kaspersky industrial cybersecurity: lÖsungsÜberblick … · • betriebstechnologie (operational...

14
KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK 2017 www.kaspersky.com/ics

Upload: others

Post on 31-Aug-2019

6 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK 2017

www.kaspersky.com/ics

Page 2: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

Kaspersky Industrial CyberSecurity: Lösungsüberblick 20172

ANGRIFFE AUF INDUSTRIESYSTEME NEHMEN ZU

Cyberangriffe auf industrielle Steuerungssysteme nehmen immer mehr zu, dieser Tatsache müssen sich deren Betreiber stellen.1 67 % aller IT-/OT-Sicherheitsmanager sehen die aktuellen ICS-Cyberbedrohungen als kritisch bzw. hoch an, im Vergleich zu Umfragen aus dem Jahr 2015 ein Anstieg von über 43 %.2

Im Geschäftsjahr 2015 befasste sich das ICS-CERT in den USA mit 295 gemeldeten Cybersicherheitsvorfällen auf kritische Infrastrukturen. Das sind 20% mehr als im Vorjahr.3

Unterbrechungen der Lieferkette und der Geschäftsaktivitäten wurden in den letzten drei Jahren als globales Geschäftsrisiko Nr. 1 eingestuft. Risiken im Bereich Cybersicherheit stellen die größte aufkommende Bedrohung dar.4

Die Risiken für Unternehmen mit industriellen oder anderen kritischen Infrastruktursystemen sind heute so hoch wie nie zuvor. Der Bereich der industriellen Sicherheit hat eine Tragweite, die weit über den Schutz von Unternehmen und geschäftlicher Reputation hinausgeht. Beim Schutz von industriellen Systemen vor Cyberbedrohungen spielen ökologische, soziale und makroökonomische Faktoren eine erhebliche Rolle.

Betriebstechnologie und Informationstechnologie

Der Sammelbegriff „Industrielles Steuerungssystem“ (Industrial Control System, ICS) beschreibt automatisierte Systeme zur Steuerung der industriellen Produktion. Der Begriff „ICS“ umfasst ein breites Spektrum von Computern, proprietären Steuerungsgeräten und Netzwerkarchitekturen zum Steuern industrieller Prozesse in einer Vielzahl von Branchen. Ein ICS besteht in der Regel aus SCADA (Supervisory Control and Data Acquisition), DCS (Distributed Control Systems) and PLCs (Programmable Logic Controllers).

Im Hinblick auf Unternehmenssysteme lassen sich diese Bestandteile in zwei Kategorien einteilen: • Informationstechnologie (Information Technology, IT) – Systeme für allgemeine Geschäftszwecke• Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung.

Viele IT-Sicherheitsstrategien basieren auf dem Schutz von Daten und setzen auf das Modell Datenvertraulichkeit, Integrität und Verfügbarkeit. Bei den meisten OT-Systemen ist Kontinuität der wichtigste Faktor. Schutz bezieht sich nicht auf „Daten“, sondern auf „Prozesse“. Verfügbarkeit, Integrität und Vertraulichkeit (in dieser Reihenfolge). Hierdurch unterscheiden sich die Cybersicherheitsbedürfnisse in diesem Sektor. Selbst die hochwertigste Sicherheitslösung ist letztendlich unbrauchbar, wenn sie die Verfügbarkeit (und in manchen Fällen die Integrität) der betrieblichen Abläufe gefährdet.

1 PwC: Global State of Information Security 2015

2 SANS 2016 State of ICS Security Survey

3 ICS-CERT Monitor, November – Dezember 2015

4 Allianz Risk Barometer 2015

Page 3: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

Kaspersky Industrial CyberSecurity: Lösungsüberblick 20173

RISIKEN UND BEDROHUNGEN

Trotz des wachsenden Bewusstseins für cyber-basierte Angriffe auf industrielle Steuerungssysteme bleiben viele Modelle zur IT-Sicherheit bei der veralteten Ansicht, dass physisch isolierende Systeme (durch Luftschleusen, sog. „Air Gaps“) und „Security by Obscurity“ ausreichen. Das ist nicht der Fall: Im Zeitalter von Industry 4.0 sind die meisten nicht kritischen Industrienetzwerke über das Internet zugänglich5, ob gewollt oder nicht.

