ClickCease Patches statt Upgrades für ältere OT-Geräte?

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Patches statt Upgrades für ältere OT-Geräte?

22. November 2022. TuxCare PR Team

Betriebstechnologien (OT) sind Geräte und Computersoftware, die für die Analyse von Versorgungskontrollprozessen für kritische Infrastrukturen verwendet werden, während industrielle Kontrollsysteme (ICS) die digitalen Geräte sind, die in industriellen Prozessen verwendet werden. Die Vernetzung von OT/ICS-Geräten hat - insbesondere in letzter Zeit - das Cybersicherheitsrisiko für die Umgebungen, in denen sie eingesetzt werden, erhöht.

Ist es für Unternehmen, die derzeit ältere OT/ICS-Geräte verwenden, die beste Option, diese einfach gegen neuere Modelle auszutauschen, um die Sicherheitslage zu verbessern? Oder gibt es einen anderen Weg?

Dieser Blog-Beitrag befasst sich mit dem Patching von Schwachstellen für OT/ICS-Geräte und behandelt die Bedrohungslage für diese Technologien, die Patch-Verwaltung und die Frage, wie Unternehmen ihr Patching von Schwachstellen automatisieren können.

Potenzielle Bedrohungen und kritische Schwachstellen

Die meisten OT/ICS-Architekturen befinden sich meist in isolierten und flachen Netzen mit ungeschützten Bereichen. Der Angriffsraum umfasst das gesamte Spektrum potenzieller Angriffe, einschließlich aller OT/ICS- und jetzt auch IIoT-Lösungen. Angriffe auf alle drei Plattformen können entweder von innen oder von außen kommen.

Externe Angriffe können von außen kommen, z. B. von Hackern, Kriminellen, Terroristen und Nationalstaaten. Abgesehen von diesen beiden Kategorien gibt es auch physische Angriffe, bei denen direkt in die Ausrüstung eingegriffen wird.

Der OT-Patch-Management-Prozess

Kritische IT- und OT-Infrastruktursysteme basieren traditionell auf separaten Technologiestacks und arbeiten einzeln. Da diese Systeme nicht direkt miteinander verbunden sind, unterscheiden sich ihre Kontrollen von denen eines Computernetzwerks und befinden sich oft in verschiedenen Netzwerken, um sich überschneidende Cyber-Risiken zu vermeiden, einschließlich Malware- und Ransomware-Angriffe.

Eine schwachstellenanfällige OT-Anlage kann eine profitable, verlockende Frucht für böswillige Akteure sein. Wenn der Patch veröffentlicht wird, werden die Schwachstellen in der Nationalen Datenbank für Schwachstellen identifiziert. Hacker überwachen diese Datenbanken auch selbst ständig.

ICS-CERTs Sicherheitsupdates können Sie über Sicherheitslücken informieren, sobald ICS-CERT diese bekannt gibt. NVD hat an einem Wochenende fast 350 Schwachstellen veröffentlicht. Es gibt viele Möglichkeiten, wie sich diese Schwachstellen auf eine OT-Organisation auswirken können.

Warum reichen Einführungsleitfäden für OT/ICS-Systeme nicht aus?

Die Verfügbarkeit von Patches ist ein Hauptanliegen für Betriebsnetze. Viele OT-Geräte sind noch Jahre nach dem End-of-Life-Datum (EOL) des Herstellers in Betrieb, nach dem die Benutzer keine Sicherheitsupdates mehr vom ursprünglichen Hersteller erhalten. 

Funktionale Netzwerkingenieure wenden sich oft an Drittanbieter von Software, wie TuxCaremit erweiterten Support-Programmen für Linux-Kernel-Patches, die es Unternehmen ermöglichen, auch noch mehrere Jahre nach dem Auslaufen eines Betriebssystems Sicherheits-Patches zu erhalten.

Prioritätensetzung bei der Bereitstellung von Patches

Es kann schwierig sein, herauszufinden, welche Patches in Ihrer OT/ICS-Umgebung Vorrang haben sollten. Während CVSS-Scores in der Regel ein wichtiger Ausgangspunkt für die Auswahl von Patches sind, werden sie anhand mehrerer Variablen erstellt: Zugriffsvektoren, Zugriffsschwierigkeiten, Authentifizierung, Integrität, Verfügbarkeit und viele andere. 

