7 Best Practices für den Aufbau eines SOC im OT-Umfeld

Durch die steigende Vernetzung in Produktionsanlagen und Kritischen Infrastrukturen sind die Arbeitsprozesse zwar effizienter geworden, aber den Vorteilen stehen auch Risiken gegenüber. In den vormals abgeschotteten Bereichen werden dadurch auch Einfallstore für Bedrohungen und digitale Angriffe geöffnet. Deswegen ist es zwingend erforderlich, dass dort präventiv Schwachstellen rechtzeitig erkannt und beseitigt werden. Außerdem müssen im Ernstfall konkrete Bedrohungen und Störungen schnell entdeckt werden, damit eine durchdachte und koordinierte Reaktion erfolgen kann. Dafür benötigt man eine zentrale Stelle im Betrieb, die sich ganzheitlich und dynamisch der Security aller Komponenten der Infrastruktur widmet, ein sogenanntes Security Operations Center, kurz SOC.

Aufgabe und Verantwortung eines Security Operations Centers

Soweit die Theorie. Leider ist es in der Praxis nicht ganz so einfach. Meist ist es historisch bedingt, dass die Betriebs-IT, das Anlagenpersonal und die IT-Abteilung, die für die Office-Infrastruktur zuständig ist, getrennt agieren. Es fehlt eine ganzheitliche Zusammenarbeit, die über Abteilungs- und Verantwortungsgrenzen hinweg erfolgt. Eine organisatorische Richtlinie für die Regelung der Zusammenarbeit bei Präventionsmaßnahmen und Incident Response existiert meistens nicht. Budgetgrenzen und der Fachkräftemangel sind weitere Gründe dafür, dass man diese notwendige zentrale Instanz häufig vernachlässigt.

Wie der Aufbau eines Security Operations Centers unter Berücksichtigung dieser Herausforderungen in der Praxis funktionieret, beschreiben wir nachfolgend.

1) SOC als Schnittstelle für alle Beteiligten

Wie es auch schon die IEC 62443 vorschlägt, haben alle Rollen, vom Betreiber über den/die Hersteller bis hin zu den Integratoren, ihren Anteil an der Verantwortung, um die Verfügbarkeit einer Anlage zu gewährleisten. Ein SOC stellt als zentrale koordinierende Instanz die Schnittstelle zu allen beteiligten Bereichen dar.

Anforderungen an Hersteller und Lieferanten zu formulieren, unterstützt eine strukturierte Implementierung von Security Operations. Hilfreich es ist zudem, eine Risikobewertung und entsprechende Lösungsansätze unter entsprechender Einbeziehung von Anlagenplaner und Integrator zu erstellen.

Im Vorfeld müssen Abnahmen und Kontrollen erfolgen. Implementieren Systemintegratoren die geforderten Security-Funktionen korrekt nach den Richtlinien und Prozeduren? Bilden Hersteller die geforderten Security-Merkmale in ihren Produkten ab?

2) Einen zentralen Kommandostand aufsetzen

So viel ist klar: Die Einrichtung eines SOC ist vorrangig eine organisatorische Aufgabe. Eine kleine Anzahl von Personen oder selbst eine Person kann die Rollen ausfüllen und die erforderlichen Aufgaben leisten. Das räumt mit dem Vorurteil auf, dass die Einrichtung eines SOC gleich mit einem hohen Kostenaufwand verbunden ist. Es geht um eine neue Herangehensweise im Umgang mit Sicherheitsvorfällen. Dadurch ändern sich bestehende Aufgaben und Kompetenzen, es kommen neue hinzu. Das geht mit einer Transformation und Erweiterung der Verantwortlichkeiten von vorhandenen Mitarbeitern einher.

Wenn es die individuellen Bedingungen zulassen, dann ist es sinnvoll, einen zentralen Raum für die Zusammenarbeit und Koordination der betroffene Mitarbeiter zur Verfügung zu stellen. Ein solcher Leitstand ermöglicht es, die Statusinformationen von Netzwerken, Servern, Rechnern und Services in Dashboards und Diagrammen auf Monitoren für alle sichtbar darzustellen. Das unterstützt eine schnelle Interaktion. Security-Analysten können proaktiv und reaktiv in der direkten Kommunikation mit den anderen Instanzen gegen Störungen vorgehen, egal, ob diese durch interne Fehlkonfiguration oder durch einen Cyberangriff verursacht sind.

Ein Security Operations Center als maßgebliche organisatorische und leitende Instanz kann im Minimalfall von einer Person, die für diese Aufgabe dediziert ist, besetzt sein. Die Übernahme dieser Funktion durch die IT- oder Betriebsleitung sorgt erfahrungsgemäß zu Konflikten. Dabei kann es entweder zu einer Vernachlässigung von Security-Themen kommen oder es entstehen Uneinigkeiten mit der jeweils anderen Partei. Sinnvoll ist eine neutrale Person, mit einem von IT und Betrieb unabhängigen Berichtsweg.