Eine umfangreiche Studie von Kaspersky Lab, für die Daten aus dem Kaspersky Security Network genutzt wurden, zeigt, dass viele in Industrieanlagen eingesetzte PCs mit derselben Malware infiziert sind, die auch Unternehmenssysteme (IT) befallen. Darunter bekannte Übeltäter wie z. B. Trojaner, Viren, Würmer, PUPs (möglicherweise unerwünschte Software) sowie andere Exploits, die es auf Schwachstellen im Windows-Betriebssystem abgesehen haben.

Obwohl der Kido (auch Conficker-Wurm genannt) nicht speziell auf industrielle Systeme zugeschnitten ist, wurde er nicht nur in wichtigen medizinischen Anlagen gefunden, sondern war möglicherweise eine Art Wegbereiter für hochkarätige Attacken auf industrielle Angriffsziele. Kido ist in der Lage, Netzwerke vollständig zu überlasten und zentrale Prozesse zum Erliegen zu bringen. Herkömmliche Vorgehensweisen der industriellen Sicherheit gehen mit dieser Art von Bedrohung nicht sehr effektiv um: „Air Gap“-Prozesse oder das Konzept von „Security by Obscurity“ lassen die Tatsache außer Acht, dass industrielle Steuerungssysteme mithilfe von Smart-Grid-Systemen und Cloud-basierten SCADA-Programmen „fast schon wie herkömmliche Verbraucher-PCs aussehen.6

Eine weitere ICS-Bedrohung mit Aufwärtstrend ist Ransomware. Zwischen 2015 und 2016 haben sich die Anzahl und der Umfang der entwickelten Ransomware drastisch erhöht. Diese neu aufkommende Ransomware hat große Auswirkungen auf die Industriebranche, da derartige Infektionen zu schwerwie-genden Systemschäden führen können. ICS sind also ein besonders attraktives potentielles Angriffsziel. Für Angriffe auf industrielle Systeme entwickelte Ransomware enthält oft besondere Funktionen – statt Dateien zu verschlüsseln, besteht das Ziel dieser Malware oft darin, die betrieblichen Abläufe zu stören oder den Zugriff auf eine wichtige Ressource zu blockieren.

Neben generischen Bedrohungen muss die industrielle Sicherheit gezielte Angriffe und speziell für ICS entwickelte Malware abwehren: Stuxnet, Citadel, Energetic Bear/Havex, Miancha, BlackEnergy, Irongate, PLC Blaster – nur einige wenige einer expandierenden Liste. Wie die Stuxnet- und Black Energy-Angriffe gezeigt haben, kann schon ein infiziertes USB-Laufwerk oder eine einzelne Spear-Phishing-E-Mail dazu führen, dass gut vorbereitete Angreifer das so genannte „Air Gap“ überwinden und in ein isoliertes Netzwerk eindringen.

Start und Ausbreitung vieler industriespezifischer Angriffe erfolgen sowohl über das Unternehmensnetzwerk als auch über das ICS. Bei der BlackEnergy-Attacke auf das ukrainische Stromversorgungsnetz im Dezember 2015, das zu einem großflächigen Netzausfall führte, setzen Hacker beispielsweise mehrere Angriffsvektoren ein. Zunächst wurden die Zugangsdaten für das SCADA-System mit einem Spear-Phishing-Angriff in der Unternehmensumgebung gestohlen. Anschließend legten die Hacker das Stromnetz manuell lahm und führten ein schädliches KillDisk-Programm ein, mit dem Daten in wichtigen Systemdateien für das industrielle Netzwerk gelöscht bzw. überschrieben wurden, sodass der Computer des Bedieners abstürzte. Parallel dazu wurde ein DDoS-Angriff auf das Callcenter des Versorgungsunternehmens durchgeführt, sodass Kunden die Ausfälle nicht melden konnten.

5 ICS and their online availability 2016, Kaspersky Lab

6 EU Agency for Network and Information Security (ENISA): „Can we learn from SCADA security incidents?“ (Können wir aus SCADA-Sicherheitsvorfällen lernen?)

