Schutz vor Cyber-Angriffen auf industrielle Netzwerke – Kaspersky ICS (KICS)

Industrielle Netzwerke sind oft die am meisten in Vergessenheit geratenen Aspekte der IT-Sicherheit, auch wenn sie ein wichtiger Bestandteil unseres modernen Lebens sind.

Es gibt viele Gründe dafür, die wichtigsten dabei sind:

  • Die Kerngeschäfte eines Produktionsbetriebes sind historisch gesehen von der Standard-IT getrennt
  • Häufig trifft man auf die Vorstellung, dass industrielle Netzwerke vollständig vom Rest der Welt isoliert sind
  • Software, die seit sehr langer Zeit auf veralteten, schwer zu aktualisierenden Betriebssystemen läuft

Auch wenn sie in der Öffentlichkeit weniger bekannt sind, gibt es Angriffe und Bedrohungen auf diese industriellen Netze. In der Presse gibt es dazu inzwischen zahlreiche Artikel:

 

Kaspersky bietet hierfür eine spezielle Lösung mit dem Namen Kaspersky Industrial Cybersecurity oder KICS

Diese Lösung bietet zwei Hauptschutzbereiche:

  • “KICS for Networks” zur Gefahrenerkennung in industriellen Netzwerken,
  • “KICS for Nodes” zum Schutz von HMI (Human-Machine Interface).

 

KICS-Lösungen wurden unter Berücksichtigung des Gefährdungsgrads der zu überwachenden Elemente entwickelt. Dadurch sollen False Positives vermieden bzw. ausgeschlossen werden.

Die Lösungen sind mit den meisten Anbietern auf dem Markt kompatibel, eine spezifische Anpassung für spezielle Geräte ist möglich.

KICS for Networks

“KICS for Networks” ist eine physische oder virtuelle Appliance, die das Netzwerk an einem oder mehreren strategischen Standorten überwacht.

Verbunden mit dem Abhören über einen TAP- oder SPAN-Port hat es keine Auswirkungen auf die Übertragungen selbst (wodurch ein False-Positive vermieden wird), ermöglicht aber die Alarmierung bei verdächtigem Verhalten, um Korrekturmaßnahmen zu ergreifen, bevor es zu spät ist.

So ist es möglich, sich vor Angreifern zu schützen, die das Netzwerk als Angriffsvektor nutzen, sei es von innen oder außen.

Die Hauptmerkmale von KICS for Networks sind:

  • Bestandsaufnahme des Equipments und dessen Kommunikation untereinander
  • Erkennen unbefugter Verbindungen und Kommunikationen
    • Neues Equipment
    • Netzwerk-Scanning
    • Malware
    • … usw.
  • Erkennen von Eindringversuchen (IDS) durch Exploits oder Brute Force.
  • Erkennen kritischer SPS-Befehle (DPI)
    • Lesen und Ändern des Projekts/ SPS-Programms
    • Versuche der Authentifizierung
    • Start-/Stoppversuche
    • Lesen und Ändern von Konfigurationen
    • … usw.
  • Steuert technologische Prozessparameter (DPI)
    • Gültige Intervalle (Min < X < Max)
    • Abhängigkeiten zwischen Parametern (if..and/or..if..then)
    • Versuchter Betrug
    • Menschliche Fehler
  • Speichern der wichtigen Kommunikation für spätere Untersuchungen

KICS for Nodes

Kaspersky nutzt seine Erfahrung im Bereich Endpoint, um eine Lösung anzubieten, die sich auf die wichtigsten Sicherheitselemente im industriellen Umfeld konzentriert und so Fehlalarme vermeidet.

Der Agent ist auf allen Windows-Plattformen ab Windows XP verfügbar (einschließlich Embedded Versions) .

Es hat einen “Monitoring Only” Modus und hat damit nur einen geringen Einfluss auf die Performance der Maschine. Deshalb kann es auch in isolierten Umgebungen eingesetzt werden (einfache Updates in Airgap,….).

So schützt es vor der Ausnutzung bekannter Schwachstellen auf veralteten Betriebssystemen und minimiert die Angriffsfläche.

 

Die Hauptmerkmale von KICS for NODES sind:

  • Kontrolle des Applikationsstarts
  • Gerätesteuerung (USB-Stick,….)
  • Anti-Malware-Modul
  • Anti-Kryptor
  • Kontrolle von Wi-Fi-Netzwerken
  • Firewall

Darüber hinaus beinhaltet KICS for Nodes die Integritätsprüfung der SPS und überprüft in regelmäßigen Abständen, ob die Konfiguration einer oder mehrerer Industrieanlagen geändert wurde.

Mehr darüber erfahren

Kyos steht Ihnen in Zusammenarbeit mit den ICS-Spezialisten von Kaspersky zur Verfügung, um die verschiedenen Möglichkeiten für den Schutz Ihrer industriellen Umgebung zu diskutieren. Kontakt.