ExtraHop: Attacke auf Colonial Pipeline – NDR-Lösungen

ExtraHop: Attacke auf Colonial Pipeline – NDR-Lösungen

Was der Angriff auf die US-Pipeline Colonial für kritische Infrastrukturen bedeutet und wie Sie Ihre Kunden mit Extrahop vor solchen Angriffen schützen können

Der Cyber-Angriff auf die Colonial Pipeline in den USA zeigt deutlich, dass die Anzahl von Ransomware-Attacken sowohl auf private Unternehmen als auch auf den öffentlichen Sektor immer weiter zunehmen.

In diesem Fall scheint es sich um eine Ransomware-Variante von DarkSide zu handeln, die ExtraHop in Kundenumgebungen bereits wahrgenommen hat. Diese Attacke beginnt mit dem Ausspionieren der Netzwerk-Umgebung und dem illegalen Transfer von Daten. Dies bedeutet, dass die Angreifer dadurch sehr wahrscheinlich Zugriff auf detaillierte Informationen über das Unternehmen und seine Pipeline-Vorgänge haben. Dann beginnen die Angreifer, Systeme zu verschlüsseln, wodurch ganze Teile der Infrastruktur nicht mehr verfügbar sind.

Angriffe wie diese, die auf die öffentliche Infrastruktur abzielen, sollten als Warnung dienen und die möglichen Auswirkungen von Angriffen, sowohl von kriminellen Organisationen als auch von hoch entwickelten nationalstaatlichen Akteuren verdeutlichen.

Schutz kritischer Infrastrukturen mit NDR-Lösungen von Extrahop

Die Abhängigkeit von TCP / IP-Übertragungen über den gemeinsamen Ethernet-Standard hat viele unserer kritischen Infrastrukturen anfällig gemacht. Insbesondere Unternehmen aus den Bereichen wie Energie, Chemie oder Logistik verwenden alle eine Art verteiltes Netzwerk, um sehr vertrauliche technische oder industrielle Prozesse zu steuern. Diese Prozesse steuern elektrische Schalter oder Ventile, messen Temperatur, Durchflussrate, Spannung oder betreiben automatisierte Maschinen.

Die Endpunkte, welche diese Prozesse verwalten, werden allgemein als industrielle Steuerungssysteme (ICS) bezeichnet. Diese Controller verwalten Prozesse und sammeln Prozessinformationen. Sie fungieren in der Regel in einigen Branchen als Aufsichtsebene.

Über dieser Ebene befindet sich in der Regel die Befehlsebene. Diese hält die Kontrolle über die anonymen ICS-Geräten an verschiedenen Orten in automatisierten Prozessen und physischen Einrichtungen. Diese Ebene besteht aus den vernetzten Computersystemen, typischerweise mit proprietären Anwendungen, die zum Verwalten und Steuern der industriellen Steuergeräte verwendet werden.

Der Nutzen von NDR-Lösungen (Network Detection and Response) wie ExtraHop Reveal (x) besteht darin, dass sie einen vollständigen Einblick in die Übertragungen und Kommunikationen gewähren, die sowohl auf der Überwachungsebene als auch auf der Befehlsebene stattfinden. Der reine Endpunktschutz kann die Überwachungsebene und die Befehlsebene nicht schützen. Nur die vom NDR bereitgestellte Sichtbarkeit kann die Integrität der industriellen Prozesse selbst schützen, indem alle vernetzten Kommunikationen umfassend beobachtet und analysiert werden.

EDR als Stand-Alone ?

Die EDR-Lösung ist wichtig und richtig. Sie ist ein notwendiges Werkzeug zum Schutz der Endpunkte. In einer entfernten und verteilten Umgebung ist EDR in vielerlei Hinsicht die erste Verteidigungslinie. Für Industriezweige, die unsere kritischen Infrastrukturen für Fertigung, Energie, Materialien und Logistik umfassen, sind die NDR-Lösungen jedoch zu einer absoluten Notwendigkeit geworden. Es ist die beste, letzte und in einigen Zusammenhängen die einzige Verteidigungslinie. NDR–Lösungen bieten einen Frühwarnmechanismus, der die kritische Befehls- und Überwachungsebene vor einer Verletzung des Unternehmensnetzwerks schützt.

Sollten Sie Fragen zu diesem Thema haben, steht Ihnen unser Kollege Andreas Schulz gerne zur Verfügung: E-MAIL

Mehr zu unserem Hersteller ExtraHop finden Sie hier: Herstellerübersicht