Page 4: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

Kaspersky Industrial CyberSecurity: Lösungsüberblick 20174

Zusätzlich zu Malware und gezielten Angriffen müssen Industrieunternehmen weitere Bedrohungen und Risiken abwehren, die auf Menschen, Prozesse und Technologie abzielen. Diese Risiken zu unterschätzen, kann ebenfalls ernsthafte Konsequenzen haben. Kaspersky Lab hat ein umfassendes Portfolio von Technologien, Services und Lösungen entwickelt, mit dem unsere Kunden viele diese Risiken ausschalten oder mindern können, darunter die folgenden:

• Fehler durch SCADA-Bediener oder Auftragnehmer (Dritte)• Betrügerische Handlungen• Cybersabotage• Compliance• Mangelndes Bewusstsein und wenig nutzbare Daten für die digitale Forensik• Mangelnde Berichterstattung zu Vorfällen.

Spezielle industrielle Cybersicherheitslösungen sind erforderlich

Lösungen, die den besonderen Anforderungen industrieller Steuerungssysteme und industrieller Infrastruktur gerecht werden, können nur von Cybersicherheitsanbietern bereitgestellt werden, die die Unterschiede zwischen Industriesystemen und den standardmäßigen, betriebswirtschaftlich ausgerichteten Unternehmenssystemen verstehen. Forrester Research empfiehlt Industrieunternehmen, bei ihrem Sicherheitsanbieter auf „spezielle industrielle Fachkenntnisse7“ zu achten. Dabei wird Kaspersky Lab von Forrester als einer der wenigen Anbieter spezieller Sicherheitslösungen für die Industrie mit wirklicher Sachkenntnis in diesem Sektor genannt.

7 Forrester Research: S&R Pros Can No Longer Ignore Threats to Critical Infrastructure (S&R-Experten dürfen Risiken für kritische Infrastrukturen nicht länger ignorieren) von Rick Holland

Page 5: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

Kaspersky Industrial CyberSecurity: Lösungsüberblick 20175

KASPERSKY LAB: VERTRAUENSWÜRDIGER ANBIETER VON INDUSTRIAL CYBERSECURITY

Als anerkannter Vorreiter bei Cybersicherheit und Schutz von industriellen Systemen8 ist Kaspersky Lab mit der kontinuierlichen Weiterentwicklung von Lösungen beschäftigt, die mehr leisten und mit den sich ständig weiterentwickelnden Bedrohungen von industriellen Anlagen und wichtigen Infrastrukturen umgehen können. Von der Betriebsführung bis zur SCADA-Ebene und mit dem Blick auf ein in der Zukunft vollständig geschütztes Betriebssystem, trägt Kaspersky Lab entscheidend dazu bei, dass Industrie, Behörden und staatliche Stellen auf der ganzen Welt rechtzeitig auf Veränderungen in der Bedrohungslandschaft vorbereitet sind und sich effektiv verteidigen können.

Als verlässlicher IT-Sicherheitsanbieter und Partner für führende Industrieunternehmen, die unsere Lösungen zum Malware-Schutz bereits seit vielen Jahren nutzen, arbeitet Kaspersky Lab überdies mit Anbietern aus dem Bereich der industriellen Automatisierungstechnik zusammen. Darunter Emerson, SAP, Siemens, Industrial Internet Consortium etc. Unser gemeinsames Ziel ist die Entwicklung spezieller, kompatibler Verfahren und Kooperations-Frameworks zum Schutz von industriellen Systemen vor vorhandenen und aufkommenden Bedrohungen, einschließlich APTs und gezielte Angriffe.

Kaspersky Lab entwickelt ein Portfolio von Speziallösungen für bestimmte Sicherheitsanforderungen in Industrieunternehmen: Kaspersky Industrial CyberSecurity. Diese Lösungen bieten auf allen Ebenen von Industriesystemen, effektive Sicherheit vor Cyberbedrohungen, ohne die Geschäftskontinuität und die Konsistenz der technologischen Prozesse zu beeinträchtigen. Damit schützt Kaspersky Industrial CyberSecurity („KICS“) auch SCADA-Server, HMI-Panele, Workstations, SPS und Netzwerkverbindungen.

Im Rahmen einer mehrstufigen Sicherheitsstrategie ermöglicht Kaspersky Industrial CyberSecurity eine Kombination unterschiedlicher Schutztypen. Kaspersky Industrial CyberSecurity liefert über die Technologien und Services zur Unterstützung der einzelnen Stadien des Sicherheitszyklus hinaus unter anderem Schutz bei der Integritätskontrolle, der Angriffsüberwachung und -erkennung sowie bei der Erkennung von Anti-Malware und anomalen Verhaltensmustern.