Außerdem ist es möglicherweise nicht der beste Ansatz, sich bei der Priorisierung von Schwachstellen-Patches ausschließlich auf CVSS-Scores zu verlassen. Erschwerend kommt hinzu, dass die Netzwerktechniker der Industriebetriebe nur eine kleine Teilmenge der Patches gleichzeitig in der gesamten OT-Anlage installieren können, selbst wenn die potenziellen Patches verfügbar werden. 

Wir empfehlen, dass Betriebsumgebungen und Industrieunternehmen das Patching für eine OT-spezifische Umgebung mit einem mehrstufigen Ansatz priorisieren.

Patching eingebetteter Geräte im Rahmen des Änderungsmanagementprozesses

IEC62443 erfordert die Einführung eines Änderungsmanagements für OT/ICS-Umgebungen. Es wird davon ausgegangen, dass die Bereitstellung von Patches in der OT-Umgebung eine Veränderung der Umgebung und eine sehr schwierige Aufgabe darstellt. Der Patch- und Firmware-Update-Prozess sollte kontinuierlich überprüft werden, um das Risiko für das Gerät und die Organisation zu bewerten.

Proprietäre Systeme haben auch ihre eigene Patch- und Firmware-Aktualisierungssequenz. Bei einigen ist ein mehrfacher Neustart des Geräts erforderlich, damit die Firmware die verschiedenen Komponenten in unterschiedlichen Phasen aktualisieren kann. Kritische Geräte müssen oft gepatcht oder aufgerüstet werden, weil man befürchtet, dass das Gerät nicht rechtzeitig in die Produktionsumgebung zurückkehrt. 

Herausforderungen bei der Patch-Verwaltung

Um zu entscheiden, ob ein Patch implementiert werden soll, müssen Sie die Vorteile gegen die Beeinträchtigungen abwägen. Wenn die Vorteile die Probleme überwiegen, sollten Sie den Patch durchführen. Bei OT/ICS-Geräten kann die Außerbetriebnahme von Einheiten jedoch die betriebliche Effizienz und die Gesamtleistung erheblich beeinträchtigen. Aus diesem Grund gibt es einen Anreiz, das Patchen für geplante Wartungsfenster zu verschieben.

Wenn Sie hingegen mit dem Aufspielen von Sicherheits-Patches warten, bis Sie bereit sind, Systeme und Geräte neu zu starten, bleibt Ihr Unternehmen anfällig und gefährdet Ihre Compliance.

Automatisiertes Geräte-Patching mit TuxCare 

Die Live-Patching-Lösungen von TuxCare schützen Ihre Linux-Systeme, indem sie Schwachstellen schnell beseitigen, ohne auf Wartungsfenster oder Ausfallzeiten zu warten. Mit TuxCare können IT-Teams die Einspielung neuer Patches durch Staging, Testen und Produktion auf allen gängigen Linux-Distributionen automatisieren.

TuxCare bietet einwandfreie Interoperabilität mit Schwachstellen-Scans, Sicherheitssensoren, Automatisierung, Integration in Schwachstellen-Management-Prozesse, Reporting-Tools und unsere ePortal Patch Deployment Management-Plattform. Dieser dedizierte private Patch-Server läuft innerhalb Ihrer Firewall vor Ort oder in der Cloud. TuxCare ist der einzige Anbieter, der praktisch alle Schwachstellen in Kernels, Shared Libraries, Virtualisierungsplattformen und Open-Source-Datenbanken in allen gängigen Distributionen live patcht.

Kontakt zu einem TuxCare-Experten

Zusammenfassung
Patches statt Upgrades für ältere OT-Geräte?
Artikel Name
Patches statt Upgrades für ältere OT-Geräte?
Beschreibung
Erfahren Sie mehr über Schwachstellen-Patches für ICS/OT-Geräte, die Bedrohungslandschaft und wie Unternehmen ihre Schwachstellen-Patches automatisieren können.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter