Skip to main

Kaspersky hat seine Lösung Kaspersky Industrial CyberSecurity [1] um Endpoint-Detection-and-Response (EDR)-Funktionalitäten erweitert. Damit erhalten Kunden sofortige Einsicht in Sicherheitsvorfälle innerhalb ihrer Betriebstechnologie (Operational Technology, OT) und können entsprechende Maßnahmen einleiten. Die Lösung hilft dabei, versteckte Schwachstellen in Netzwerken aufzudecken – seien es Sicherheitslücken, Fehlkonfigurationen oder die Nichteinhaltung von Richtlinien und Vorschriften. Mit den neuen Funktionen zur aktiven Abfrage und einer Übersicht der physischen Topologie erhalten Unternehmen eine erweiterte Sicht auf die Anlagen in ihrem OT-Netzwerk und deren Verbindungen. Die tiefere Integration von Kaspersky Industrial CyberSecurity for Nodes [2] und Kaspersky Industrial CyberSecurity for Networks [3] verbessert zudem die Transparenz und Kontrolle des OT, die Einhaltung der Compliance und den Schutz vor Bedrohungen.

Die Konvergenz von IT und OT bringt eine wachsende Anzahl von Verbindungen, Geräten und Diensten für Industrieunternehmen mit sich. Kontrolle, Verfügbarkeit, Sicherheit und Compliance aufrecht zu erhalten erfordert deshalb eine neue Generation dedizierter Sicherheitslösungen. Laut IDC Worldwide IT/OT Convergence 2022 Predictions [4] werden bis zum Jahr 2024 30 Prozent der Industrieunternehmen zentralisierte Security-Management-Tools einsetzen, um die Lücke zwischen IT und OT zu schließen. Die aktualisierte Plattform rund um Kaspersky Industrial CyberSecurity ermöglicht dies.

EDR für OT bietet schnellere Erkenntnisse über Cybersicherheitsvorfälle

Mit EDR in Kaspersky Industrial CyberSecurity for Nodes kann ein Cybersicherheitsteam schädliche Aktivitäten verfolgen, die Ursache durch Visualisierung der Angriffsausbreitung analysieren und Reaktionsmaßnahmen auf SCADA-Computern und Workstations durchführen. Die Lösung bietet eine breite Palette von Reaktionsmaßnahmen, die sich nicht auf den industriellen Prozess auswirken, außer der Anwender stößt dies explizit an. Dazu gehören unter anderem Quarantäne oder Entfernung eines schädlichen Objekts und ein Verbot der Ausführung eines schädlichen Prozesses in der Zukunft. Um sicherzustellen, dass sich die Bedrohung nicht auf andere Maschinen ausbreitet, können Sicherheitsspezialisten Indicators of Compromise) (IoCs) oder Artefakte erstellen, die darauf hinweisen, dass ein System angegriffen wurde. Auf Grundlage dieser IoCs können dann endpunktübergreifende Maßnahmen durchgeführt werden.

Die EDR-Funktionalität wird als Teil von Kaspersky Industrial CyberSecurity for Nodes bereitgestellt, ohne dass zusätzliche Hardware installiert werden muss. Sie funktioniert auf jedem Betriebssystem, einschließlich Windows XP, und ist für industrielle Netzwerke geeignet, da sie diese nicht mit Datenverkehr überlastet und keine Auswirkungen auf ICS-Hosts hat. Darüber hinaus erfordert die Lösung keine besonderen Kenntnisse von IT- oder OT-Sicherheitsadministratoren.

Risiko- und Compliance-Bewertung zur Bekämpfung versteckter Bedrohungen

Mit Kaspersky Industrial CyberSecurity for Networks können Kunden einen risikoorientierten Ansatz für die Cybersicherheit umsetzen. Das Produkt kann Schwachstellen aufdecken, die die Integrität von OT-Systemen gefährden oder die Unterbrechung technologischer Prozesse verursachen können. Zu den abgedeckten Bereichen gehören anfällige Netzwerkarchitekturen (Zugang zu externen Netzwerken, fehlende Segmentierung, Geräte mit mehreren Standorten), schwache Host-Sicherheitseinstellungen (offene Ports, fehlende Autorisierung, deaktivierte Firewalls), veraltete, anfällige, unerwünschte, unverschlüsselte Protokolle und Anomalien in Netzwerkprotokollen, veraltete Betriebssysteme, nicht autorisierte Geräte und Schwachstellen in speicherprogrammierten Steuerungen (Programmable Logic Controller, PLC). Alle Risiken werden in der Verwaltungskonsole nach Schweregrad eingestuft, so dass sich die Sicherheitsteams zunächst auf die kritischsten Risiken konzentrieren können.

