Alle 14 Tage aktuelle News aus der IT-Szene >
Cyber Threat Intelligence (CTI) beschreibt das Sammeln, Verarbeiten, Analysieren, Verbreiten und Integrieren von Informationen über aktive oder aufkommende Cyber-Bedrohungen. Der wesentliche Zweck von CTI besteht darin, bösartige Cyber-Aktivitäten und -Gegner aufzudecken und dieses Wissen den Entscheidungsträgern im Unternehmen zur Verfügung zu stellen.
Foto: Dragos
Kai Thomsen, Director of Global Incident Response Services bei Dragos
Cyber-Bedrohungsdaten aus dem OT-Bereich der (Operational Technology) sind auf die besonderen Herausforderungen und Anforderungen von OT-Umgebungen ausgerichtet. Diese Systeme sind ein wesentlicher Bestandteil kritischer Infrastrukturen wie Kraftwerke, Produktionsanlagen, Gaspipelines und Wasseraufbereitungsanlagen.
OT Cyber Threat Intelligence ist entscheidend für den Schutz der Systeme, die physische Prozesse steuern und umfasst die proaktive Erkennung und Abwehr von Bedrohungen, die physische Prozesse verändern, beeinträchtigen oder stören könnten. Dies unterscheidet sich deutlich von IT Cyber Threat Intelligence, bei der es darum geht, Cyber-Bedrohungen zu identifizieren und zu entschärfen, die darauf abzielen, Informationen zu stehlen, zu beschädigen oder zu missbrauchen.
Der Threat-Intelligence-Zyklus, bestehend aus Planung und Überwachung, Erfassung, Verarbeitung und Nutzung, Analyse und Auswertung sowie Weitergabe und Integration, dient der Aufbereitung von Rohdaten aus OT-Umgebungen in verwertbare Informationen. Daten aus der Betriebsumgebung, wie OT-spezifische Systemsignale und Netzwerkverkehr, werden gesammelt, verarbeitet und analysiert, um Risiken in OT-Umgebungen zu bewerten. Der Intelligence-Zyklus stellt sicher, dass diese Informationen nicht nur genau und relevant sind, sondern auch effektiv in die Sicherheitsabläufe des Unternehmens integriert werden und verwertbare Erkenntnisse liefern, die die Entscheidungsfindung unterstützen und den Schutz kritischer Infrastrukturen verbessern.
Cyberangriffe auf OT-Umgebungen bedrohen wichtige Dienste wie Elektrizität, Öl und Gas, Produktion und Wasser. Angreifer, darunter staatliche Akteure, hacktivistische Gruppen und finanziell motivierte Cyber-Kriminelle wie Ransomware-Gruppen, sind auf industrielle Steuerungssysteme fokussiert. Diese Angreifer können je nach Absichten, Fähigkeiten und Kenntnissen industrieller Prozesse informell klassifiziert werden. Auch wenn dieses keine endgültige und vollumfängliche Klassifizierung darstellt, kann es hilfreich sein, um die unterschiedlichen Absichten und Auswirkungen von OT-Cyber-Bedrohungen zu verstehen.
Es ist falsch, bei der Behebung von OT-Schwachstellen eine IT-Denkweise zu verwenden. Industrielle Infrastrukturen haben längere Lebenszyklen und sind auf Kernfunktionen wie Stromerzeugung und Wasseraufbereitung ausgelegt. Die meisten Schwachstellenmeldungen beziehen sich jedoch häufig auf die IT und berücksichtigen nicht die spezifischen Risiken für OT. Bei der Priorisierung von OT-Schwachstellen sollten diverse Faktoren berücksichtigt werden:
Schwachstellenmanagement in OT-Umgebungen erfordert Alternativen zum Patching und genaue Risikoinformationen, um effektiv zu sein, da Standard-Patch-Empfehlungen im laufenden Betrieb oft nicht praktikabel sind.
Ein fundiertes Verständnis über die Fähigkeiten und die Angriffsmethoden eines Angreifers ermöglicht es, fundierte Entscheidungen im Sicherheits- und Risikomanagement zu treffen. Frameworks wie die ICS Cyber Kill Chain und MITRE ATT&CK for ICS sind unverzichtbare Werkzeuge für Fachleute im Bereich OT-Cyber-Bedrohungen. Sie helfen Unternehmen, Bedrohungen frühzeitig zu erkennen, zu verstehen und wirksam zu bekämpfen, um die Sicherheit und Betriebskontinuität zu gewährleisten.
Industrieunternehmen stützen sich auf mehrere Datenquellen, um sich ein umfassendes Bild von Cyber-Bedrohungen zu machen:
Das Verständnis und die Bewältigung von Cyber-Bedrohungen für OT-Umgebungen sind entscheidend, da Störungen physische Folgen wie Produktionsausfälle und Sicherheitsrisiken haben können. OT-Cyber-Bedrohungen unterscheiden sich von IT-Cyber-Bedrohungen und erfordern spezielle Abhilfemaßnahmen, die den betrieblichen Anforderungen gerecht werden. Unternehmen können ihre kritischen Infrastrukturen proaktiv schützen, indem sie OT-spezifische Bedrohungsdaten nutzen, um Betriebskontinuität, Sicherheit und Gefahrenabwehr zu gewährleisten.