8 Gartner Market Guide for Operational Technology Security, 2016

Technologien ServicesZentralisierte Verwaltung

• Single management console• Software provisioning• Policy management• Reporting

Malware-Schutz• Signature-based• Proactive Defense• Kaspersky (Private) Security Network• Malware actions rollback

Integritätskontrolle• Whitelisting• Device control• Network Integrity Control• Process Integrity Control• PLC Integrity Check

Interoperabilität• SIEM• HMI• Syslog• Network Management System• Mail

Wissen• Cybersecurity

Trainings• Awareness

Programs• Intelligence

Reporting

Expertenservices• CyberSecurity-

Assessment• Solution

Integration• Incident

Response

Forensik• Safe Event Logs• Data Analysis

Angriffsüberwachung/-erkennung• Network Attack Blocker• Firewall• IDS/IPS

Erkennung anormalen Verhaltens

Page 6: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

Kaspersky Industrial CyberSecurity: Lösungsüberblick 20176

KASPERSKY INDUSTRIAL CYBERSECURITY: SERVICES

Unsere Suite aus Services ist ein wichtiger Teil des Kaspersky Industrial CyberSecurity-Portfolios. Wir bieten eine umfassende Palette von Security Services, vom Cybersecurity Assessment bis hin zur Vorfallsreaktion.

Wissen (Schulung und Informationen)

Cybersecurity Trainings: Kaspersky Lab bietet Schulungskurse für IT-/OT-Sicherheitsexperten und ICS-Bediener und -Ingenieure. Während der Schulung erhalten die Teilnehmer Einsichten zu relevanten Cyberbedrohungen, Trends bei ihrer Entwicklung und zu effektiven Schutzmethoden vor diesen Bedrohungen.

Awareness-Programme: Um das Bewusstsein für relevante Cybersicherheitsprobleme zu erhöhen und die Fähigkeiten zu entwickeln, diese anzugehen und zu lösen, bietet Kaspersky Lab CyberSafety Games für Sicherheitsmanager und Techniker. Beispielsweise werden bei der Kaspersky Industrial Protection Simulation (KIPS) echte Cyberattacken auf industrielle Automatisierungssysteme simuliert und die wichtigsten Probleme bei der Bereitstellung industrieller Sicherheit aufgezeigt.

Intelligence Reporting: Aktuelle, von führenden Cybersicherheitsexperten zusammengestellte und auf die Anforderungen von Industriekunden zugeschnittene Sicherheitsberichte.

Expert Services

Cybersecurity Assessment: Unternehmen, die sich um die potentiellen betrieblichen Auswirkungen der IT-/OT-Sicherheit sorgen, bietet Kaspersky Lab ein minimal invasives Cybersecurity Assessment vor der Installation an. Dies ist ein maßgeblicher erster Schritt bei der Bestimmung der Sicherheitsanforderungen im Kontext der betrieblichen Anforderungen und bietet darüber hinaus wichtige Erkenntnisse zur vorhandenen Cybersicherheit, ohne dass weitere Schutztechnologien bereitgestellt werden müssen.

Lösungsintegration: Wenn die industriellen Steuerungssysteme eine spezielle Architektur haben oder auf angepassten Hardware- und Softwarekomponenten basieren, die in der Branche nicht weithin verwendet werden, kann Kaspersky Lab die empfohlenen Cybersicherheits-Tools auf diese Systeme anpassen. Dieser Service umfasst Unterstützung für spezielle Software- und Hardwaresysteme, einschließlich SCADA und SPS, und der zugehörigen Kommunikationsprotokolle für industrielle Netzwerke.

Vorfallsuntersuchung: Bei einem Cybersicherheitsvorfall erfassen und analysieren unsere Experten die Daten, rekonstruieren die Timeline des Vorfalls, bestimmen mögliche Quellen und Gründe und entwickeln einen Plan zur Problemlösung. Weiterhin bietet Kaspersky Lab einen Service zur Malware-Analyse. Dabei kategorisieren die Spezialisten von Kaspersky Lab die bereitgestellte Malware-Probe, analysieren deren Funktionen und Verhaltensweisen und stellen Empfehlungen sowie einen Plan auf, um die Malware zu entfernen und ein Rollback aller schädlichen Aktionen durchzuführen.

