Kaspersky erweitert Industrial CyberSecurity
Besserer Schutz für Industrienetze
Kaspersky hat seine Lösung Industrial CyberSecurity um EDR-Funktionen (Endpoint Detection and Response) erweitert. So erhalte ein Unternehmen sofort Einblick in Sicherheitsvorfälle seiner industriellen Betriebstechnik (Operational Technology, OT) und könne entsprechende Maßnahmen einleiten. Eine tiefere Integration der Kaspersky-Lösungen Industrial CyberSecurity for Nodes und Industrial CyberSecurity for Networks verbessere zudem den Überblick, die Compliance (Einhaltung von Vorschriften) und den Schutz vor Bedrohungen.
Mit den EDR-Funktionen in Industrial CyberSecurity for Nodes kann ein Cybersicherheitsteam laut Kaspersky-Angaben schädliche Aktivitäten verfolgen, die Ursache durch Visualisierung des Angriffsverlaufs analysieren und Reaktionsmaßnahmen auf Scada-Rechnern und Workstations durchführen. Die Lösung biete eine breite Palette von Reaktionsmaßnahmen, die sich nicht auf den industriellen Prozess auswirken, sofern der Anwender dies nicht explizit anstößt. Dazu zählen die Quarantäne oder Entfernung eines schädlichen Objekts und das Verbot der Ausführung eines schädlichen Prozesses. Um sicherzustellen, dass sich die Bedrohung nicht auf andere Maschinen ausbreitet, könne das Security-Team IoCs (Indicators of Compromise) oder Artefakte erstellen, um dann endpunktübergreifende Maßnahmen durchzuführen.
Die EDR-Funktionalität steht laut Kaspersky als Bestandteil von Industrial CyberSecurity for Nodes bereit, ohne dass man zusätzliche Hardware installieren muss. Sie funktioniere auf jedem Betriebssystem, einschließlich Windows XP, und eigne sich für industrielle Netzwerke, da sie diese nicht mit Datenverkehr überlaste und keine Auswirkungen auf Industriesteuerungs-Hosts habe.
Risiko- und Compliance-Bewertung
Mit Industrial CyberSecurity for Networks kann ein produzierendes Unternehmen laut Kaspersky einen risikoorientierten Ansatz für die Cybersicherheit umsetzen. Die Lösung decke Schwachstellen auf, die die Integrität von OT-Systemen gefährden oder die Unterbrechung technischer Prozesse verursachen können.
Zu den abgedeckten Bereichen gehören laut Kaspersky-Angaben anfällige Netzwerkarchitekturen (Zugang zu externen Netzwerken, fehlende Segmentierung, Geräte mit mehreren Standorten), schwache Host-Sicherheitseinstellungen (offene Ports, fehlende Autorisierung, deaktivierte Firewalls), veraltete, anfällige, unerwünschte, unverschlüsselte Protokolle und Anomalien in Netzwerkprotokollen, veraltete Betriebssysteme, nicht autorisierte Geräte und Schwachstellen in speicherprogrammierbaren Steuerungen (Programmable Logic Controller, PLC). Alle Risiken stufe die Lösung in der Verwaltungskonsole nach Schweregrad ein, sodass sich die Sicherheitsteams auf die kritischsten Risiken konzentrieren können.
Das aktualisierte Industrial CyberSecurity for Nodes könne OT-Hosts oder eine Gruppe von Hosts automatisch auf Schwachstellen in der Software, Fehlkonfigurationen sowie die Einhaltung lokaler oder internationaler Vorschriften und Unternehmensrichtlinien hin prüfen. Die Lösung verwende Oval (Open Vulnerability and Assessment Language), um Hosts zu bewerten. Sie nutze eine Scada-Schwachstellendatenbank von Kaspersky im Oval-Format, arbeite aber mit jeder beliebigen Oval-Datenbank zusammen.
Aktive Abfragen helfen laut Kaspersky bei der Identifizierung von Anlagen in OT-Systemen und ihrer Konfiguration, eine Topologiekarte visualisiere die Netzwerkarchitektur – etwa wie Anlagen physisch verbunden sind und miteinander kommunizieren. So könne man schnell erkennen, wo im Netzwerk ein Problem auftritt und welches physische Objekt im Produktionsbereich es betrifft.
OT-Sicherheitsfachleute erhalten mit Industrial CyberSecurity for Nodes zudem einen tragbaren USB-Scanner für den Einsatz bei Maschinen, auf denen die Installation von Software, einschließlich Cybersicherheitsprodukten, durch Richtlinien eingeschränkt ist. Man könne einen einfachen USB-Stick verwenden, um den Scanner von Industrial CyberSecurity for Nodes herunterzuladen und dann die isolierte Maschine damit zu scannen. Der Scanner installiere nichts auf dem Gerät, sondern liefere nur Informationen über alle gefundenen Bedrohungen.
Kaspersky Industrial CyberSecurity biete eine native Integration aller Komponenten, einschließlich Industrial CyberSecurity for Nodes für Windows und Linux, sowie die Orchestrierung über eine einzige Verwaltungsplattform. Die tiefere Integration von Industrial CyberSecurity for Nodes und Industrial CyberSecurity for Networks ermögliche Netzwerkwarnungen, die mit Daten über einen Host, seine Prozesse und den Nutzer, unter dem er gestartet wurde, angereichert sind. Dies verbessere den Überblick über verdächtige Aktionen und erleichtere damit die schnelle Reaktion.
Lesen Sie mehr zum Thema
