Im Blickpunkt: Neues Splunk Add-on für OT-Security

Die Grenzen zwischen IT und OT (Operational Technology) verschwimmen. Angesichts der Verschmelzung von IT- und OT-Systemen ist es schwieriger und wichtiger denn je, für die Sicherheit von Geräten, Anwendungen, physischen Standorten und Netzwerken zu sorgen. Security-Experten kommen zunehmend zu der Erkenntnis, dass sie vor einem Transparenzproblem stehen und gleichzeitig nicht ausreichend vorbereitet sind. Im Rahmen einer von Siemens und dem Ponemon Institute durchgeführten Studie wurden mehr als 1.700 Personen in Unternehmen mit OT-Umgebungen befragt. Die Mehrheit der Befragten erklärte, dass Cyberbedrohungen ein größeres Risiko für ihre OT- als für ihre IT-Umgebung darstellen. Nur 42% bewerteten ihre „Cyber-Readiness“ als hoch, und nur 31% stuften ihre Fähigkeit, rechtzeitig auf einen Verstoß reagieren bzw. diesen einzudämmen zu können, als hoch ein. 

Für das steigende OT-Sicherheitsrisiko sind eine Reihe von Faktoren verantwortlich. Der „Air Gap“, der für viele OT-Organisationen traditionell der primäre Sicherheitsmechanismus war, löst sich langsam auf. Geräte aller Ebenen des Purdue-Modells werden nun routinemäßig über eine Vielzahl von Kommunikationstechnologien – per Kabel, WLAN oder Mobilfunk – mit den IT-Netzwerken der Unternehmen verbunden. Das macht sie anfälliger für Angriffe. Eine Studie des SANS Institute aus dem Jahr 2018 ergab, dass 37% der Geräte in der Fertigung (Purdue-Ebenen 0, 1, 2 und 3) mit Unternehmensnetzwerken verbunden sind. Durch die Digitalisierung von Anlagen, die früher rein mechanisch waren, wird die Angriffsfläche für Bedrohungen noch vergrößert. Darüber hinaus werden dadurch Angriffe möglich, die für die eingesetzten Monitoring- und Cyberabwehr-Lösungen viel komplexer sind als zuvor. Wichtige Assets und Ressourcen setzen auf gängigen Betriebssystemen wie Windows, Linux, Android und VxWorks auf. Dadurch sind sie anfällig für dieselbe Art von Angriffen, die gegen IT-Systeme verwendet werden.

Wir arbeiten seit vielen Jahren mit Kunden an diesen Herausforderungen und freuen uns, ab heute einige zusätzliche Funktionen bereitstellen zu können, um Unternehmen bei der Optimierung des Sicherheitsniveaus ihrer OT-Umgebungen zu unterstützen. Mit einem neuen Splunk Add-on für OT-Security möchten wir Unternehmen, die Ressourcen, Netzwerke und Einrichtungen in administrativen (IT) und betrieblichen Umgebungen (OT) betreiben, einen optimierten Einsatz von Splunk® Enterprise Security und damit Verbesserungen in den Bereichen Bedrohungserkennung, Incident-Untersuchung und Incident Response ermöglichen. Dieses Add-on erweitert die Funktionen von Splunks Datenplattform und ermöglicht Monitoring von Bedrohungen und Angriffen, Compliance, Incident-Untersuchungen, Forensik und Incident Response. Dies alles über eine breite Palette von Assets und Topologien – von E-Mail-Servern bis zu PLCs – hinweg, die essenziell für moderne Unternehmen der Branchen Fertigung, Energiewirtschaft und öffentliche Hand sind.

Was ist das Splunk Add-on für OT-Security?

Das Splunk Add-on für OT-Security weitet bestehende Frameworks von Splunk Enterprise Security aus und sorgt für mehr Sicherheitstransparenz in OT-Umgebungen. Das Add-on bietet Funktionen in drei Hauptbereichen:

1. Erweiterte Möglichkeiten für das Erfassen und Monitoring von OT-Ressourcen (Assets)
2. Optimiertes OT-Schwachstellenmanagement einschließlich definierter Anwendungen von MITRE ICS Attack
3. Schnittstellen und Berichte zur Unterstützung von Kunden-Compliance und Audits mit NERC CIP   

Diese Funktionen werden im neuen, jetzt auf Splunkbase verfügbaren Add-on bereitgestellt. Dort findet sich auch eine umfassende Dokumentation mit Installationsanleitungen, zugehörigen Technologie-Add-ons, einer Referenzarchitektur sowie einer Reihe von Wissensobjekten, die ein verbessertes OT-Security-Monitoring ermöglichen. Die enthaltenen Objekte umfassen neue und modifizierte Suchen, Dashboards und Panels, Berichte, KSIs, Lookups und Erweiterungen für Splunk Enterprise Security-Frameworks.

Das Splunk Add-on für OT-Security soll die Integration mit führenden OT-Sicherheitstechnologien wie Bestandserkennungs- und -managementsystemen, Netzwerk-Monitoring- und Anomalieerkennungslösungen, Tools für Endpunkt-Monitoring und Patch-Verwaltung verbessern. Wir haben eng mit zahlreichen führenden OT-Sicherheitsanbietern zusammengearbeitet, darunter Armis, Forescout, Langner und Nozomi, um Datenzugriff und Transparenz auf höchstem Niveau zu erreichen. 

Wenn ihr an weiteren Infos zu diesem Add-on für OT-Security interessiert seid, könnt ihr unser Whitepaper „Protecting Operational Technology With Splunk“ herunterladen. Außerdem könnt ihr die App direkt von Splunkbase herunterladen, euch an euer Splunk Account-Team oder über OTsecurity@splunk.com direkt unsere OT-Sicherheitsexperten kontaktieren.

*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier:  Introducing a New Splunk Add-On for OT Security (20.08.2020).

----------------------------------------------------
Thanks!
Ed Albanese