Page 7: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

Kaspersky Industrial CyberSecurity: Lösungsüberblick 20177

KASPERSKY INDUSTRIAL CYBERSECURITY: ZENTRALE SICHERHEITSVERWALTUNG

Für den bestmöglichen Schutz vor allen Angriffsvektoren, muss die Sicherheit für Industrieanlagen sowohl am Node, als auch auf Netzwerkebene ansetzen. Kaspersky Industrial CyberSecurity ist für optimale Kontrolle, einfache Verwaltung und hohe Transparenz ausgelegt und wird, wie alle Schutztechnologien von Kaspersky Lab, über eine einzige Management-Konsole, das Kaspersky Security Center, gesteuert. Diese zentralen Verwaltungsfunktionen gewährleisten eine einfache Kontrolle und hohe Transparenz nicht nur auf industrieller Ebene an mehreren Standorten, sondern auch auf den zugehörigen geschäftlichen Ebenen, wie in der Abbildung unten gezeigt.

Page 8: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

Kaspersky Industrial CyberSecurity: Lösungsüberblick 20178

KASPERSKY INDUSTRIAL CYBERSECURITY FOR NODES

Kaspersky Industrial CyberSecurity for Nodes wurde entwickelt, um die spezifischen Bedrohungen in ICS/SCADA-Umgebungen zu bewältigen. Die Lösung setzt am ICS/SCADA-Server, der Mensch-Maschine-Schnittstelle und auf Engineering-Workstation-Ebene an und stellt zuverlässigen Schutz vor unterschiedlichen, durch menschliche Faktoren, generische Malware, gezielte Angriffe oder Sabotage verursachten Cyberbedrohungen bereit. Kompatibilität mit den Software- und Hardware-Komponenten industrieller Automatisierungssysteme wie SCADA, PCS und DCS ist dabei gewährleistet.

Bedrohungen und Risikofaktoren Technologien von Kaspersky Lab

Nicht autorisierte Ausführung von

Software

Whitelists; Modi für Überwachung oder Erkennung

(kein Blockieren, sondern Registrieren)

Malware, einschließlich Zero-Day

Fortschrittlicher Malware-Schutz: signaturbasiert und

reaktionsschnell; Automatischer Exploit-Schutz und

Kaspersky (Private) Security Network (KPSN)

Netzwerkangriffe Hostbasierte Firewall und Network Attack Blocker

Nicht autorisierte Geräteverbindungen Gerätekontrolle

Software-Schwachstellen Vulnerability Scanning

Gefälschte SPS-Programme SPS-Integritätsprüfung

ICS-spezifische Funktionen: Air Gaps,

Fehlalarme (False-Positives) für

ICS-Software und -Prozesse usw.

Vertrauenswürdige Updates; KPSN; Zertifizierung durch

führende ICS-Anbieter; Zusammenarbeit bei Whitelists

Software- und Hardware-IntegritätskontrolleDie relativ statische Beschaffenheit von ICS-Endpoint-Konfigurationen bedeutet, dass Integritätskontrollmaßnahmen sehr viel effektiver sind als in dynamischen Unternehmensnetzwerken. Kaspersky Industrial CyberSecurity for Nodes umfasst u. a. die folgenden Technologien zur Integritätskontrolle:

Kontrolle von Programmstart und ProgrammberechtigungenProgrammkontrollmechanismen bieten u. a. die folgenden Vorteile:

• Steuerung von Programminstallation und Programmstart anhand von Whitelist- (Best Practice für industrielle Kontrollnetzwerke) oder Blacklist-Richtlinien

• Steuerung des Programmzugriffs auf Betriebssystemressourcen: Dateien, Ordner, Systemregistrierung usw.• Kontrolle aller in einer Windows-Umgebung ausgeführten Installationsdateien wie exe, dll, ocx, Treiber,

ActiveX, Skripte, Befehlszeilen-Interpreter und Kernelmodus-Treiber• Aktualisierung der Reputationsdaten von Programmen• Vordefinierte und kundendefinierte Programmkategorien zur Verwaltung von Listen kontrollierter

Programme• Feinabstimmung der Programmkontrollen für unterschiedliche Benutzer• Modi für Überwachung oder Erkennung: Blockieren aller Programme, die nicht in der Whitelist aufgeführt

sind oder sich nicht im Beobachtungsmodus befinden; Zulassen der Ausführung von Programmen, die nicht in der Whitelist aufgeführt sind, wobei diese Aktivität aber zur Überprüfung im Kaspersky Security Center registriert wird.

