährte Verfahren, die das IRT verwenden kann, um unternehmensspezifische Verfahren zu entwickeln.

Identifizierung von Vorfällen

Das Auffinden, Eindämmen und Beseitigen von Sicherheitsverletzungen während der ersten 24 Stunden ist von entscheidender Bedeutung. ICS-Administratoren müssen schnell, aber sorgfältig mit dem IR-Personal zusammenarbeiten, um die Situation entweder als Cyber-Vorfall oder nur als Systemfehler zu charakterisieren.

Benachrichtigungen

Wenn ein Vorfall bestätigt wurde, sollten der IRT-Leiter, der Chief Information Security Officer, die Geschäftsleitung und die Rechtsabteilung benachrichtigt werden. Gegebenenfalls sollten die Strafverfolgungsbehörden kontaktiert werden.

Eindämmung

Es ist wichtig, infizierte Systeme, wenn sie infiziert sind, und den verwendeten Einstiegspunkt zu identifizieren. Bei richtiger Netzwerksegmentierung und gesicherten externen Verbindungen können Firewall- und andere Protokolle dabei helfen, festzustellen, wann die Malware in das Netzwerk eingedrungen ist. Bewahren Sie bei einer Cyberkriminalität Beweise auf und bewahren Sie die Verwahrungskette auf; kompromittierte Beweise sind vor Gericht unzulässig. Identifizieren Sie auch alle Zeugen.

Ausrottung

Sobald Malware enthalten ist, muss sie von jedem infizierten System und jeder Windows-Registrierung entfernt werden. Wenn Spuren zurückbleiben, werden die Systeme erneut infiziert, wenn sie wieder mit dem Netzwerk verbunden werden.

Systemwiederherstellung

Bevor Sie das System neu starten, stellen Sie beschädigte Daten mit nicht beschädigten Sicherungsdaten wieder her. Wenn Sie sich nicht sicher sind, wann Malware in das System eingedrungen ist, laden Sie das Betriebssystem und die Anwendungen von den Original-Backups neu.

Gelernte Lektionen

Das IRT sollte die gewonnenen Erkenntnisse formalisieren, um Erfolge und Verbesserungsmöglichkeiten zu dokumentieren und das IRP zu standardisieren.

Herausforderungen

Erfolgreiche IR hängt von der Planung und Finanzierung eines Vorfalls ab und muss Teil des Gesamtrisikoprogramms des Unternehmens sein. Da keine einzelne Einrichtung sowohl die IT- als auch die ICS-Cybersicherheitsfinanzierung bereitstellt, sind einige Diplomatie und Hausaufgaben erforderlich. Normalerweise versteht ein hochrangiger Manager die Bedeutung eines IRT. Wenn er als Champion des Teams rekrutiert wird, kann dieser Manager andere Senior Manager davon überzeugen, Teammitglieder zu stellen.

Bewertungen allein sichern keine Systeme. Die Einrichtung von Kontrollen wird am besten erreicht, indem eine qualifizierte externe Organisation beauftragt wird, IT- und ICS-Schwachstellenbewertungen durchzuführen.

Obwohl die IT-Welt vor über 20 Jahren erkannte, dass Cybervorfälle finanzielle Verluste verursachen, hat die ICS-Welt die Vorteile der Cybersicherheit trotz Vorfällen wie Stuxnet und den Target™-Point-of-Sale-Angriffen nur langsam erkannt.

Schlussfolgerung und Empfehlungen

Angriffe mit großer Aufmerksamkeit haben das Bewusstsein für die Notwendigkeit geschärft, ICS zu sichern und IR-Fähigkeiten durch ein effektives IRP und ein gut ausgebildetes IRT zu besitzen. Ein Kulturwandel ist notwendig, um die Prävention und Wiederherstellung von Cyber-Vorfällen voranzutreiben. Die Veränderung kommt, aber langsam. Unternehmen sollten die Entwicklung von Cyber-IR für ICS beschleunigen.

Die Autoren dieses Blogs sind Robert Talbot, Senior IT Manager, Parsons Information Security Office, und Jack D. Oden, Principal Project Manager, Parsons Critical Infrastructure Operations

Hier ist der Link zurück zur vollständigen Anthologie


Internet der Dinge-Technologie

  • Eingebettet
  • Sensor
  • Cloud Computing
  • Internet der Dinge-Technologie
    1. So planen Sie eine erfolgreiche Cloud-Migration
    2. So nutzen Sie Ihre Daten optimal
    3. Wie umweltfreundlich ist Ihr Energieverbrauch?
    4. Evaluieren Ihres IT-Risikos – wie und warum
    5. Nachrüstung der Cybersicherheit
    6. Künstliche Intelligenz in der ICS-Cybersicherheit ist noch früh
    7. Eine ICS-Sicherheitscheckliste
    8. Wie Sie Ihren ERP-Traum planen – Sitzung 2
    9. Wie funktionieren SCADA-Systeme?
    10. So planen Sie Ihr Bodenmedaillon