Fähigkeit 5. Bereitstellung von Sicherheitsüberwachung und Reaktion auf Vorfälle - AWS Präskriptive Leitlinien
BegründungSicherheitsüberlegungenAbhilfemaßnahmen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fähigkeit 5. Bereitstellung von Sicherheitsüberwachung und Reaktion auf Vorfälle

Diese Funktion unterstützt die Best Practices 9 und 10 der AWS SRA-Best Practices für das Internet der IoT.

Capability 5 konzentriert sich auf die Implementierung umfassender Mechanismen zur Sicherheitsüberwachung und Reaktion auf Vorfälle in IoT-, IIo T-, OT-, Edge- und Cloud-Umgebungen. Diese Fähigkeit umfasst die Bereitstellung von Protokollierungs- und Überwachungsmechanismen, die zentrale Verwaltung von Sicherheitswarnungen und die Erstellung von Playbooks zur Reaktion auf Vorfälle und Geschäftskontinuitätsplänen, die auf die besonderen Herausforderungen hybrider OT- und IT-Architekturen zugeschnitten sind.

Begründung

Die Integration von OT-, IoT- und IIo T-Technologien mit herkömmlichen IT-Systemen und Cloud-Diensten führt zu neuen Angriffsvektoren und erweitert die gesamte Cyberangriffsfläche. Sicherheitsereignisse können ihren Ursprung in OT-Umgebungen haben und sich auf IT-Systeme ausbreiten, oder sie können ihren Ursprung in IT-Systemen haben und sich auf OT-Umgebungen ausbreiten. Aus diesem Grund ist es wichtig, eine umfassende Sicherheitsüberwachung über die gesamte Angriffsfläche hinweg zu implementieren. Die Implementierung dieser Funktion ermöglicht es Unternehmen:

  • Schaffen Sie einen einheitlichen Überblick über die Sicherheit in OT-, IoT-, IIo T-, Edge- und Cloud-Umgebungen.

  • Erkennen Sie Sicherheitsanomalien und Bedrohungen in Echtzeit und reagieren Sie darauf.

  • Sorgen Sie angesichts von Cybervorfällen für einen unterbrechungsfreien Betrieb.

  • Verbessern Sie die allgemeine Widerstandsfähigkeit der Cybersicherheit und reduzieren Sie die potenziellen Auswirkungen von Sicherheitsverstößen.

Darüber hinaus stellt die Entwicklung von Incident-Response-Plänen und Plänen zur Geschäftskontinuität, die speziell auf mit der Cloud verbundene OT- und IIo T-Workloads zugeschnitten sind, sicher, dass Unternehmen Sicherheitsvorfälle effektiv bewältigen und sich danach erholen können. Dieser proaktive Ansatz minimiert Ausfallzeiten, schützt vor finanziellen Verlusten und schützt den Ruf eines Unternehmens im Falle einer Sicherheitsverletzung oder Betriebsunterbrechung.

Sicherheitsüberlegungen

Der Hauptaspekt, dem diese Funktion Rechnung trägt, ist das Risiko einer verzögerten Erkennung von Sicherheitsvorfällen aufgrund isolierter Überwachung von OT- und IT-Umgebungen. Dies könnte durch die Unfähigkeit verstärkt werden, Sicherheitsereignisse zwischen diesen verschiedenen Technologie-Stacks zu korrelieren. Diese Fragmentierung führt häufig zu einem unzureichenden Einblick in den industriellen Netzwerkverkehr und zu Anomalien und führt dazu, dass kritische Systeme unentdeckten Ereignissen ausgesetzt sind. Darüber hinaus birgt der vernetzte Charakter moderner Industriesysteme das Potenzial für kaskadierende Ausfälle, bei denen sich ein Sicherheitsereignis in einem Bereich schnell auf miteinander verbundene OT- und IT-Systeme ausbreiten und die Auswirkungen eines Vorfalls verstärken kann.

Ein weiteres großes Problem ist die Inkompatibilität herkömmlicher Reaktionsverfahren bei hybriden OT/IT Sicherheitsvorfällen, die Fachwissen und koordinierte Maßnahmen in mehreren Bereichen erfordern. Dies ist angesichts der zunehmenden Bedrohung durch cyberphysische Ereignisse, die auf industrielle Prozesse abzielen, von besonderer Bedeutung. Darüber hinaus bedeutet die Einzigartigkeit miteinander verbundener OT- und IIo T-Systeme oft, dass die Wiederherstellungsmechanismen nach einem Sicherheitsvorfall möglicherweise unzureichend sind und möglicherweise zu längeren Ausfallzeiten und Betriebsunterbrechungen führen können.