Page 9: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

Kaspersky Industrial CyberSecurity: Lösungsüberblick 20179

GerätezugriffskontrolleZugriffsverwaltung für Wechseldatenträger, Peripheriegeräte und System Busses je nach Gerätekategorie, Gerätefamilie und bestimmter Geräte-ID

• Unterstützung für Whitelists und Blacklists• Detaillierte Richtlinienzuweisung pro Computer und Benutzer für einzelne Benutzer/Computer oder

eine Gruppe von Benutzern/Computern• Modi nur für Überwachung oder nur für Erkennung

Hostbasierte Firewall und Network Attack Blocker

Einrichten und Durchsetzen der Netzwerkzugriffsrichtlinie für geschützte Nodes wie Server, HMIs oder Workstations Wichtige Funktionen:

• Zugriffskontrolle auf eingeschränkte Ports und Netzwerke• Erkennen und Blockieren von Netzwerkangriffen aus internen Quellen, z. B. Laptops von Auftragnehmern,

über die Malware eingeschleust werden kann, die den Host sofort nach Verbindung mit dem industriellen Netzwerk scannt und infiziert

Automatischer Exploit-Schutz

SCADA-Prozesse werden durch eine Isolationsschicht vor schädlichen Speicherinjektionen oder -änderungen wie z. B. Exploit-Nutzlasten geschützt.

SPS-Integritätsprüfung

Ermöglicht zusätzliche Kontrolle über die SPS-Konfiguration anhand regelmäßiger Überprüfungen bestimmter, durch Kaspersky Lab geschützte Server oder Workstations. Die Prüfsummen-Ergebnisse werden mit gespeicherten „Etalon“-Werten verglichen und Abweichungen gemeldet.

Moderner Malware-Schutz

Die hochwertigen Technologien zu Malware-Erkennung und Malware-Schutz von Kaspersky Lab wurden angepasst und umgestaltet, um dem intensiven Ressourcenverbrauch und den hohen Anforderungen an die Systemverfügbarkeit gerecht zu werden. Unser fortschrittlicher Malware-Schutz funktioniert sogar in statischen oder nur selten aktualisierten Umgebungen.Die Anti-Malware-Lösung von Kaspersky Lab umfasst die volle Palette von Technologien; dazu gehören:

• Signatur-, heuristische und verhaltensbasierte Malware-Erkennung• Zugriffs- und bedarfsabhängige Erkennung• Speicherinterne (speicherresidente) Erkennung• Erkennen von Rootkits• Kaspersky Security Network (KSN) und Kaspersky Private Security Network (KPSN) ermöglichen einen

erstklassigen Malware-Erkennungsservice.

Page 10: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

Kaspersky Industrial CyberSecurity: Lösungsüberblick 201710

Vertrauenswürdige Updates

Um sicherzustellen, dass die Sicherheits-Updates von Kaspersky Lab keine Auswirkungen auf die Verfügbarkeit des geschützten Systems haben, werden sowohl vor Datenbank-/Komponentenfreigaben als auch vor PCS-Software-/Konfigurations-Updates Kompatibilitätsüberprüfungen durchgeführt.

Potentielle Probleme bei der Ressourcenbelastung können anhand unterschiedlicher Szenarien gelöst werden:

• Kaspersky Lab führt Kompatibilitätstests zum Datenbank-Update mit der SCADA-Anbietersoftware in der Testumgebung von Kaspersky Lab durch.

• Der SCADA-Anbieter führt Kompatibilitätsüberprüfungen durch.• Kaspersky Lab überprüft die Updates der Sicherheitsdatenbank für Sie: SCADA, Workstation, Server

und HMI-Images werden in die Testumgebung von Kaspersky Lab integriert.• Die Sicherheits-Updates von Kaspersky Lab werden an Ihrem Standort getestet und über das Kaspersky

Security Center automatisiert.

Vulnerability Assessment

Funktionen zum passiven Vulnerability Assessment: Erkennung von und Informationen zu Software-Schwachstellen ohne jedwede Unterbrechung der Technologieprozesse

Zentrales Deployment und Management sowie zentrale Kontrolle

Kaspersky Industrial CyberSecurity for Nodes wird über eine zentrale Konsole bereitgestellt, die Folgendes ermöglicht:• Zentrale Verwaltung von Sicherheitsrichtlinien, Festlegen unterschiedlicher Schutzeinstellungen für

verschiedene Nodes und Gruppen• Vereinfachtes Testen von Updates vor der Einführung im Netzwerk, somit umfassende Prozessintegrität• Rollenbasierter Zugriff im Rahmen der Sicherheitsrichtlinien und dringenden Aktionen.

