Warum NERC CIP-015-1 für die interne Netzwerksicherheit ein Muss für die ICS-Verteidigung ist

Die Bedrohungslandschaft für das nordamerikanische Bulk Electric System (BES) entwickelt sich mit dem Aufkommen einer neuen Mischung aus Bedrohungen und Risiken weiter. Da Gegner zunehmend traditionelle Perimeterverteidigungen umgehen, um seitlich innerhalb kritischer Netzwerke zu agieren, sind die Bedrohungen jetzt wirksamer und störender als je zuvor. Über die Störung hinaus stellt die Möglichkeit, dass Bedrohungsakteure Zugriff auf netzwerkverbundene Systeme behalten, eine langfristige Bedrohung dar, die schnell angegangen werden muss. 

Die North American Electric Reliability Corporation (NERC) hat auf solche Herausforderungen reagiert, indem sie einen entscheidenden neuen Standard eingeführt hat: CIP-015-1 – Internal Network Security Monitoring (INSM). Der neue Standard ist nicht nur ein Compliance-Kästchen zum Abhaken, sondern er stellt einen grundlegenden Wandel in der Sicherheit von Industrial Control Systems (ICS) dar, indem er tiefgehende und fortlaufende Sichtbarkeit über die Vertrauenszone hinweg fordert.

Vergessen Sie nicht, unseren vorherigen Blogpost zum Thema „Wie man echte OT-Sicherheitsziele mit IEC 62443-Risikoassessment erzielt“ hier zu überprüfen.

Jenseits des Perimeters: Den Zweck von CIP-015-1 verstehen

Historisch gesehen haben sich die NERC CIP-Standards stark darauf konzentriert, den elektronischen Sicherheitsperimeter (ESP) zu sichern. Dies war im Wesentlichen eine Erweiterung physischer Sicherheitsmaßnahmen auf der Basis von Zugangskontrollen. Der vorherrschende Gedanke war, dass alle Bedrohungen von außerhalb des Perimeters entstehen und wenn die Zäune stark sind, nichts hineinkommen kann.   

Obwohl diese grundsätzlich mit dem damals vorherrschenden Bedrohungsspektrum übereinstimmten, ließ dies einen blinden Fleck: Was passiert, wenn es einem Angreifer gelingt, die erste Verteidigung zu durchbrechen und sich einzuschleichen? Ein Angreifer, der es geschafft hat, sich im Netzwerk zu platzieren, kann sich seitlich bewegen (bekannt als „East-West-Verkehr“), um kritische Betriebstechnologie (OT)-Assets zu kompromittieren. Der Angreifer kann auch mit Hilfe eines Verbündeten innerhalb des Netzwerks eindringen. 

Das Hauptziel von CIP-015-1 besteht darin, die Wahrscheinlichkeit der Erkennung anomaler oder unautorisierter Netzwerkaktivitäten innerhalb des ESP erheblich zu erhöhen und somit eine schnelle und präzise Reaktion und Wiederherstellung nach einem Angriff zu erleichtern.

Warum interne Überwachung entscheidend ist:

• Entdeckung seitlicher Bewegungen: Angreifer verwenden oft gültige (gestohlene) Anmeldedaten zusammen mit regulären Protokollen, um sich innerhalb des Netzwerks zu bewegen und signaturbasierte Perimeterverteidigungen zu umgehen. INSM ist darauf ausgelegt, diese subtilen, anomalen Verhaltensweisen früh im Angriffszyklus zu erkennen.

• Frühe Angriffserkennung: Je schneller ein interner Einbruch erkannt wird, desto weniger Schaden kann ein Angreifer auf kritische Funktionen anrichten. INSM ermöglicht eine frühzeitige Erkennung innerhalb des Angriffszyklus.

• Erfassung von Daten für die Forensik: Das Sammeln, Organisieren und Aufbewahren interner Netzwerkdaten ist unerlässlich, um den Umfang, die Methode und die Dauer eines Angriffs zu verstehen und die Reaktion auf Vorfälle und die forensische Analyse dramatisch zu verbessern. Dies ist auch entscheidend aus der Perspektive der Compliance-Berichterstattung.