Das aktualisierte Kaspersky Industrial CyberSecurity for Nodes ist in der Lage, OT-Hosts oder eine Gruppe von Hosts automatisch auf Schwachstellen in der Software, Fehlkonfigurationen und die Einhaltung lokaler oder internationaler Vorschriften und Unternehmensrichtlinien zu prüfen. Das Produkt verwendet OVAL-Inhalte (Open Vulnerability and Assessment Language), um Hosts zu bewerten. Standardmäßig bietet das Produkt eine SCADA-Schwachstellendatenbank von Kaspersky ICS-CERT im OVAL-Format. Es kann jede beliebige OVAL-Datenbank verwendet werden, darunter NIST-, CIS- oder andere Vorschriften oder nutzerdefinierte Samples.

Netzwerktransparenz und Maschinen-Scanning für mehr Kontrolle und eine gesteigerte Reaktionsfähigkeit

Die Netzwerk- und Gerätetransparenz wird durch aktive Abfragen und die Abbildung der physikalischen Topologie des industriellen Netzwerks in Kaspersky Industrial CyberSecurity for Networks optimiert. Diese aktiven Abfragen helfen bei der Identifizierung von Anlagen in OT-Systemen und ihrer Konfiguration, während eine Topologiekarte die Netzwerkarchitektur visualisiert – etwa wie Anlagen physisch verbunden sind und miteinander kommunizieren. Anhand dieser Daten können OT-Anwender oder Sicherheitsteams schnell erkennen, wo im Netzwerk ein Problem auftritt und auf welches physische Objekt im Produktionsbereich es sich bezieht.

OT-Sicherheitsexperten erhalten mit Kaspersky Industrial CyberSecurity for Nodes zudem einen tragbaren USB-Scanner, der bei Maschinen eingesetzt werden kann, auf denen die Installation von Software, einschließlich Cybersicherheitsprodukten, durch gewisse Richtlinien eingeschränkt ist. Dabei kann es sich um alte Endgeräte mit veralteter Software handeln oder die zu kritisch sind, um etwas auf ihnen zu installieren. Ein weiterer Anwendungsfall sind Geräte von Subunternehmern, die innerhalb des OT-Netzwerks des Kunden eingesetzt werden. OT-Sicherheitsspezialisten können einen einfachen USB-Stick verwenden, um den Scanner von Kaspersky Industrial CyberSecurity for Nodes herunterzuladen und dann die isolierte Maschine damit zu scannen. Der Scanner installiert nichts auf dem Gerät, sondern liefert Informationen über alle gefundenen Bedrohungen, so dass die Sicherheitsteams die notwendigen Maßnahmen planen und ergreifen können.

Als Plattform gewährleistet Kaspersky Industrial CyberSecurity auch die native Integration aller Komponenten, einschließlich Kaspersky Industrial CyberSecurity for Nodes für Windows und Linux, sowie die Orchestrierung über eine einzige Verwaltungsplattform. Die tiefere Integration von Kaspersky Industrial CyberSecurity for Nodes und Kaspersky Industrial CyberSecurity for Networks ermöglicht Netzwerkwarnungen, die mit Daten über einen Host, seine Prozesse und den Nutzer, unter dem er gestartet wurde, angereichert sind. IT-/OT-Sicherheitsteams, SOC-Analysten und SCADA-Betreiber haben dadurch einen besseren Überblick über verdächtige Aktionen und können konkrete Entscheidungen über Reaktionsmaßnahmen treffen.

„Mit diesem Update geben wir unseren Kunden eine risiko- und Compliance-orientierte OT-Sicherheitsmanagement-Plattform an die Hand“, kommentiert Andrey Strelkov, Senior Product Manager bei Kaspersky. „Kaspersky Industrial CyberSecurity deckt Vorfälle und versteckte Schwachstellen, Fehlkonfigurationen und andere wunde Punkte im System auf, um das Risiko einer Unterbrechung kritischer Industrieprozesse zu minimieren. Zusammen mit den Cybersecurity-Produkten für die Unternehmens-IT ist Kaspersky Industrial Cybersecurity ein entscheidendes Element des Schutzes für Industrieunternehmen, das ihre Anlagen vor jeder Art von Bedrohung ansichert, unabhängig davon, ob versucht wird, die IT oder die OT auszunutzen. Durch die native Integration aller Komponenten im Ökosystem und mit einer einzigen Management-Plattform implementieren wir schrittweise das Extended-Detection-and-Response-(XDR) Konzept für industrielle Cybersecurity in unserem Portfolio.“

 

Weitere Informationen zu Kaspersky Industrial CyberSecurity unter https://www.kaspersky.de/enterprise-security/industrial  

 

[1] https://www.kaspersky.de/enterprise-security/industrial

[2] https://ics.kaspersky.de/products/#tab-2

[3] https://ics.kaspersky.de/products/#tab-1

[4] https://www.idc.com/research/viewtoc.jsp?containerId=US47131521


Nützliche Links:

Kaspersky Industrial CyberSecurity nun mit EDR-Funktionen und Risk & Compliance-Assessment für OT

Kaspersky-Lösung funktioniert auf jedem Betriebssystem, einschließlich Windows XP, und ist für industrielle Netzwerke geeignet
Kaspersky Logo