Page 11: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

Kaspersky Industrial CyberSecurity: Lösungsüberblick 201711

KASPERSKY INDUSTRIAL CYBERSECURITY FOR NETWORKS

Die Sicherheitslösung auf Netzwerkebene von Kaspersky Lab setzt an der Abstraktionsebene für die Prozesskontrolle an. Sie analysiert und prüft die Quellen für den Netzwerkverkehr und bietet gleichzeitig eine Integritätskontrolle für das industrielle Netzwerk und die industriellen Kontrollprozesse. Ein integrierter Stack komplementärer Technologien bildet eine effiziente Engine zur Erkennung anormalen Verhaltens.

Bedrohungen und Risikofaktoren Technologien von Kaspersky Lab

Plötzliches Vorhandensein nicht

autorisierter Netzwerkgeräte im

industriellen Netzwerk

Network Integrity Control entdeckt neue/unbekannte

Geräte

Plötzliches Vorhandensein nicht

autorisierter Kommunikation im

industriellen Netzwerk

Network Integrity Control überwacht die Kommunikation

zwischen bekannten/unbekannten Geräten

Schädliche SPS-Befehle durch:

• Bediener oder Drittanbieter (also

Auftragnehmer), versehentlich

• Insider (betrügerische Handlungen)

• Angreifer/Malware

Überwachen von Kommunikationen an und von den

SPS und Kontrolle der Befehls- und Parameterwerte der

Technologieprozesse

Fehlende Daten für Betreiber zu

Cybersicherheitsvorfällen

Melden verdächtiger Änderungen an technologischen

Prozessparametern an den Bediener

(über HMI-Integration)

Keine Daten für Untersuchungen und

Forensik

Forensik-Tools: Überwachung und sichere Protokollierung

von Vorfällen im industriellen Netzwerk

Passive Prüfung des industriellen Netzwerkverkehrs, effektive Sicherheitsüberwachung

Kaspersky Industrial CyberSecurity for Networks ermöglicht eine passive Analyse von anomalem Verhalten im Netzwerkverkehr und bleibt doch für potentielle Angreifer unsichtbar. Für die Installation muss lediglich die Port-Spiegelung aktiviert/konfiguriert werden, und eine einfache Integration in die existierende industrielle Infrastruktur wird über den SPAN-Port des vorhandenen Switches oder TAP-Geräts erzielt.

Page 12: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

Kaspersky Industrial CyberSecurity: Lösungsüberblick 201712

Hierarchische Architektur, Single Point of Control

Die passiv über den SPAN-Port oder das TAP-Gerät mit dem kontrollierten Netzwerksegment verbundenen Sensoren für den Netzwerkverkehr werden über eine einzige Kontrolleinheit verwaltet, die folgende Funktionen bietet:

• Abrufen und Speichern von Vorfallsdaten von allen Sensoren, Verwendung der Daten bei der Vorfallsreaktion und bei Untersuchungen/Forensik

• Melden aller erkannten Vorfälle und Anomalien an Drittanbietersysteme wie SIEM, Mail, Syslog-Server und Netzwerkmanagement-System über das SNMP-Protokoll

• Überwachen der gesamten Systemintegrität• Verwaltung über das Kaspersky Security Center oder die lokale Schnittstelle.

Vertrauenswürdige Überwachung der industriellen Prozesskontrolle

Mit der Lösung von Kaspersky Lab erhalten Industrieunternehmen eine vertrauenswürdige Plattform zur Überwachung des Befehlsflusses und der Telemetriedaten bei der Prozesskontrolle. Dies bietet u. a. die folgenden Vorteile:

• Erkennen beliebiger Befehle zur Neukonfiguration von SPS oder zu Änderungen am SPS-Status, darunter STOPP, PAUSE, SPS-Programm ändern, SPS-Firmware ändern

• Kontrolle von Parametern und Algorithmen beim Technologieprozess• Schutz vor externen Bedrohungen unter gleichzeitiger Risikosenkung von „erweiterten“ Insider-Störungen

durch Ingenieure, SCADA-Bediener oder andere interne Mitarbeiter mit direktem Systemzugriff.