3) Proaktive Maßnahmen implementieren

Proaktive Tätigkeiten dienen dazu, Störfälle bereits im Vorfeld zu erkennen und somit zu vermeiden und geeignete Schutzmaßnahmen zu etablieren. Beispiele dafür sind:

• Security Assessments:
  • Bestandsaufnahme aller vorhandenen aktiven und passiven Komponenten der Infrastruktur sowie das Erfassen und die Dokumentation der gesamten Netzwerktopologie
  • Suchen und Erkennen von Schwachstellen in der Infrastruktur und deren Beseitigung
• Aufsetzen eines zentralen Managements aller vorhandenen Security Appliances
• Betrieb und Wartung von Security-Lösungen: Firewalls, IDS/ IPS Systeme, DDOS-Schutz, Identitätsmanagement, SIEM, etc.
• Incident-Response-Planung: Durchdenken von organisatorischen und technischen Regelungen und Maßnahmen, um für den Ernstfall gewappnet zu sein
• Absicherung von Netzwerkbereichen durch Segmentierung und Firewalls
• Etablierung eines Patch-Managements
• Sicherheitsrelevante Einschätzung und Vorauswahl von Herstellern und Lieferanten für die Anschaffung von neuen Systemen
• Reporting zur Arbeit des SOC über alle sicherheitsrelevanten Systeme (Erfüllung von Security Levels und Compliance Nachweisen)
• Regelmäßige Analysen zur aktuellen Bedrohungslage (sind die Systeme von aktuellen Exploits betroffen?)

4) Reaktive Maßnahmen implementieren

Vor dem Hintergrund, dass Cyberangriffe hinsichtlich Ihrer Komplexität und Häufung stetig steigen, reicht es heutzutage nicht mehr aus, sich lediglich den vorbeugenden Maßnahmen zu widmen. Hacker werden diese proaktiven Schutzmaßnahmen in unbestimmter Zeit überwinden. Der Fokus sollte auf einer kontinuierlichen Überwachung in Echtzeit und der Vorbereitung erprobter Maßnahmen als Reaktion auf Auffälligkeiten liegen. Folgende Vorgehensweise hat sich bewährt:

• Definition eines Soll-Zustands: Erfassung aller OT- und IT-Assets und ihrer notwendigen Verbindungen
• Aufsetzen eines betriebseigenen Security Monitorings. Aufgrund des limitierten Einsatzes von Monitoring-Agenten im OT-Bereich wird das Monitoring optimalerweise durch eine Echtzeit-Überwachung des Netzwerkverkehrs verstärkt
• Dies ermöglicht eine unmittelbare Erkennung von Anomalien und deren Klassifizierung
• Alarmierung bei erkannten Angriffen und Störfällen
• Reaktion (Incident Response) auf Störungen, erkannte Anomalien und Angriffe mit fortlaufender Information über deren Status
• Bereithaltung und Aufbereitung von aufgezeichneten Daten für die forensische Untersuchung während und nach einem Vorfall
• Bedrohungs- und Risikoanalysen: fortlaufende Beurteilung eines sich stetig ausweitenden und verändernden Bedrohungsfelds

5) IT und OT im SOC zusammenführen

Vernetzte Produktionsanlagen in Kritischen Infrastrukturen abzusichern, ist wichtig und dringend. Ein SOC sollte eine gemeinsame und übergreifende Aufgabe von IT und OT Bereich sein, eine effiziente Umsetzung geht nur als Team. Durch die Konvergenz von IT und OT steigt das Schadensausmaß von Cyberangriffen in einer drastischen Form an. Der Grund dafür ist, dass sich Störfälle in einer der beiden Domänen unmittelbar auf die andere auswirken beziehungsweise sie sogar beeinträchtigen oder schädigen können. Von daher ist es alternativlos, dass die Security Operations für beide Bereich zusammengeführt werden müssen.

Unterschiedliche Anforderungen berücksichtigen

Es ist wichtig, dass beide Parteien ein gegenseitiges Verständnis für die unterschiedliche Technologie und Motivation für Security entwickeln. Den Lebenszyklen von 3-5 Jahren bei Komponenten im IT Bereich stehen Laufzeiten von 20 Jahren und mehr im OT Bereich gegenüber. Dies führt zu vollkommen unterschiedlichen Schutzstrategien, da in der IT in der Regel Sicherheits-Updates über die Lebenszeit eines Gerätes bereitgestellt werden. Das ist im OT- Bereich ganz anders. Ein weiterer Unterschied ist zum Beispiel die Anforderung an die Echtzeitfähigkeit der Steuerungselektronik, die durch ein nachträgliches Security Update gefährdet sein kann.

