CISA, NSA-Anleitung versucht, Alternativen zur Sicherung industrieller Kontrollsysteme zu reduzieren

| |

Bundesbehörden haben Leitlinien herausgegeben, von denen sie hoffen, dass sie dazu beitragen werden, den Entscheidungsprozess für Eigentümer kritischer Infrastrukturen zu rationalisieren und zu erleichtern, um damit zu beginnen, industrielle Steuerungssysteme vor einer zunehmenden Wahrscheinlichkeit von Cyberangriffen zu schützen.

„Die Vielfalt der verfügbaren Sicherheitslösungen kann auch einschüchternd sein und zu einer Lähmung der Auswahl führen“, heißt es Orientierungshilfe Die Agentur für Cybersicherheit und Infrastruktursicherheit hat am Donnerstag zusammen mit der National Security Agency veröffentlicht. „Inmitten so vieler Optionen sind Eigentümer/Betreiber möglicherweise nicht in der Lage, einfache Sicherheits- und Verwaltungsstrategien zu integrieren, die viele der üblichen und realistischen Bedrohungen mindern könnten. Glücklicherweise können Eigentümer/Betreiber einige unkomplizierte Best Practices für die ICS-Sicherheit anwenden, um dem Gegner entgegenzuwirken [Tactics Techniques and Procedures].“

Der Leitfaden weist auf das Auftauchen neuartiger Malware für das Targeting hin Spezifisch Programmable Logic Controllers und Open Platform Communications Unified Architecture. Es warnt vor robuster Aufklärung durch Gegner, die diese und andere Werkzeuge einsetzen könnten, um weitreichende physische und psychische Folgen für die Gesellschaft zu verursachen.

„Sie könnten Leistungsschalter, Drosselklappen öffnen oder schließen, Tanks überfüllen, Turbinen auf Überdrehzahl bringen oder Anlagen in unsichere Betriebsbedingungen versetzen“, schrieben die Behörden über bösartige Cyber-Akteure. „Darüber hinaus könnten Cyber-Akteure die Kontrollumgebung manipulieren, das Bewusstsein des Bedieners verschleiern und die Wiederherstellung behindern, indem sie Schnittstellen sperren und Monitore so einstellen, dass sie normale Bedingungen anzeigen. Akteure können sogar die Alarmfunktion aussetzen, sodass das System unter unsicheren Bedingungen betrieben werden kann, ohne den Bediener zu alarmieren.“

CISA wird voraussichtlich bald Leistungsziele für kritische Infrastrukturen mit industriellen Steuerungssystemen herausgeben. Das Erreichen der Ziele ist freiwillig gemäß dem nationalen Sicherheitsmemo, in dem CISA aufgefordert wird, sie zu erstellen. Die Handelsverbände einiger der größten Unternehmen der Wirtschaft sind jedoch skeptisch, wie sie in potenziellen Vorschriften verwendet werden könnten. In einem Brief vom 16. September gegenüber den Senatsführern, die für die Ausarbeitung des National Defense Authorization Act verantwortlich sind, argumentieren sie, dass es Unternehmen erlaubt sein sollte, freiwillig Sicherheitskontrollen „auf der Grundlage ihrer eigenen Risikobewertung“ durchzuführen.

Die Leitlinien von NSA und CISA betonten, dass Eigentümer und Betreiber alle Geräte in ihren Systemen kennen und besonderes Augenmerk auf diejenigen richten müssen, auf die aus der Ferne zugegriffen werden kann, einschließlich Geräteanbieter. NSA und CISA stellen fest, dass die Anbieter manchmal „Fernzugriff für die Einhaltung von Garantien, Serviceverpflichtungen und Finanz-/Abrechnungsfunktionen benötigen“.

„Errichten Sie eine Firewall und eine demilitarisierte Zone (DMZ) zwischen dem Kontrollsystem und den Zugangspunkten und Geräten des Anbieters“, schreiben sie ganz oben auf ihrer Liste der empfohlenen Minderungsmaßnahmen. „Erlauben Sie keinen direkten Zugriff auf das System; Verwenden Sie einen zwischengeschalteten Dienst, um nur notwendige Daten und nur bei Bedarf weiterzugeben.“

CISA nahm eine verwandte Maßnahme in eine Liste von „Common Baseline“-Kontrollen auf, die vorgeschlagen wurden, um als Leistungsziele zu dienen, mit deren Festlegung das nationale Sicherheitsmemo die Behörde beauftragt hatte.

„Alle Eigentümer/Betreiber sollten eine Segmentierung zwischen implementieren [information technology] und [operational technology] Netzwerke, um den anfänglichen Zugriff durch Bedrohungsakteure zu verhindern“, heißt es in einem Entwurf der gemeinsamen Basiskontrollen von CISA von Handelsverbänden verwiesen, die sich gegen den Vorschlag wehren. „Organisationen sollten sicherstellen, dass sich Geräte auf beiden Seiten von Segmentierungslinien/Sicherheitszonen nicht mit minimalen Ausnahmen und nur über eine korrekt konfigurierte Firewall oder eine vergleichbare Alternative mit der Gegenseite verbinden dürfen.“

Die Kommentare wurden von CTIA – The Wireless Association, NCTA – The Internet and Television Association und USTelecom – The Broadband Association erstellt.

„Diese Entwurfskontrolle ist zu präskriptiv und vereinfacht die Kompromisse bei der Segmentierung für verschiedene Netzwerke zu sehr“, schrieben die Verbände und stellten fest, dass es an Flexibilität mangele, um alternative Ansätze zu ermöglichen. „Segmentierung kann kostspielig sein und den Zugriff auf geschäftliche oder unternehmenskritische Anwendungen behindern. Eine zu starre Erwartung an eine Standardsegmentierung würde Organisationen die Möglichkeit nehmen, ihre Systeme und Netzwerke zu verwalten. Dementsprechend sollte CISA zumindest Formulierungen wie „muss“ entfernen.“

CISA wird voraussichtlich irgendwann im Oktober die endgültigen Leistungsziele veröffentlichen, um den Cybersecurity Awareness Month zu markieren.

Previous

KP lehnt den Antrag der Regierung auf Sicherheitskräfte ab

Twitter-Nutzer kritisieren „House of the Dragon“, „Rings of Power“

Next

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.