Viel ist passiert seitdem wir das erste reinrassige Asset Management System für die OT eingeführt haben, und 2019 war das Jahr mit der steilsten Lernkurve. In diesem Blogartikel beschreiben wir auf der Basis dieser Erfahrungen die wichtigsten Markttrends für 2020, und welche Auswirkungen sie auf unsere Produktstrategie und Roadmap für die OT-BASE Asset Management Platform haben.

Trend Nummmer 1: “Passive Scanning” wird irrelevant für die Erstellung von Asset-Inventaren

Die Vorbehalte gegenüber der aktiven Abfrage von OT-Geräten fallen in sich zusammen, nachdem die Nachteile des “Passive Scanning” und die Vorteile des aktiven Probings deutlich geworden sind. Passives Mithören liefert viel zu wenig Daten, um für ein praktisch nutzbares Asset-Inventar zu erstellen. Denken Sie an die Netzwerktopologie, an die installierten Softwareanwendungen, Sicherheitspatches, Firmwareversionen usw. All diese Daten können exakt mit einer aktiven Lösung ermittelt werden, nicht aber durch einfaches Mithören des Netzwerkverkehrs.

Hinzu kommt der Kostenfaktor. Der Kauf, die Installation und die Wartung der Hardware, die für passive Lösungen erforderlich ist, wird zum Projektkiller für große Unternehmen mit Hunderten oder Tausenden von Subnetzen. Vergleichen Sie dies mit einer reinen Softwarelösung mit zentralem Management, einfachen Produktupdates und Null Lizenzkosten pro Discovery-Knoten.

Was ist aktives Probing, und welche Unterschiede gibt es zum “Passive Scanning”? Schauen Sie sich dieses kurze Lehrvideo an.

Die Kosten/Nutzen-Relation ist so eindeutig positiv für aktives Probing, dass sich getrost behaupten lässt: Sie werden entweder eine aktive Lösung zum OT Asset Management einführen, oder gar keine. (Falls Sie immer noch Bedenken haben wegen möglicher unbeabsichtigter Nebeneffekte des aktiven Probings, machen Sie die Probe aufs Exempel in Ihrer Testumgebung mit unserer kostenlosen Testversion.)

Neben den technischen Details der automatischen Identifikation von OT-Geräten gibt es noch einen weiteren, konzeptionellen Unterschied zwischen OT Asset Management und Netzwerk-Anomalieerkennung mittels Passive Scanning, auch als “ICS Detection” bezeichnet. Produkte für ICS Detection gehen implizit oder explizit davon aus, dass Benutzer eine starke Aversion gegen die Handeingabe von Daten hätten. Das trifft zu für die Eingabe von Geräte- und Konfigurationsdaten, ignoriert aber völlig den Umstand, dass Ingenieure einen nicht unbeträchtlichen Dokumentationsbedarf haben. Denken Sie zum Beispiel an die Dokumentation personeller Verantwortlichkeiten für bestimmte Geräte, und an all die anderen lebenswichtigen Metadaten, die man im Engineering- und Instandhaltungsumfeld findet. Word- und Excel-Dateien, verstreut in verschiedenen Dateiordnern, sind hierfür keine zeitgemäße Lösung.

Lange Geschichte kurzer Sinn: Je besser sich eine Asset-Management-Lösung in vorhandene Workflows im Engineering und in der Instandhaltung einordnet (und diese Workflows sogar optimiert), desto mehr Wert hat sie für eine Organisation. Und dieser Wert hängt an Metadaten, die nicht aus dem Netzwerkverkehr gezogen oder vom Gerät ausgelesen werden können. Solche Metadaten werden entweder per Hand eingegeben oder automatisiert per API.

All dies bedeutet nicht, dass es keinen Platz mehr für “Passive Scanning” geben würde; dieser Platz ist halt nur nicht das Asset Management. Passive Scanning behält seinen Wert für Netzwerk-Anomalieerkennung und Intrusion Detection, ein abgetrennter Use Case, der mit dem Asset Management integriert werden kann und werden sollte. In einer Asset-Management-Lösung möchten Sie Netzwerk-Anomalien sehen, die mit den gemanagten Geräten zusammenhängen. In einem SIEM profitieren Ihre Security-Experten deutlich von den Kontextdaten (Funktion, Kritikalität, Aufstellungsort etc., anstelle von nichtssagenden IP-Adressen), die aus dem Asset-Management-System kommen. Mit verbreiteter Standardtechnologie wie REST APIs kann so eine Integration in Wochen anstelle von Jahren erfolgen.

