ETHOS: OT-Security-Anbieter wollen Frühwarnsystem aufbauen

Foto: Gorodenkoff – shutterstock.com

Cyberangriffe auf Industrieunternehmen zählen zu den größten Sorgen von Regierungsvertretern und Sicherheitsexperten, da diese für wichtige Bereiche wie Strom-, Wasser-, Öl- und Gasproduktionssysteme sowie Fertigungsanlagen zuständig sind. Die proprietäre und komplexe Natur der dort verwendeten OT-Systemen (Operational Technology), ganz zu schweigen von ihrer zunehmenden Konvergenz mit der IT, erschwert die Sicherheit in der Produktion.

Als Resultathat die Nachfrage nach mehr Fachwissen im Bereich der OT- und ICS-Sicherheit (ICS = Industrial Control System) in letzter Zeit deutlich zugenommen. Vor diesem Hintergrund haben verschiedene OT-Sicherheitsunternehmen beschlossen, gemeinsam an einem neuen herstellerneutralen, quelloffenen und anonymen Frühwarnsystem für OT-Bedrohungen zu arbeiten. Das System namens ETHOS (Emerging Threat Open Sharing) zielt darauf ab, Daten über Frühindikatoren für Bedrohungen auszutauschen und neue und neuartige Angriffe zu entdecken.

Zu den Mitgliedern der ETHOS-Community und des ETHOS-Vorstands gehören folgende OT-Security-Anbieter: 1898 & Co, ABS Group, Claroty, Dragos, Forescout, NetRise, Network Perception, Nozomi Networks, Schneider Electric, Tenable und Waterfall Security. ETHOS wurde als Non-Profit-Organisation gegründet. Damit sollen neue bisher unbekannte Bedrohungen erkannt werden, um sie zu stoppen, bevor sie Schaden anrichten können.

Lesetipp: So schützen Sie Ihre Industrieanlagen

Das ETHOS-Konzept wird von der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) befürwortet, was der Initiative zu größerer Dynamik verhelfen könnte. “Das Ausmaß der Bedrohungen, mit denen Betreiber kritischer Infrastrukturen und insbesondere operativer Technologienetzwerke konfrontiert sind, erfordert einen Ansatz für den Informationsaustausch, der auf Zusammenarbeit und Interoperabilität beruht”, kommentiert Eric Goldstein, Executive Assistant Director für Cybersicherheit bei der CISA, die Bedeutung von ETHOS im Rahmen der Ankündigung.

“Die CISA ist bestrebt, die von der Gemeinschaft betriebenen Bemühungen zum Abbau von Silos, die einen rechtzeitigen und effektiven Informationsaustausch behindern, weiterhin zu unterstützen”, so Goldstein weiter. “Die Zusammenarbeit mit solchen Communities, einschließlich der ETHOS-Gemeinschaft, ist entscheidend, um die Frühwarnung und Reaktion auf potenzielle Cyberbedrohungen zu verbessern und gleichzeitig sensible Informationen über die kritischen Infrastrukturen unseres Landes angemessen zu schützen.”

Lesetipp: Sechs-Punkte-Plan für die OT-Sicherheit

Zusammenarbeit für ein größeres Ziel

“Es ist wichtig, dass Unternehmen, die in einem gesunden Wettbewerb stehen, zusammenarbeiten, um ein größeres Ziel zu erreichen”, betont Andrea Carcano, Mitbegründer und Chief Product Officer bei Nozomi Networks, gegenüber CSO. “Es geht nicht um Geld, sondern um eine Initiative, die unser Land, in diesem Fall die Vereinigten Staaten – aber wer weiß, vielleicht auch andere Regierungen oder größere Allianzen – für die Geschehnisse in diesem Bereich sensibilisiert”, betont der Experte.

Marty Edwards, stellvertretender Chief Technology Officer für OT und IoT bei Tenable, erklärt gegenüber CSO: “ETHOS entstand vor ein paar Jahren. Eine Gruppe von Wettbewerbern im Bereich der OT-Cybersicherheit kam zusammen und sagte: ‘Wir machen nicht genug Fortschritte.’ Es wurde ziemlich offensichtlich, dass einige von uns über proprietäre Lösungen für den Informationsaustausch verfügten, aber was der Gemeinschaft wirklich fehlte, war eine herstellerunabhängige, technologieneutrale Möglichkeit, all diese Bedrohungsinformationen auszutauschen, unabhängig davon, welche Cybersicherheitsplattform ein Kunde im Einsatz hat, damit wir sie zusammenführen, analysieren und einige Frühwarnindikatoren aus diesem System gewinnen können.”

Wie Brian Dunphy, Vice President of Product Management bei Claroty, erklärt, soll ETHOS ein System zum Austausch von Bedrohungs- und Angriffsinformationen sein: “Ich denke, was es von anderen Versuchen anderer Anbieter unterscheidet, ist die Tatsache, dass es herstellerunabhängig und offen sein soll. So können Sie unabhängig vom verwendeten Anbieter von diesem System zum Austausch von Bedrohungsdaten profitieren, um sich als Nutzer kritischer Infrastrukturen letztlich besser zu schützen.”

