Zwei Dinge haben die bedrohungsgerechten Veränderungen definiert, die in den letzten drei Wochen protokolliert wurden.

· Staatlich unterstützte Bedrohungsakteure greifen nun die meisten Ziele an

· Angreifer verwenden keine Malware, sondern melden sich mit gestohlenen Anmeldedaten an und nutzen Anwendungen und Dienste als Waffe

Das Jahr 2026 hat im Wesentlichen die "Advanced" im APT neu definiert. Wir kämpfen nicht nur gegen Malware; wir kämpfen gegen "Living-off-the-land"-Techniken, bei denen staatlich unterstützte Akteure legitime Verwaltungstools verwenden, um sich in den Hintergrundlärm einer Produktions-oder Versorgungsumgebung einzufügen. Diese Tarnung ist in der Regel so erfolgreich, dass APT-Gruppen zu einem Zeitpunkt ihrer Wahl zuschlagen können, nachdem sie Zugangsdaten von Datenhändlern gesammelt haben.

In dieser Landschaft wird NIST SP 800-171 zu einem unverzichtbaren Standard für die Sicherung Ihrer Infrastruktur. Wenn Sie der Tabellenkalkulation des Prüfers über den Weg schauen, ist 800-171 ein Plan zur Reduzierung der betrieblichen Entropie, die APTs benötigen, um sich zu verstecken. Es hat auch Kontrollen, die ein sehr hohes Maß an Abschreckung gegen Hacker bieten können und den Verteidigern Vertrauen geben, ihre Sicherheitsmaßnahmen messbar zu erhöhen.

NIST SP 800-171 wurde ursprünglich entwickelt, um einen standardisierten Satz von Cybersicherheitsanforderungen für die Sicherung von kontrollierten, nicht klassifizierten Informationen (CUI) zu bieten, die in nicht-bundesstaatlichen Systemen und Organisationen gespeichert sind. Es wurde entwickelt, um sicherzustellen, dass Auftragnehmer, Unterauftragnehmer und Forscher, die Regierungsdaten schützen, konsistente Sicherheitspraktiken beibehalten, ohne komplexe Kontrollen auf Bundesagenturebene implementieren zu müssen.

Einer der wesentlichen Vorteile ist dieser: NIST SP 800-171 bietet auch eine Teilmenge der strengeren Kontrollen, die in NIST SP 800-53 aufgeführt sind. Dies hilft, die Einhaltung für kleinere Unternehmen und nicht-bundesstaatliche Organisationen leichter und rechtzeitiger zu gestalten.

In den USA hilft NIST SP 800-171 Auftragnehmern, die Defense Federal Acquisition Regulation Supplement (DFARS) einzuhalten und wird berechtigt, staatliche Verträge zu gewinnen, die finanziell lukrativ und imagefördernd sind.

In der heutigen Blog-Post tauchen wir tief in die Grundlagen von NIST SP 800-171 und wie man diesen Schlüsselstandard einhalten kann. Wir bieten auch eine Checkliste, die Sie verwenden können, um Ihre Infrastruktur mit diesem Standard zu verteidigen.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blogbeitrag hier zu „Deconstructing the Intuitive Surgical data breach“ zu lesen.

Der Zugangskontroll-Graben (AC): Beseitigung des lateralen Drehpunktes

Es ist selten, dass ein APT-Akteur direkt auf einer Human Machine Interface (HMI) landet. Sie landen stattdessen auf einem IT-Arbeitsplatz und schwenken um. 800-171's Access Control (3.1)-Familie kann Ihr Hauptwerkzeug sein, um diese Kette zu brechen.

• Taktischer Wechsel: Verwalten Sie nicht nur Benutzer, sondern auch Abläufe und Lücken. Verwenden Sie Kontrolle 3.1.3 (Kontrolle des CUI-Flusses), um „Leitungen“ zwischen Ihren IT- und OT-Zonen strikt zu definieren. Wenn ein Arbeitsplatz absolut nicht mit dem PLC-Subnet sprechen muss, sollte dieser Pfad nicht existieren, nicht einmal für Administratoren.

• Der APT Widerstand: Durch die Durchsetzung des geringsten Vorteils (3.1.5) zwingen Sie einen Angreifer dazu, „laute“ Aktionen (wie Credential Dumping oder Privilegienerweiterung) durchzuführen, die Alarme auslösen und ihre Aktivitäten offenlegen.

Konfigurationsmanagement (CM): Verweigerung der „Living off the Land“-Strategie

Moderne APTs wie APT 41 bringen keine eigenen Werkzeuge mit. Stattdessen verwenden sie Ihre (PowerShell, WMI, SSH). Wenn Ihre Umgebung eine "wähle dein eigenes Abenteuer" aus verschiedenen Betriebssystemversionen und offenen Ports ist, bieten Sie dem Angreifer ein riesiges Toolkit. Ihre Infrastruktur gegen Sie zu verwenden, macht die Aufgabe der Kontrolle eines Cyberangriffs oder Vorfalls schwieriger. Deshalb wird ein frühzeitiges Handeln empfohlen.

