Claroty, Anbieter von Cybersicherheit für Industrieunternehmen, bietet mit Version 3.5 seiner Lösung Continuous Threat Detection (CTD) ein laufendes Security-Monitoring für OT (Operational Technology, industrielle Betriebstechnik) und IoT-Geräte (Internet of Things) im Unternehmen. CTD 3.5 soll damit für mehr Durchblick in OT/IoT-Netzwerken sorgen. Eine automatische Gruppierung von Geräten erleichtere die Durchsetzung von Sicherheitsrichtlinien, während Machine Learning (ML) das Grundrauschen unkritischer Warnmeldungen reduzieren soll.

Passive Überwachung und DPI

CTD 3.5 arbeitet – wie bei OT-Sicherheitslösungen üblich – mittels rein passiver Überwachung des Netzwerk-Datenverkehrs, da die Hersteller der Maschinen und Anlagen im Industrieumfeld ein Aufspielen von Agenten etc. nicht gestatten. Die Lösung nutzt dazu Clarotys hauseigene DPI-Technik (Deep Packet Inspection) für OT- und IoT-Gerätschaft. Sie erkennt IoT-Geräte im Netzwerk laut Hersteller automatisch und klassifiziert sie anhand statischer wie auch verhaltensbezogener Attribute. Anschließend melde sie bekannte Schwachstellen und mit den Assets verbundene Risiken, überwache die Umgebung kontinuierlich auf Bedrohungen und melde zudem Richtlinienverletzungen.

Das ML-basierte Alerting von CTD 3.5 korreliert laut Claroty die Ereignisse im Netzwerk mit bekannten Verhaltensmustern, um unwichtige Alarme herauszufiltern, sodass das SOC-Team (Security Operations Center) sich besser auf kritische Vorfälle konzentrieren kann. Zudem veranschauliche man per kontextbezogener Visualisierung die Ereigniskette, um Tempo, Effizienz und Genauigkeit der Reaktion auf Vorfälle zu erhöhen.

„ML hilft uns bei der Triage (Priorisierung des Handlungsbedarfs, d.Red.) angesichts der Fülle einströmender Informationen“, erläuterte Galina Antova, Mitbegründerin und Chief Business Development Officer von Claroty, im Gespräch mit LANline, „aber es fließt außerdem sehr viel proprietäres Know-how von uns in die Entscheidungen mit ein.“ So prüfe zum Beispiel ein Assessment-Tool die OT/IoT-Geräte auf offene SMB-Ports hin, ebenso auf bekannte Schwachstellen oder Konfigurationsfehler. Beispielsweise könne ein Industrie-Controller, der mit zwei Ingenieur-Workstations verbunden ist, zwar im Prinzip ein Redundanzmechanismus sein, so Antova, in der Regel aber handle es sich dabei um einen Konfigurationsfehler – oder gar um einen Rechner, den ein Angreifer gespiegelt hat.

Entsprechend kann es laut Antova ein Problem für das ML-Baselining darstellen, wenn ein kompetenter Angreifer bereits in das Netzwerk eingedrungen ist und ein ICS (Industrial Control System, Industriesteuerungsgerät) manipuliert hat. Ein solcher Fall ist laut der Claroty-Expertin allerdings „selten“.

Inkosistente Prozesse aufzeigen

Ein weiterer Vorteil dieses Security-Assessments liegt laut Antova darin, dass viele Industrieunternehmen dadurch überhaupt erst ein klares Bild ihres Geräte- und Anlagenbestands sowie ihrer Prozesse erhalten: „Viele Unternehmen haben inkonsistente Prozesse, zum Beispiel weil sie viel mit Subunternehmern arbeiten. Wir verschaffen ihnen dann oft erstmals Sichtbarkeit, wie ihre Prozesse tatsächlich aussehen.“ Dies bilde dann die Basis für die anschließende laufende Bewertung durch CTD – ein reines Assessment als Service biete Claroty hingegen nicht an, man verstehe sich nicht als „Services-Company“.