ETHOS befindet sich noch in der Anfangsphase

In diesem Anfangsstadium ist unklar, wie ETHOS genau funktionieren wird. Eines scheint festzustehen: Alle Organisationen können kostenlos zu ETHOS beitragen. Allerdings müssen einzelne Unternehmen, die im Verwaltungsrat vertreten sind, eine jährliche Gebühr entrichten.

Carcano von Nozomi Networks gibt ein Beispiel dafür, wie ETHOS funktionieren könnte, und zwar anhand von vier hypothetischen Öl- und Gasunternehmen. Dabei betreibt jedes seine eigene Technologie, bei der eine bestimmte verdächtige IP-Adresse auftritt. ETHOS kann die Daten aller Mitwirkenden korrelieren und warnen: “Hey, sei vorsichtig. Im gleichen Zeitraum tauchte dieselbe IP-Adresse bei vier sehr unterschiedlichen Öl- und Gasunternehmen im ganzen Land auf.”

Dunphy ergänzt: “Wir erwarten, dass traditionellen Bedrohungsindikatoren ausgelöst werden, seien es IP-Adressen, Hash-Signaturen oder andere IOCs [Indikatoren für eine Gefährdung]. Das sind also die Indikatoren der ersten Phase, die wir weitergeben wollen.”

Der Claroty-Experte führt aus: “Sobald die IOCs analysiert sind, sollten wir in der Lage sein, zu erkennen, dass plötzlich ein Anstieg dieses bestimmten Indikators zu verzeichnen ist, oder dass eine ganze Reihe neuer Indikatoren, die wir zuvor nicht gesehen haben, zu einem bestimmten Zeitpunkt ausgelöst werden.” Auf diese Weise können Fragen beantwortet werden wie: “Hey, wir sehen diese Angriffe, aber sind diese Angriffe isoliert? Sind sie breit angelegt? Erleben wir einen Anstieg von Angriffen einer bestimmten Art?'”

Wie sich ETHOS weiterentwickeln wird

Die Unternehmensgruppe arbeitet aktuell an einer frühen Version der ETHOS-Plattform, wobei ein Teil des Codes dank der unentgeltlichen Arbeit der Gründungsunternehmen bereits geschrieben wurde. ETHOS hat noch keine Mitarbeiter, aber Mitbegründer Carcano geht davon aus, dass sich ETHOS nach dem Vorbild der Open-Source-Software Linux entwickelt: “Linux begann als eine Gruppe von Freiwilligen, wurde aber schließlich zu einer einflussreichen gemeinnützigen Organisation mit eigenen Mitarbeitern. Das könnte möglicherweise eines Tages auch bei ETHOS der Fall sein.”

Edwards von Tenable sieht die Entwicklung von ETHOS in zwei Phasen: “Die erste Phase besteht darin, dass alle Mitgliedsorganisationen, die Cybersicherheitsprodukte anbieten, API-Hooks in unsere Umgebung einbauen. Damit können wir Daten anonym zur Verfügung stellen, wenn sich der Kunde dafür entscheidet, die Daten zur Analyse an die ETHOS-Infrastruktur zu senden. Er fügt hinzu: “Das ist kein leichtes Unterfangen, wenn man von vielleicht einem Dutzend verschiedener Konkurrenten oder Unternehmen spricht, die ihre eigenen Produkte und Strukturen im Einsatz haben.”

Die zweite Phase, die parallel zur ersten stattfindet, ist der Aufbau der Datenanalyseplattform, bei der Edwards die Bundesregierung als große Hilfe sieht. “Hier hoffen wir – und wir haben bereits gute Gespräche mit Organisationen wie CISA oder dem Energieministerium geführt -, dass wir mit einigen der staatlichen Analyseeinrichtungen zusammenarbeiten können, um einen Teil der analytischen Arbeit zu übernehmen”, so Edwards.

Die Unternehmen, die hinter ETHOS stehen, betonen, dass ETHOS nicht im Besitz eines einzelnen Unternehmens ist: “Dies ist ein Gemeinschaftsprojekt. Wir hoffen, dass wir eine technologieneutrale dritte Partei [zum Aufbau von ETHOS] gewinnen können, sei es eine staatliche Einrichtung, ein Zentrum für den Informationsaustausch und die Analyse oder, ganz offen gesagt, ob wir unsere eigene Einrichtung unter der gemeinnützigen Organisation aufbauen müssen.”

Nach Meinung des Vice President of Product Management bei Claroty gilt es zwei Missionen zu erfüllen: “Zum einen den Schutz der kritischen Infrastrukturen unserer Kunden, zum anderen aber auch eine umfassendere Aufgabe, nämlich einen Beitrag zum Schutz der gesamten Gemeinschaft kritischer Infrastrukturen zu leisten.” (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.