• Taktischer Wechsel: Verwenden Sie Kontrolle 3.4.1, die mit der Festlegung von Basislinienkonfigurationen verbunden ist, als Abwehrwaffe. In einer OT-Umgebung ist eine Basislinie nicht nur ein Dokument; es ist ein bekannter Zustand. Wenn ein Windows-basierter Engineering Workstation (EWS) plötzlich einen neuen Dienst oder einen nicht autorisierten Port geöffnet hat, ist dies ein Indikator für einen Kompromiss (IoC). Obwohl IOCs nicht immer laut sind, können Sie zumindest die potenziell kompromittierten Ziele eingrenzen. Dies gibt Ihnen mehr Bandbreite, um sich auf andere Prozesse oder Vermögenswerte zu konzentrieren, die nach der Sicherung eines Großteils Ihrer Infrastruktur gegen unbefugte Änderungen weiterhin gefährdet sein könnten.

• Das Ergebnis: Sie gehen über von "schlechte Dateien suchen" zu "unbefugte Änderungen erkennen."

Vorfallreaktion und Überwachung (IR/SI): Den Geist finden

Die größte Stärke eines APT ist die Verweildauer. Sie bleiben monatelang im System und warten geduldig darauf, zuzuschlagen. Die Familien System und Informationsintegrität (3.14) und Audit und Verantwortlichkeit (3.3) von 800-171 sind darauf ausgelegt, dieses Zeitfenster zu verkürzen.

• Taktischer Wechsel: Konzentrieren Sie sich auf Kontrolle 3.14.6 (Überwachen Sie das Informationssystem). In OT bedeutet dies, nach Anomalien in Industrieprotokollen (Modbus, DNP3, S7) zu überwachen. Ein APT könnte keinen traditionellen Virenscan auslösen, aber er wird einen Alarm auslösen, wenn er Register abfragt, die er zuvor nie berührt hat. Sie können auch spezifische Audits durchführen, um APTs zu identifizieren, die möglicherweise in Ihrer Umgebung verweilen.

• Ergebnis: Zusätzlich zur Offenlegung jeglicher APT-Aktivität gewinnen Sie Zeit. Das bedeutet, dass Sie tatsächlich einen Vorfall verhindern können, indem Sie die APT-Präsenz gezielter beseitigen.

NIST SP 800-171 Kennzahlen, die zählen (KPIs)

Hören Sie auf, die "Anzahl der blockierten Angriffe" zu verfolgen. Das ist eine Eitelkeitskennzahl. Um Ihre Widerstandsfähigkeit gegen einen APT zu messen, verfolgen Sie diese Ergebnisse:

Mittlere Zeit bis zur Detektion (MTTD) unautorisierter Konfigurationsänderungen

• Das Ziel: Erkennen Sie eine Änderung an einer Basislinie (3.4.1) innerhalb von Minuten, nicht Wochen.

• KPI: Verstrichene Zeit von einer Konfigurationsänderung an einem kritischen OT-Vermögenswert bis zu einem Alarm, der im SOC/Dashboard erscheint.

Segmentation „Bypass“-Versuchsrate

• Das Ziel: Sicherstellen, dass Ihre „Zonen und Leitungen“ halten/bleiben durchgesetzt.

• KPI: Anzahl der abgelehnten Verbindungsversuche von der IT-Zone zur OT-Zone, die nicht dem autorisierten „Fluss“ entsprechen, der in 3.1.3 definiert ist.

„Blast Radius“ der Anmeldedaten

• Das Ziel: Begrenzung, wie weit ein kompromittiertes Konto gehen kann.

• KPI: Der Prozentsatz der administrativen Konten, die Zugriff auf sowohl IT- als auch OT-Umgebungen haben. (Dies sollte idealerweise 0 sein).

Integrität der Protokolldateien

• Das Ziel: Sicherstellen, dass bei einem Angriff der „Black Box“-Rekorder nicht manipuliert wurde.

• KPI: Erfolgsrate automatisierter Protokollintegritätsprüfungen (Kontrolle 3.3.1/3.3.2).

Last but not least: Compliance ist der Boden, nicht die Decke

Eine APT-Gruppe gewinnt, wenn sie eine Lücke zwischen Ihrer Richtlinie und Ihrer Realität findet. Die Verwendung von NIST SP 800-171 zur Abwehr von APTs dreht sich nicht nur um Papierkram oder Schulung; es geht darum, eine hochpräzise Umgebung zu schaffen. Wenn Ihr Netzwerk sauber, segmentiert und entsprechend einer strengen Basislinie überwacht wird, werden die "erweiterten" Techniken eines staatlich unterstützten Akteurs zu offensichtlichen Anomalien.

Zusätzliche Ressourcen

Hier ist eine spezifische Checkliste, die wir eingerichtet haben, um Ihnen dabei zu helfen, NIST SP 800-171 strukturiert einzuhalten.
Leitfaden zur Verteidigungshaltung
OT Sicherheits-Basisbewertung Checkliste  
NIST MEP für Hersteller