Im IT-Bereich ist das Stoppen von bestimmten Komponenten und Services ein durchaus valides Mittel zur Eindämmung einer Störung. Dagegen ist in einer Produktionsumgebung der ungestörte Ablauf der aufeinander abgestimmten Produktionsschritte essenziell für die Herstellung des Produkts. Es gilt, das aufwendige Hochfahren des Produktionsprozesses nach einer ungeplanten Auszeit zu verhindern. Eine stehende Produktion ist mit einem Umsatzausfall gleichzusetzen.

Threat Mitigation und Incident Response

Unterschiedliche Fähigkeiten im Betrieb müssen den Anforderungen entsprechend organisiert werden. Es geht darum, Bedrohungen zu erkennen und behandeln zu können (Threat Mitigation) und effektiv auf Störungen reagieren zu können (Incident Response). So muss die OT beispielsweise im Rahmen des Risikomanagements eine Einschätzung zum Schadensausmaß liefern. Die IT (-Security) nimmt dagegen eine Beurteilung der Eintrittswahrscheinlichkeit vor und macht Vorschläge für Gegenmaßnahmen.

Dies trifft auch auf die Zusammenarbeit im Rahmen eines Incident-Response-Szenarios zu. Die OT muss festlegen, ob und wie lange eine Anlage abgeschaltet wird und was nötig ist, damit IT-Security den Vorfall identifizieren und beheben kann.

6) Kosten- und Effizienzvorteile eines Managed SOC

Die zunehmende Komplexität und Häufigkeit von Bedrohungsszenarien macht die kontinuierliche Auseinandersetzung mit Security Operations und damit die Implementierung eines SOC unumgänglich. Die Herausforderung bei der Umsetzung besteht meist in begrenzen Ressourcen.

Ein „SOC as a Service“ bietet eine valide Alternative, um die Engpässe bei Fachkräften und bei Budgets zu überwinden. Damit der Mehrwert eines SOC greifen kann, sind spezielle Kompetenzen der Mitarbeiter und dedizierte Systeme notwendig. Extern beauftragte SOC-Spezialisten haben durch die Vielzahl von betreuten Kunden aus unterschiedlichen Branchen eine umfassende Kenntnis über aktuelle Bedrohungen und einen routinierten Umgang mit den erforderlichen Schutzmaßnahmen. Im Idealfall können Störfälle deutlich schneller gelöst und dadurch auch die Kosten eines Sicherheitsvorfalls reduziert werden. Nichtsdestotrotz sollte kritisch hinterfragt werden, wie die Experten bei einem Vorfall bei mehreren Kunden Ihre Verfügbarkeit priorisieren.

Ein solcher Service hat natürlich auch seinen Preis. Die meiste Zeit verbringt ein SOC-Basis-Analyst mit dem Monitoring der Systeme, ohne dass ein Vorfall stattfindet. Sicherlich besteht die Möglichkeit, solche Leerlaufzeiten durch das eigene Betriebspersonal abzudecken. Ein hausinternes Security-Team ist näher und vertrauter mit der Infrastruktur und kann bei einfachen Störfällen schnell tätig werden.

Durch ein betriebseigenes Monitoring können die Ausgaben erheblich minimiert und die Aufgaben der SOC-Spezialisten auf die Erkennung und Lösung von mehrschichtigen komplexen Angriffsszenarien konzentriert werden.

7) Kooperation verschiedener SOCs fördern

Die Zusammenarbeit verschiedener SOCs, beispielweise aus der gleichen Branche, macht Sinn, denn ein aktueller Wissensstand ist besonders wichtig, um Angriffe im Ansatz zu erkennen. Neu entdeckte Exploits, erkannte Muster in Malware und typische Vorgehensweisen von Angreifern sorgen für eine effektive Thread Intelligence. Hierfür müssen die einzelnen Unternehmen aus ihrer Isolation heraustreten und sich für einen Informationsaustausch öffnen. Teilt ein Informationspartner die Hintergründe eines Sicherheitsvorfalls mit Ihnen, kann dieser vielleicht vorausschauend in Ihrem Betrieb verhindert werden. Das gilt natürlich auch umgekehrt.

Fazit

Insgesamt hilft ein SOC vor allem dabei, die Security-Strategie weg von punktuellen Einzelmaßnahmen hin zu einer ganzheitlichen Überwachung und damit schnelleren und effektiveren Bekämpfung von Störfällen zu führen. Das Ergebnis ist ein dynamisches und flexibles Security-Konzept, das sich der bestehenden Sicherheitslage anpasst. Der Erfolg der Security-Maßnahmen ist damit einfacher zu messen und zu optimieren. Diese neu erlangte Übersicht über die Sicherheitslage der eigenen IT- und OT-Infrastruktur liefert aussagekräftige Reports. Diese sind die Grundlage für eine fundierte Planung und Budgetierung für weitere Investitionen.

Herzlichen Dank an Justus Reich – Security Solutions Architect bei IBM – für die Unterstützung beim Entwurf des Artikels!

Der Industrial Security Guide zum schnellen Einstieg

Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.

Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.

Hier gehts zum Download!

Ihre Daten sind bei uns sicher. Datenschutzerklärung