Startseite » Security »

Mit SOC als Sicherheitszentrale unterstützt Airbus das IT-Personal

Airbus unterstützt bei Cyber-Security: Gefahr erkannt, Gefahr gebannt
SOC als Sicherheitszentrale

SOC als Sicherheitszentrale
Airbus Defence and Space CyberSecurity bewertet im Rahmen des ICS Security Maturity Checks die Cybersicherheit von Produktions- und Steuerungssystemen Bild: Airbus Security
Angesichts der heutigen Bedrohungslage muss eine IT-Security-Strategie sämtliche Infrastruktur-Komponenten und den gesamten Datenverkehr nonstop überwachen. Die Arbeit eines Security Operation Centers (SOC) kann das IT-Personal dabei unterstützen, Cyberangriffe frühzeitig zu erkennen und die Risiken von Schadsoftware deutlich zu minimieren.

Marcus Pauli, Security Analyst bei Airbus CyberSecurity in Ottobrunn

Inhaltsverzeichnis

1. Externe Zugriffe administrieren
2. Wie arbeitet das Airbus SOC
3. Aufbau eines SOC

 

Laut dem aktuellen BSI-Bericht (Bundesamt für Sicherheit in der Informationstechnik) zur Lage der IT-Sicherheit in Deutschland werden täglich ca. 380.000 neue Schadprogrammvarianten gesichtet. Diese gelangen oft über einzelne Rechner ins Unternehmensnetzwerk, denn zu den häufigsten Einfallstoren gehören schädliche E-Mail-Anhänge, Drive-by-Download-Infizierungen sowie Links auf Schadprogramme, die immer öfter in Werbebannern platziert sind (Malvertising). Besonders der jüngste Ransomware-Vorfall (Not) Petya hat noch einen weiterführenden Infektionsweg offenbart: Die Übertragung von Schadsoftware aus dem Unternehmensnetzwerk über nicht ausreichend gesicherte Schnittstellen in industrielle Umgebungen. So waren bei der Angriffswelle im Juni 2017 weltweit auch Industrieunternehmen und Betreiber kritischer Infrastrukturen betroffen, die zum Teil schwerwiegende Störungen in Produktionsprozessen hinnehmen mussten. Derartigen Angriffsszenarien wirkt beispielsweise die Norm IEC 62443 (IT-Security für Anlagen der Steuer- und Leittechnik) entgegen. Der Sicherheitsstandard ist speziell auf die Anforderungen moderner Produktionsumgebungen zugeschnitten. Das zugrundeliegende Security-Konzept beruht im Wesentlichen auf dem Defense-in-Depth-Ansatz: Funktionseinheiten wie Internetübergangspunkt, vorgelagerte Sicherheitszonen, Office-IT und Feldbusebene werden dabei in Zonen zusammengefasst und durch industrietaugliche Firewalls segmentiert.

Externe Zugriffe administrieren

Auch unzureichend geschützte Direktverbindungen zum Internet sind ein grundlegendes Sicherheitsrisiko im Fertigungs- und Industriebereich. So listet das BSI in seinen Top 10 der Bedrohungen für Industrial Control Systems (ICS) mit dem Internet verbundene Steuerungskomponenten auf Platz 6. Zu den sicherheitskritischen Faktoren zählen ebenso der Einbruch über Fernwartungszugänge (Platz 4) sowie die Kompromittierung von Smartphones im Produktionsumfeld (Platz 10). Gefragt sind also Sicherheitsansätze, die sich nicht nur auf das lokale Netzwerk beschränken, sondern auch Fernzugriffe beispielsweise von Servicetechnikern absichern und kontrollieren. Denkbar sind hier zentrale Wartungsportale, die dem direkten Netzwerkzugang vorgeschaltet sind. Externe Zugriffe auf das Wartungsportal sind dann nur über eine verschlüsselte Verbindung möglich und erfordern eine Authentifizierung gegenüber einem zentralen Verzeichnisdienst. Soll ein bestimmter Wartungsauftrag ausgeführt werden, beantragt der externe Dienstleister zunächst einen Zugang über das Portal. Hier muss er seine Identität hinterlegen, das Zielsystem definieren sowie Angaben zur Dauer und Art des Servicevorgangs machen. Anschließend wird der Wartungsauftrag durch einen Betriebsmitarbeiter explizit freigegeben. Erst dann erhält der Servicetechniker einen zeitlich begrenzten Zugang zu dem im Wartungsticket definierten System.

Um sowohl die Absicherung von Remote-Aktivitäten als auch den Schutz des lokalen Netzwerks in Einklang zu bringen, ist ein umfassendes Sicherheitskonzept notwendig. An dessen Anfang steht im Best-Case immer ein detaillierter Security Check, der die individuelle Sicherheitslage eines Unternehmens untersucht. Hierbei können Administratoren auf externe Fachkräfte zurückgreifen, welche zusätzlich eine objektive Außensicht beisteuern. Airbus Defence and Space CyberSecurity beispielsweise bewertet im Rahmen seines ICS Security Maturity Checks speziell die Cybersicherheit von Produktions- und Steuerungssystemen. Im ersten Schritt werden dafür relevante Dokumente zum ICS-Design, der Organisationsstruktur sowie zu Richtlinien und Prozessen evaluiert. Zudem wird eine Standortbesichtigung durchgeführt, der Netzwerkverkehr aufgezeichnet und das Active Directory analysiert.