CTD gruppiert Netzwerkressourcen mit ähnlichen Verhaltensweisen und Attributen laut Claroty-Angaben automatisch. Anschließend identifiziere die Software die Beziehungen zwischen den logischen Gruppen und erzeuge automatisch detaillierte Informationen darüber. Über Richtlinien könne man Berechtigungsstufen und Zonen mit unterschiedlcihen Vertrauens-Levels etablieren. Dies soll es erleichtern, die Risiken einzuschätzen, die von logischen Verbindungen zwischen den Zonen ausgehen. Die Risiko-Scoring-Werte für Verdächtigkeit und Kritikalität sind automatisch vorgegeben, so Antova gegenüber LANline, ein Unternehmen könne aber manche Aspekte anpassen.

Neben Scoring und Warnhinweisen liefert die Software laut Mitbegründerin Antova auch detaillierte Beschreibungen zu Sicherheitslücken sowie Handlungsempfehlungen. „Unser Adressat ist typischerweise der SOC-Analyst“, so Antova, „und der hat eventuell nicht das nötige OT-Know-how, um zu wissen, was bei einem Vorfall zu tun ist.“ Deshalb biete Claroty neben Empfehlungen auch SOC-Analystentrainings und Best-Practice-Runbooks.

Claroty ist ein israelisch-amerikanischer Anbieter mit Hauptsitz in New York und Entwicklung in Tel Aviv. Die Gründung erfolgte mithilfe des Security-Anbieters/-Inkubators Team8. Das Unternehmen entstammt damit also dem militärisch-industriellen Umfeld, wie man dies bei dortigen Security-Firmen häufig findet – und was Claroty auch aktiv als Marketing-Argument nutzt. Das Unternehmen hat laut Antova rund 130 Mitarbeiter, von denen etwa die Hälfte in R&D (Forschung und Entwicklung) arbeiten. „Rund 50 sind mit reiner Forschung beschäftigt“, so die Mitbegründerin. Zu den Investoren zählen diverse namhafte Industrieanbieter wie Siemens, Rockwell und Schneider Electric (über Aster Capital), darunter auch BMW i Ventures.

Security by Design

Auf die Frage, inwieweit Claroty über das reine Security-Monitoring auch in „Security by Design“-Kooperationen eingebunden ist, erklärte Antova, man unterhalte mit einigen Herstellern auch längerfristige Integrationspartnerschaften für „native Fähigkeiten“. So laufe Claroty-Code nativ auf den Ruggedcom-Industrie-Switches und -Routern von Siemens. Rockwell wiederum nutze Claroty für umfangreiche Angebote bis hin zu Managed-Security-Services. Des Weiteren pflege man ein umfangreiches Partner-Ökosystem, das neben OT-Herstellern auch Netzwerk- und Security-Anbieter von Cisco bis Palo Alto Networks und Tripwire umfasse. Dieses Ökosystem hat Claroty jüngst um Arubas ClearPass NAC-Plattform (Network Access Control) und Fortinets Fortigate-Firewalls erweitert.

Ergänzend zu Monitoring und Analyse bietet Clarotys Software Threat-Intelligence-Funktionalität, also kuratierte Feeds zu Zero-Day-Schwachstellen, IoT- und OT-spezifischen Angriffsindikatoren (Indicators of Compromise, IoCs) sowie aktuelle Informationen zu den Taktiken, Techniken und Verfahren der Bedrohungsakteure. Als Implementierungsdauer der Lösung bis zur Ausgabe aussagekräftiger Alerts einschließlich brauchbarer ML-Ergebnisse nannte Antova einen Zeitraum von zwei Tagen bis zwei Wochen. Die Lizenzierung erfolgt pro Standort, wobei es eine Preisstaffelung nach Standortgrößen gibt.

Weitere Informationen finden sich unter www.claroty.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.