Remote Incident Management für OT-Umgebungen

The Claroty Platform – Alert View – configuration download _ root cause analysis

Der Spezialist für industrielle Cybersecurity Claroty erweitert seine OT-Sicherheitsplattform und bietet nun Remote Incident Management als vollständig integrierte Funktionalität, die den gesamten Lebenszyklus eines Vorfalls abdeckt. Dadurch können Security-Teams Sicherheitsvorfälle in OT-Netzwerken mit ihren immer breiter werdenden Angriffsflächen sicher und nahtlos von jedem beliebigen Standort aus erkennen, untersuchen und auf sie reagieren.

Die digitale Transformation führt zu einer immer stärkeren Konvergenz von IT- und OT-Netzwerken, was durch COVID-19 und die damit einhergehende flächendeckende Umstellung auf Remote Work noch beschleunigt wurde. Hierdurch entsteht jedoch eine deutlich größere Angriffsfläche und Cybersicherheitsteams sehen sich mit einer zunehmenden Zahl an Warnmeldungen konfrontiert.

„Im Zentrum der neuen Version steht vor allem die Möglichkeit, nicht nur Asset-basierte Attacken, sondern auch identitätsbasierte Angriffe zu erkennen, zu untersuchen und darauf zu reagieren“, sagt Grant Geyer, Chief Product Officer von Claroty. „Unsere Kunden können nun ihren OT-Sicherheitsstatus, ihre Strategie und ihre Arbeitsabläufe für eine flexible Arbeitsumgebung weiterentwickeln, während sie gleichzeitig vor feindlichen Aktivitäten geschützt sind.“

Neue Features

Mit ihren verbesserten Komponenten Secure Remote Access (SRA) 3.1 und Continuous Threat Detection (CTD) 4.2 deckt die Claroty-Plattform nun alle drei Phasen des Lebenszyklus eines Vorfalls ab:

  • Erkennung: Gemäß dem Report „The Critical Convergence of IT and OT Security in a Global Crisis“ (Die kritische Konvergenz von IT- und OT-Sicherheit in einer globalen Krise) sieht sich seit Beginn der COVID-19-Pandemie im März mehr als die Hälfte der Industrieunternehmen weltweit größeren Cyber-Risiken ausgesetzt – in der DACH-Region liegt dieser Wert sogar bei 75 Prozent. Dies verdeutlicht die Bedeutung einer raschen Entdeckung und Identifizierung nicht autorisierter Aktivitäten. Die Claroty-Plattform ist in der Lage, autorisierte Fernanwender-Aktivitäten präzise zu identifizieren und von unautorisierten, potenziell gefährlichen Aktivitäten zu unterscheiden. Claroty nutzt dabei zusätzlich Informationen von ähnlichen Ereignissen aus seinem gesamten Kundenstamm, um einen Kontext für die potenziellen Auswirkungen der Warnung zu liefern und den Benutzern eine effektivere und effizientere Reaktion zu ermöglichen.
  • Untersuchung: Die Zunahme sowohl der Telearbeit als auch der böswilligen Aktivitäten erfordert eine schnellere Identifizierung potenziell gefährlicher Aktivitäten in entfernten Umgebungen. Die verbesserte Plattform von Claroty verschafft den SOC-Teams volle Transparenz über die Aktivitäten von Remote-Benutzern, und zeigt, wie sich in einem Netzwerk festgestellte Indikatoren einer Kompromittierung auf andere Bereiche auswirken. Die Security-Teams können Vorfälle von jedem beliebigen Ort aus untersuchen und erhalten den nötigen Kontext in Bezug auf die geschäftskritische Relevanz und die Prozesswerte der an solchen Vorfällen beteiligten Anlagen. Dadurch wird der Bedarf an Personal vor Ort minimiert, während gleichzeitig die Untersuchungen optimiert werden, etwa durch Live-SRA-Sitzungen einschließlich Videoaufzeichnungen in voller Länge oder Bedrohungswarnungen mit Reputationskontext aus der Claroty-Community.
  • Reaktion: Auch wenn die IT- und OT-Netzwerke seit Beginn der Pandemie immer stärker miteinander verbunden sind, sehen 62 Prozent große Herausforderungen in der Zusammenarbeit zwischen IT- und OT-Teams. Die Claroty-Plattform überbrückt diese Schwierigkeiten mit ihrer integrierten Schnittstelle und der Möglichkeit, potenziell schädliche OT-Fernsitzungen zu unterbrechen, wodurch der Bedarf an lokalem Personal minimiert und Abhilfemaßnahmen beschleunigt werden. Integrationen mit ServiceNow und Swimlane ermöglichen es Sicherheitsverantwortlichen, alle IT- und OT-Warnungen von einem einzigen Zugangspunkt innerhalb der jeweiligen Plattformen aus zu verwalten. Auf diese Weise können Unternehmen ihre OT-Vorfallsreaktion für eine entfernte oder hybride Belegschaft einfach anpassen.

Durch diese neuen Funktionalitäten ist es nun möglich, das Überwachungs-, Kontroll- und Reaktionsmanagement ganz unabhängig vom Standort und ohne Beeinträchtigung der Effizienz und Leistungsfähigkeit zu optimieren. Unternehmen reduzieren so ihr Cyberrisiko und verbessern gleichzeitig ihre Resilienz.