Wie arbeitet das Airbus SOC

Die Konzeption eines SOC beginnt bei Airbus CyberSecurity mit dem Definieren von unternehmensspezifischen Prioritäten hinsichtlich IT-Infrastruktur, Informationsfluss und Geschäftsbereichen. Hier sind Fragen zu klären wie: Gibt es Netzwerksegmente mit unterschiedlichen Schutzbedarfen, sodass die Netzübergänge durch ein Security Exchange Gateway gesichert werden müssen? Darf der Datenaustausch bidirektional erfolgen? Ist eine Zonierung von Office-IT und industrieller Steuerungsumgebung zu beachten? Wird hier ein separates ICS SOC benötigt?

Diverse Monitorings sorgen anschließend für eine lückenlose Prüfung der Client-, Server- und DMZ-Layer. Dazu zählt die Kontrolle des Datenverkehrs zwischen Netzwerk und Internet (Web Traffic Monitoring) sowie der E-Mail-Kommunikation (Email Traffic Monitoring) mittels zwischengeschaltetem Proxy. Sicherheitsmaßnahmen wie das Sperren ausgewählter Domains, der Einsatz von AV-Technologie sowie Sandboxing helfen, Schadsoftware aufzuspüren, zu blockieren und sicherheitskritische Programme zu separieren. Zum Malware Monitoring gehört auch die Geräteanalyse im Rahmen der Endpoint Protection. Für die Angriffserkennung führt das SOC-Team zudem Sicherheitsanalysen mithilfe von IDS-Tools durch. Je nach individueller Sicherheitsarchitektur ergänzen diese die Aktivitäten der Deep Inspection Firewall oder laufen direkt auf den zu schützenden Systemen. Erkannte Angriffe werden dem SOC-Admin mittels Log-Files mitgeteilt. Zusätzlich verhindern IPSs proaktiv und automatisiert potenzielle Bedrohungen. Komplexe, zielgerichtete und anhaltende Attacken (APT) lassen sich durch ein spezielles APT-Monitoring frühzeitig aufdecken und analysieren.

Das aktive Scannen des Datenverkehrs auf Clients und Server spürt mögliche Schwachstellen innerhalb des Netzwerks auf (Vulnerability Scanning). Zudem baut das SOC-Team an neuralgischen, aus Erfahrungswerten ermittelten Netzwerkpunkten passive Sensoren ein. Hierzu zählt auch die von Airbus eingesetzte KeelbackNET-Technologie. Als eine von mehreren passiven Sensoren überwacht sie den Netzwerkverkehr auf Auffälligkeiten im Verhalten von Systemen und Benutzern. Die in den Sensoren eingebrachten Regeln melden entsprechende Anomalien an ein Sicherheitsüberwachungssystem wie LMS (Log Management System) oder SIEM (Security Information and Event Management System). Bei Standardvorfällen wird gleichzeitig automatisch ein entsprechendes Troubleticket erzeugt. In diesem ist ein Mehrpunkteplan für die Analysten enthalten. Sie setzen die vorgesehenen Vorfallreaktionen um und protokollieren die Ergebnisse wieder im Ticket. Bei Nicht-Standardvorfällen nutzen die Analysten Korrelationsregeln aus dem SIEM, die sich auf früher bereits erkannte Angriffsszenarien beziehen, und erstellen unter Anwendung ihrer Erfahrungswerte manuelle Tickets.

Aufbau eines SOC

Das SOC bei Airbus gliedert sich in drei Ebenen, zwischen denen übergreifende Security-Prozesse stattfinden. Monitoring und Sicherheitsvorfall-Analyse gehören zur ersten Ebene, in der Echtzeitdaten und Log-Files aus Firewalls, AV, Servern, Clients und Applikationen zum SIEM und LMS gelangen und relevante Informationen an die Nachverfolgungs- und Dokumentationstools des SOC weitergegeben werden.

Das SOC-Team korreliert dann die erfassten Netzwerkdaten zu einem Gesamtbild der Bedrohungslage. Hier ist die tiefgreifende Expertise bei der Erstellung von Use Cases notwendig, um Auffälligkeiten (z. B. C&C-Kommunikation) zu erkennen, die richtigen Schlüsse aus den sicherheitsrelevanten Daten zu ziehen und Vorfallreaktionen abzuleiten. Im SOC erstellte, standardisierte Security-Abläufe unterstützen Administratoren bei der Prävention und Reaktion hinsichtlich künftiger Cyberangriffe.

Zentrales Aufgabenspektrum der zweiten SOC-Ebene ist das Management der Infrastruktur: Hier liegt das Augenmerk unter anderem darauf, IT-Systeme kontinuierlich zu überwachen, entdeckte Sicherheitsvorfälle zu analysieren und zu beheben (Equipment Infrastructure Incident Management) und gegebenenfalls die Infrastruktur zugunsten eines höheren Schutzlevels neu aufzustellen (Infrastructure Change Management). Die größtmögliche Effizienz aller Security-Maßnahmen ist dabei durch automatisierte Prozesse zu erreichen. ge

Weitere Informationen für die Industrie

http://hier.pro/gnloH

Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Videos

Hier finden Sie alle aktuellen Videos


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de