Zur Durchführung des Rhebo Industrial Security Assessments wurde in jedem OT-Netz ein Rhebo-Sensor integriert. Über einen Zeitraum von zwei Wochen zeichneten die Sensoren passiv und rückwirkungsfrei die OT-Kommunikation auf und speicherten sie als packet capture (pcap). Im Anschluss analysierten Rhebo-Expert:innen im Rahmen eines Rhebo Industrial Security Assessments die Kommunikations-Logs u.a. per Deep Packet Inspection, automatisierter Anomalienfindung und forensischer Analyse.
Für den Chemiekonzern konnte so erstmals Sichtbarkeit in der OT geschaffen werden. So zeigte sich – nicht ganz überraschend –, dass die Chemieproduktion eine verhältnismäßig homogene Infrastruktur aufwies. Zwar wurden in jedem überwachten OT-Netz mehrere Hundert Geräte identifiziert, jedoch stammten diese von nur wenigen Herstellern.
Dennoch lagen die Security Posture und Netzwerkqualität im mittleren Feld. Beobachtungen, die zu dieser Bewertung führten, waren u.a.:
- unsichere Software, Betriebssysteme und Firmware auf mehreren Geräten,
- vermutlicher Adress-Scan,
- Nutzung von Protokollen mit Klartextpasswörtern,
- unsichere Authentifizierungsmethoden,
Auf Seite der Stabilitäts- und Verfügbarkeitsbewertung fanden sich
- nicht erreichbare Geräte,
Die im Rahmen des Rhebo Industrial Security Assessment integrierten Sensoren verblieben in den OT-Netzen und wurden mit einem Rhebo Controller in den operativen Betrieb als System zur Angriffserkennung (Rhebo Industrial Protector) übernommen. Rhebo unterstützte das Chemieunternehmen regelmäßig bei der Auswertung von Anomaliemeldungen und Einschätzung der Risikolage, bis das Unternehmen ausreichend Knowhow aufgebaut hatte, um das System zur Angriffserkennung vollständig in Eigenregie zu betreiben.