Lesen Sie auch: Dale Peterson über die Zukunft von ICS-Sicherheitsprodukten

Werden ICS-Detection-Produkte deshalb künftig ihre Funktionalität in Richtung Asset Management erweitern? Das muss letztendlich der Markt entscheiden. Es läuft auf die Frage hinaus, ob Kunden eine umfassende Lösung bevorzugen, die alles kann, oder eine Kombination unterschiedlicher Lösungen, die miteinander integriert sind und Daten austauschen. Verglichen mit der IT würde es bedeuten dass Firmen nicht SolarWinds, Splunk, ServiceNow (beliebig ersetzbar durch Qualys, QRadar, Maximo…) verwenden, sondern eine umfassende Lösung, die alles kann. Ist in der IT anders gekommen, was die Chancen so eines Ansatzes für die OT nicht unbedingt erhöht.

Trend Nummer 2: OT-Sicherheit wird zur Datenwissenschaft; faktenbasierte Kennzahlen ersetzen subjektive Bewertungen

Bis vor kurzem war die OT-Sicherheit durch vage und oft subjektive Risikobewertungen gekennzeichnet. (Warum subjektiv? Weil die Ergebnisse von Cyber-Risikobewertungen regelmäßig infrage gestellt werden, wenn sie dem Top Management präsentiert werden, korrekt?) Diese Bewertungen basieren normalerweise auf stichprobenartigen Systemninspektionen, gekoppelt mit Annahmen darüber, wie die vollständige Systemlandschaft wohl aussehen könnte, und aufgepeppt mit Worst-Case-Szenarien zu Hacker-Motivation und -Fähigkeiten.

Und heute? Heute können Sie dank Asset Management kleinste Konfigurationsdetails Ihrer OT sehen und vor allem automatisch verarbeiten.

Die automatische Verarbeitung macht den größten Unterschied. Stellen Sie sich vor, sie könnten von zehntausenden von OT-Geräten sofort diejenigen mit veraltetem Betriebssystem auflisten. Sie könnten die Verteilung von Firmwareversionen für Netzwerk-Switche, SPSen usw. sehen. Sie könnten verhaltensbezogene Daten wie die Konsistenz durchgeführten Sicherheits-Patchmaßnahmen sehen (jedes halbe Jahr? Oder doch nicht?) Sie könnten genau sehen, wo welche kritischen Sicherheits-Patches oder Antivirus-Updates fehlen. Und so weiter.

Lesen Sie auch: An information security metrics primer von Daniel Miessler

All das ist nicht Science Fiction, es funktioniert heute. Es bedeutet dass Schlussfolgerungen zur OT-Sicherheit weniger auf vage Bewertungen gestützt werden, sondern mehr auf harte Fakten. Mögen Sie Kennzahlen? Ein Asset-Management-System gibt Ihnen mehr Kennzahlen als Sie in Ihren Präsentationen für das Management zeigen können. Sie können sogar selbst neue Kennzahlen entwickeln, da OT-BASE es Ihnen ermöglicht, Konfigurations-Rohdaten in einem standardisierten JSON-Format zu verarbeiten — zum Beispiel in ihrer gewonten Analyseumgebung (Splunk, Elasticsearch, …).

Portable Inventory Data bedeutet: Sie können auf Konfigurations-Rohdaten im JSON-Format zugreifen, entweder als Datei oder per REST API

Es wird sogar noch besser. Wissen Sie, was der zeitaufwendigste und somit teuerste Teil einer Risikobewertung ist? Die Ermittlung des Status quo. Mit einem vorhandenen OT Asset Management ist das aber bereits erledigt. Ihre nächste Risikobewertung kann gleich zur Datenauswertung und -interpretation fortschreiten, ohne Wochen oder Monate mit Fabrikbegehungen und Datenerfassung zu verschwenden.

Weil keine Begehungen mer erforderlich sind, brauchen externe Berater auch gar nicht mehr zu Ihnen aufs Werksgelände zu kommen. Mit Zugriff auf Ihre Asset-Daten können sie einen Report erstellen, ohne jemals ein Meeting in Ihrem Konferenzraum zugebracht zu haben. Das bedeutet auch, dass Reisekosten kein Faktor mehr in Consulting-Projekten sind, und dass Sie plötzlich die Freiheit haben, den besten oder preisgünstigsten Berater ohne Rücksicht auf die Reisezeit zu wählen.

