Laut einer vom SANS Institute durchgeführten und von Nozomi Networks gesponserten Studie waren in diesem Jahr 35% Schwachstellen in der Betriebstechnologie (OT) und in industriellen Steuerungssystemen der ursprüngliche Angriffsvektor für die Kompromittierung von technischen Arbeitsplätzen bei den weltweit befragten Unternehmen, doppelt so viele wie im gleichen Zeitraum des Vorjahres. Fan.
Während die Zahl der Befragten, die angaben, dass ihre OT/ICS-Systeme in den letzten 12 Monaten verletzt wurden, auf 10,5% sank (gegenüber 15% im Jahr 2021), gab ein Drittel der Befragten an, dass sie sich nicht bewusst sind, ob ihr System verletzt worden ist.
Für die SANS ICS/OT-Umfrage 2022 gingen 332 Antworten ein, die Branchen aus den Bereichen Energie, Chemie, kritische Fertigung, Kernkraft, Wasserwirtschaft und anderen Industrien repräsentieren.
Herausforderungen für die Sicherheit von Kontrollsystemen
Zu den größten Herausforderungen bei der Sicherung von ICS/OT-Technologien und -Prozessen gehören die Integration veralteter OT-Systeme mit modernen IT-Systemen, veraltete IT-Sicherheitstechnologien, die nicht für Kontrollsysteme ausgelegt sind und Störungen in der OT-Umgebung verursachen, sowie ein mangelndes Verständnis der OT-Betriebsanforderungen IT-Personal: Die Umfrage zeigt, dass die Personalressourcen nicht ausreichen, um bestehende Sicherheitsprogramme umzusetzen.
0 Sekunden von 28 SekundenVolumen 0%
Unternehmensdienstleistungen, Gesundheitswesen und kommerzielle Einrichtungen sind die drei Branchen, die nach Ansicht der Befragten in diesem Jahr am ehesten erfolgreich ICS-Kompromittierungen durchführen werden, die den sicheren und zuverlässigen Betrieb beeinträchtigen werden.
Auf die Frage, welche IKS-Komponenten die größten Auswirkungen auf das Unternehmen haben, nannte die Mehrheit der Befragten (51%) technische Arbeitsplätze, Geräte-Laptops und Kalibrierungs-/Testgeräte. Die Mehrheit der Befragten (54%) gab auch an, dass technische Workstations, Laptops und Testgeräte die Systemkomponenten sind, die am stärksten durch Bedrohungen gefährdet sind.
In der Studie wurde festgestellt, dass technische Arbeitsplätze, einschließlich mobiler Laptops, die für die Wartung von Anlagen verwendet werden, über Steuerungssoftware verfügen, die zur Programmierung oder Änderung von Einstellungen oder Konfigurationen von logischen Steuerungen und anderen Feldgeräten verwendet wird. Anders als herkömmliche IT-Systeme überwachen und verwalten ICS/OT-Systeme Daten, die sich in Echtzeit in der realen Welt durch physische Eingaben und kontrollierte physische Aktionen ändern.
IT-Systeme sind der primäre Angriffsvektor für OT/ICS
Obwohl sich die Angriffe auf technische Arbeitsplätze im vergangenen Jahr verdoppelt haben, rangieren sie als erster Angriffsvektor gegen OT/ICS-Systeme nur an dritter Stelle. Der primäre Angriffsvektor für OT/ICS-Systeme ist die IT. 41% der Unternehmen gaben an, dass IT-Schwachstellen die Ursache für eine eventuelle Kompromittierung ihrer OT/ICS-Systeme waren.
Der zweitgrößte Angriffsvektor sind Wechselmedien wie USBs und externe Festplatten. Um dieser Bedrohung vorzubeugen, haben 83% der Befragten formelle Richtlinien zur Verwaltung temporärer Geräte eingeführt, und 76% setzen Technologien zur Erkennung von Bedrohungen ein, um diese Geräte zu verwalten. Darüber hinaus verwenden 70% kommerzielle Tools zur Erkennung von Bedrohungen, 49% verwenden selbst entwickelte Lösungen und 23% haben Ad-hoc-Bedrohungserkennung eingesetzt, um dieses Risiko zu bewältigen.
"Technische Systeme sind zwar nicht mit herkömmlichen Anti-Malware-Agenten ausgestattet, können aber durch netzwerkbasierte ICS-Erkennungssysteme und Praktiken der industriebasierten Netzwerkarchitektur geschützt werden", heißt es in dem Bericht. "Darüber hinaus sind die Erfassung oder Weiterleitung von Protokollen und die regelmäßige Überprüfung der Steuerungskonfiguration als Teil der laufenden technischen Wartungsaufgaben für Feldgeräte praktikable Möglichkeiten, um diese Anlagen zu schützen.
Der Bericht zeigt, dass die ICS-Sicherheit immer ausgereifter wird. "Der Markt für ICS-Bedrohungsdaten hat sich in den letzten 12 Monaten stark entwickelt. Immer mehr Einrichtungen nutzen Bedrohungsdaten von Anbietern, um sofortige und umsetzbare Verteidigungsmaßnahmen zu ergreifen. Anders als die Mehrheit der Befragten aus dem Jahr 2021 verlassen sich die Befragten aus dem Jahr 2022 nicht mehr ausschließlich auf öffentlich verfügbare Bedrohungsdaten", heißt es in dem von Dean Parsons verfassten Bericht. "Dies deutet darauf hin, dass der Reifegrad und das Bewusstsein für den Wert von ICS-anbieterspezifischen Bedrohungsdaten zunehmen und dass Budgets zur Verbesserung der proaktiven Verteidigung in diesem Bereich bereitgestellt werden.
Industrielle Systeme haben ihre eigenen Sicherheitsbudgets
Immer mehr Organisationen erhalten ICS-spezifische Sicherheitsbudgets, und bis 2022 werden nur 8% der Einrichtungen kein Sicherheitsbudget haben, so der Bericht. Siebenundzwanzig Prozent der Organisationen verfügen über Budgets zwischen $100.000 und $499.999 US-Dollar, und 25% haben Budgets zwischen $500.000 und $999.999 US-Dollar.
In den nächsten 18 Monaten werden die Unternehmen diese Budgets für verschiedene Initiativen einsetzen: Pläne zur Verbesserung der Transparenz von Netzwerkressourcen und deren Konfigurationen (42%) und die Implementierung von netzwerkbasierten Tools zur Erkennung von Anomalien und Einbrüchen (34%). Netzwerkbasierte Tools zur Verhinderung von Eindringlingen in Kontrollsystemnetzwerke werden ebenfalls berücksichtigt (26%).
Fast 80% der Befragten gaben an, dass sie jetzt Rollen haben, die den Schwerpunkt auf ICS-Operationen legen, verglichen mit nur etwa 50%, die 2021 solche spezifischen Rollen hatten. Die Organisationen gaben jedoch an, dass es trotz der unterschiedlichen Aufgaben, erforderlichen Fähigkeiten und Auswirkungen bei Sicherheitsvorfällen immer noch eine Konvergenz der Verantwortlichkeiten gibt.
Fast 60% der Umfrageteilnehmer verwenden eine passive Überwachung, wobei Netzwerk-Sniffer die wichtigste Methode zur Erkennung von Hardware- und Softwareschwachstellen sind. Die zweithäufigste Methode ist das kontinuierliche proaktive Scannen von Schwachstellen.
Die dritte gängige Methode besteht darin, das Konfigurations- und Steuerlogikprogramm mit einer bekannten guten Version der Logik zu vergleichen.