Keywords
Threat Hunting, OT, Anomalieerkennung, Segmentierung, Sichtbarkeit, Komplexität vs. Einfachheit, Sicherheit vs. Beherrschbarkeit
Zusammenfassung
OT-Sicherheitsexperte Oliver Jaeckel-Bender definiert Threat Hunting für OT-Netzwerke. Wie unterscheidet sich die Disziplin zur IT und was genau braucht es mindestens (und vielleicht maximal), um ein OT-Netzwerk sicher betreiben zu können?
Kernargumente
Threat Hunting sucht aktiv nach bereits bestehenden Kompromittierungen in den eigenen Netzwerken und Systemen.
Der Scope von Threat Hunting wird größtenteils missverstanden.
In der OT setzt ein klassisches Threat Hunting a la IT viel zu spät an.
In der OT bedeutet Threat Hunting vor allem auch Anomalieerkennung, weil die sicherheitsrelevanten Aktivitäten nicht so eindeutig sind.
In der OT gibt es noch zu viele Ecken, wo die Beitreibenden gar nicht wissen, was dort wie und warum läuft.
Die Sicherheit eines Systems kann erst dann gewährleistet werden, wenn die Wirkweise aller involvierten Komponenten vollständig verstanden ist.
Das klingt völlig utopisch, ist aber machbar, wenn man sich beim Verstehen zumindest auf die Metainformation konzentriert – wer kommuniziert mit wem, warum und wie.
Segmentierung und Anomalieerkennung bringen Schutz in die OT.
Cybersicherheit darf auch nicht zu kompliziert werden, sonst wird man nachlässig.
Gut gesagt
Man hat alles in diesen Eimer gepackt und dann Threat Hunting darauf gesprüht.
Threat Hunting wird oft genauso indifferent betrachtet wie OT-Sicherheit – und das führt zu Missverständnissen.
In der OT muss ich nicht unbedingt jedes Payload verstehen, aber doch zumindest die Meta-Informationen.
Ich muss wenigstens von irgendjemanden in Erfahrung bringen können, dass die Kommunikation meiner Systeme in der Form korrekt ist.
Kapitel
00:00 Vorstellung
01:31 Was ist klassisches Threat Hunting?
05:30 Funktioniert klassisches Threat Hunting in der OT?
10:53 Wie sieht ein effektives Threat Hunting in der OT aus?
15:09 Kann man eine digitale Infrastruktur wirklich gänzlich verstehen?
17:43 Braucht es komplettes Wissen, um schützen zu können?
19:44 Wie weit geht Cybersicherheit in der OT überhaupt?
23:50 Die Krux mit der Komplexität in der Cybersicherheit
25:37 Zusammenfassung und Best Practice