Wenn Sie ein Berater sind, sieht es für Sie ebenfalls nicht schlecht aus: Aufgrund des Wegfalls der Notwendigkeit, Daten beim Kunden vor Ort zu erheben, können Sie Ihre Kundenbasis global erweitern. Zeigen Sie Kunden, dass Sie in Ihrem Bereich der Beste sind, ohne den Löwenanteil der Projektzeit auf Flughäfen zu verschwenden.

Trend Nummer 3: Die Triebfeder für OT Asset Management wandelt sich von OT Security zur erhöhten Engineering-Effizienz

Sie haben es oft gehört: Wovon man nichts weiß, das kann man nicht schützen. Sie können noch nicht einmal das Risiko von etwas abschätzen, das Sie nicht kennen. Aus diesem Grund beginnen alle systematischen Bemühungen für mehr OT Security mit einem Asset-Inventar. Aber je mehr Asset Management im Unternehmen eingeführt wird, desto mehr zeigen sich Vorteile in anderen Bereichen.

Lesen Sie auch: Bound to fail: Why cyber security risk cannot be “managed” away von Ralph Langner und Perry Pederson

Überraschung: Die handfesten Vorteile von OT Asset Management liegen im Bereich Engineering und Instandhaltung. Ingenieure profitieren von:

  • detaillierten und aktuellen Konfigurationsdaten (Firmwareversionen, Netzwerktopologie, Datenflüsse, installierte Softwarepakete, …)
  • Möglichkeit, De-facto-Konfigurationen mit Soll-Konfigurationen vergleichen zu können
  • Standardisierung bevorzugter Systemkonfigurationen mit Vergleich zum Ist-Zustand oder Projektfortschritt.

Zugeständnisse für Use Cases aus dem Engineering sind nicht das Schlechteste für die OT Ssecurity. Tatsächlich ist es genau das Gegenteil. Wenn Sie in der OT schon länger unterwegs sind, wissen Sie, dass der Business Case für Cyber-Sicherheit in der Produktion schwierig zu demonstrieren ist, weil hypothetische Cyber-Angriffe keine Auswirkung auf die Quartalsergebnisse haben. Und über hypothetische Angriffe geht es hier — glücklicherweise.

Die intelligente Strategie besteht darin, Maßnahmen zur Erhöhung der Cyber-Sicherheit einzuführen, die einen echten Mehrwert für Anwender aus Engineering und Instandhaltung haben, anstatt diese Anwender in ihrer Arbeit zu behindern. Für diese Strategie, die darauf ausgerichtet ist, auf den Mehrwert zu fokussieren anstatt zu versuchen, Kollegen etwas aufzuzwingen, haben wir den Begriff Lean OT Security geprägt.

Lean OT Security basiert auf der Erkenntnis, dass OT Security nur dort funktioniert, wo sie einen Mehrwert für Engineering und Instandhaltung bringt. Erfahren Sie mehr darüber in diesem Video.

Effizienzsteigerung für Engineering und Instandhaltung mag künftig sogar die Hauptmotivation zur Einführung von OT Asset Management werden. Aber wer hätte ein Problem damit, wenn im gleichen Maße die OT Security steigt.

Zusammenfassung

Bei OT Asset Management und OT Security sehen wir einen deutlichen Wandel, begründet in einem besseren Verständnis davon, was technologisch möglich ist und was einen echten Mehrwert für unterschiedliche Use Cases und Benutzergruppen hat.

  • Die Debatte, ob aktive oder passive Technologie besser zum automatischen Erstellen von Asset-Inventaren geeignet ist, ist entschieden und der Preis geht an aktives Proben. Passive Scanning bleibt relevant für die Themen Anomalieerkennung und Intrusion Detection.
  • Asset Management hat nachhaltige Auswirkungen auf die OT Security, die mehr faktenbasiert wird. Subjektive Bewertungen werden durch Kennzahlen ersetzt.
  • Selbst dort, wo Asset Management zunächst für die OT Security eingesetzt wird, liegen die größten handfesten Gewinne in der Erhöhung der Engineering-Effizienz. Darunter wird die OT Security nicht leiden, sie wird davon profitieren.

Mehr Informationen zur Asset Management Plattform OT-BASE finden Sie hier:

Produkt-Webseite >

Download der kostenlosen Testversion >

Produktvideos auf Youtube >