Die folgende Abbildung zeigt eine einheitliche System- und Organisationskontrollen (SOC) -Architektur für IT- und OT-Systeme.

Einheitliche IT/OT SOC-Architektur

Abhilfemaßnahmen

Protokollierung und Überwachung der Sicherheit

Verwenden Sie zentralisierte AWS Security Hub CSPM- und Amazon Security Lake-Dienste, um Ereignisse zu erfassen und zu verarbeiten, die für IoT-, IIo T- und Cloud-verbundene OT-Lösungen in Kombination mit dem Rest Ihres Unternehmens relevant sind. AWS Identifizieren Sie anhand separater Anliegen, Zuständigkeiten, IAM-Berechtigungssätze und Identity Center-Zuweisungen die Teams, die die Konfigurationen für die Kontoressourcen ändern können AWS-Konten , die den OT-, IIo T- und Industrial Isolation-Kontoressourcen zugewiesen sind. Alle Sicherheitsereignisse können an Security Hub CSPM gesendet werden, um einen zentralen Überblick über die Sicherheitsergebnisse in Ihren OT-, IoT-, IIo T-, Edge- und Cloud-Umgebungen zu erhalten. Lesen Sie die Empfehlungen zur Protokollierung und Überwachung im Abschnitt Log Archive Account der AWS SRA.

Implementieren Sie ein einheitliches SOC, indem Sie IT- und OT-Sicherheitsdaten in Security Lake integrieren. Auf diese Weise können Sie einen umfassenden Überblick über die IT- und OT-Umgebungen erhalten und eine koordinierte Bedrohungserkennung, eine schnellere Reaktion auf Vorfälle und den sofortigen Austausch von Indikatoren für eine Gefährdung (IoCs) zwischen Umgebungen ermöglichen. Dies ermöglicht ein besseres Verständnis der Bedrohungswege und -herkunft in OT-, IoT-, IIo T-, Edge- und Cloud-Umgebungen. Der Bereich IoT-, IIo T- und OT-SaaS-Lösungen für Partner zeigt, wie OT- und IIo T-Sicherheitsüberwachungslösungen von AWS Partner Network (APN-) Anbietern und anderen als Ergänzung zu den IoT-Edge- und Cloud-Sicherheitsdiensten von AWS verwendet werden können.

Vorfallreaktion

Identifizieren Sie zunächst potenzielle Vorfallszenarien, die für Ihren Einsatz spezifisch sind, wie z. B. die Beeinträchtigung von IoT-Geräten oder Edge-Gateways, Verstöße gegen betriebliche Daten oder Störungen industrieller Prozesse. Erstellen Sie für jedes Szenario detaillierte Reaktionsverfahren (Playbooks), in denen die Schritte zur Erkennung, Eindämmung, Beseitigung und Wiederherstellung beschrieben werden. In diesen Playbooks sollten Rollen und Zuständigkeiten, Kommunikationsprotokolle und Eskalationsverfahren klar definiert sein. Testen Sie diese Playbooks anhand von Übungen am Tisch. In diesen Übungen werden die Verfahren getestet und die Teams geschult, die die Verfahren unter dem Druck eines aktuellen Zwischenfalls umsetzen müssen.

Implementieren Sie kontinuierliche Gesundheitschecks und Überwachungssysteme, um Anomalien zu erkennen, bevor sie zu größeren Vorfällen eskalieren. Automatisieren Sie nach Möglichkeit Erstreaktionsmaßnahmen, um Ereignisse schnell einzudämmen und die Systeme wieder in einen zweifelsfrei funktionierenden Zustand zu versetzen. Wenn Ihre IoT-Umgebung ausgereift ist, sollten Sie diese Playbooks regelmäßig überprüfen und aktualisieren, um neuen Bedrohungen zu begegnen und Erkenntnisse aus früheren Vorfällen oder Simulationen zu berücksichtigen.

Definieren Sie klare Parameter für das Systemverhalten bei Ausfällen oder Unterbrechungen, um Geschäftskontinuität und Notfallwiederherstellung zu gewährleisten. Ermitteln Sie, ob Systeme beim Öffnen oder Schließen ausfallen sollen, ob die Wiederherstellung automatisch erfolgen oder menschliches Eingreifen erfordern soll und unter welchen Bedingungen manuelle Kontrollen aktiviert oder deaktiviert werden sollten. Diese Entscheidungen sollten auf der Kritikalität der Systeme und ihren potenziellen Auswirkungen auf Sicherheit, Betrieb und Umwelt basieren. Testen Sie Ihre Kontinuitäts- und Wiederherstellungspläne, um sicherzustellen, dass sie in verschiedenen Szenarien erwartungsgemäß funktionieren.