Netzwerkintegrität und Ressourcentransparenz

Mit Kaspersky Industrial CyberSecurity for Networks können Sie alle mit dem Ethernet verbundenen Netzwerkressourcen identifizieren, darunter SCADA-Server, HMI, Engineering-Workstations, SPS und RTUs. Alle neuen oder unbekannten Geräte und die zugehörige Kommunikation werden automatisch erkannt. Dadurch erhalten Sicherheitsteams die Möglichkeit, ihre eigenen, zuverlässigen und sicheren Netzwerkbestände zur Ressourcenverwaltung zu entwickeln, statt potentiell anfällige OT/IT-Tools zu verwenden, auf die Angreifer es insbesondere abgesehen haben.

Forensik

Die Lösung von Kaspersky Lab stellt industriellen Benutzern ein sicheres Protokollsystem mit Tools zu Datenanalyse und Forensik bereit. Darüber hinaus lässt das System Änderungen an Systemereignissen nicht zu.

Page 13: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

Kaspersky Industrial CyberSecurity: Lösungsüberblick 201713

WEITERE SERVICES FÜR KASPERSKY INDUSTRIAL CYBERSECURITY-PRODUKTE: KASPERSKY SECURITY NETWORK

Das Kaspersky Security Network (KSN) ist eine Cloud-basierte, komplexe verteilte Architektur zur Erfassung und Analyse von Informationen zu Sicherheitsbedrohungen aus Millionen Nodes weltweit. Das KSN ermittelt und blockiert nicht nur die neuesten Bedrohungen und Zero-Day-Attacken, sondern unterstützt Kunden auch beim Auffinden von Online-Angriffsquellen und deren Aufnahme in eine Blacklist. So werden Reputationsdaten für Webseiten und Programme bereitgestellt.

Alle Unternehmenslösungen von Kaspersky Lab, einschließlich denen für industrielle Anwendungen, können auf Wunsch mit dem KSN verbunden werden. Wichtige Funktionen:

• Hervorragende Erkennungsraten• Kürzere Reaktionszeiten: Herkömmliche, signaturbasierte Antworten dauern Stunden, KSN antwortet

in etwa 40 Sekunden• Weniger Fehlalarme (False-Positives)• Reduzierter Ressourcenverbrauch für standortgebundene Sicherheitslösungen.

Kaspersky Private Security Network (KPSN)

Für Unternehmen mit speziellen Datenschutzanforderungen hat Kaspersky Lab das Kaspersky Private Security Network entwickelt. Es bietet so gut wie alle Vorteile des KSN, es werden aber keine Informationen an Ziele außerhalb des eigenen Netzwerks übertragen.

Das KPSN kann im Rechenzentrum eines Unternehmens installiert werden. Die eigenen IT-Spezialisten behalten so die vollständige Kontrolle. Lokale KPSN-Installationen können zur Erfüllung landesspezifischer Compliance-Anforderungen oder anderer branchenspezifischer gesetzlicher Auflagen nützlich sein.

Wichtigste Funktionen des KPSN

• Datei- und URL-Reputationsservices: MD5-Hashes für Dateien, reguläre Ausdrücke für URLs und Malware-Verhaltensmuster werden zentral gespeichert, kategorisiert und schnell auf dem Client bereitgestellt.

• Record Management System (RMS): Bisweilen treten Fehler in der Sicherheitssoftware auf, und Dateien oder URLs werden fälschlicherweise als vertrauenswürdig/nicht vertrauenswürdig eingestuft. RMS verhindert Fehlalarme (False-Positives), korrigiert Fehler und führt kontinuierliche Analysen zur Qualitätsverbesserung durch.

• Cloud-basierte Informationen

Page 14: KASPERSKY INDUSTRIAL CYBERSECURITY: LÖSUNGSÜBERBLICK … · • Betriebstechnologie (Operational Technology, OT) – Systeme für die industrielle Automatisierung. Viele IT-Sicherheitsstrategien

© 2016 Kaspersky Lab. Alle Rechte vorbehalten. Eingetragene Markenzeichen und Handelsmarken sind das Eigentum ihrer jeweiligen Rechtsinhaber.

Mehr zu Industrial CyberSecurity erfahren Sie hier: www.kaspersky.com/ics