Die umsetzbaren Anforderungen: Was können Unternehmen tun?

CIP-015-1 verlangt einen robusten, dokumentierten Prozess für die Überwachung der Netzwerksicherheit innerhalb der Hochwirksamen BES Cyber Systems (mit oder ohne externe routbare Verbindung) und mittleren BES Cyber Systems mit externer routbarer Verbindung.

Die Anforderungen können in drei Hauptbereiche unterteilt werden:

Netzwerksicherheitsüberwachung (Anforderung 1)

Dies ist im Wesentlichen der Kern des Standards, der einen proaktiven, risikobasierten Ansatz für die Überwachung erfordert.

• R1.1: Implementierung von Netzwerkdaten-Feeds: Entitäten müssen eine risikobasierte Begründung verwenden, um Netzwerkdaten-Feed(s) auszuwählen und zu implementieren, die Netzwerkaktivität, einschließlich Verbindungen, Geräte und Kommunikationsmittel, effektiv überwachen. Dies bedeutet, Sensoren strategisch zu platzieren, um die richtige Menge an Sichtbarkeit in wichtige OT-Verkehrsströme und Protokolle zu erhalten.

• R1.2: Erkennung anomaler Aktivitäten: Implementieren Sie eine oder mehrere Methode(n), um anomale Netzwerkaktivitäten mithilfe der gesammelten Datenfeeds zu erkennen. Dies erfordert die Festlegung eines „normalen“ Netzwerkverhaltens—um zu verstehen, wie Ihre OT-Umgebung aussehen sollte, um Abweichungen effektiv zu kennzeichnen.

• R1.3: Bewertung anomaler Aktivitäten: Etablieren Sie Methoden zur Bewertung der erkannten anomalen Aktivitäten, um die erforderliche Reaktion oder weitere Maßnahmen zu bestimmen und sicherzustellen, dass bei Erkennung einer realen Bedrohung eine angemessene Eskalation erfolgt.

Datenaufbewahrung (Anforderung 2)

• R2: INSM-Daten aufbewahren: Sie müssen Prozesse definieren und implementieren, um INSM-Daten in Verbindung mit anomalen Netzwerkaktivitäten für eine ausreichende Dauer aufzubewahren, um den Bewertungsprozess (R1.3) abzuschließen. Dies stellt sicher, dass wichtige Beweise nicht verloren gehen, bevor eine Untersuchung abgeschlossen ist.

Datenschutz (Anforderung 3)

• R3: INSM-Daten schützen: Es müssen Prozesse vorhanden sein, um INSM-Daten (sowohl gesammelte als auch aufbewahrte) vor unbefugter Löschung oder Änderung zu schützen. Die Daten selbst sind ein kritisches Asset für Sicherheit und Compliance und müssen gegen Manipulation gesichert werden.

Empfohlene Schlüsselmaßnahmen für Compliance und verbesserte Verteidigung

Die Erfüllung von CIP-015-1 bietet die Möglichkeit, die Sicherheitslage Ihrer Organisation erheblich zu verbessern. Hier sind umsetzbare Schritte, um von der Compliance zur echten Widerstandsfähigkeit zu gelangen:

Ausblick auf CIP-015-2

Es ist wichtig zu beachten, dass NERC bereits von FERC angewiesen wurde, nachfolgende Modifikationen (potenziell CIP-015-2) zu entwickeln, um den Anwendungsbereich von INSM zu erweitern. Dieser nächste Standard in dieser Serie soll die Überwachung auf Systeme ausdehnen, die außerhalb des ESP angesiedelt sind, insbesondere auf elektronische Zugangskontroll- oder Überwachungssysteme (EACMS) und physische Zugangskontrollsysteme (PACS).

Versorger sollten bereits jetzt diese zukünftige Erweiterung in ihre Planung einbeziehen, da das Ziel ein umfassender, interner Überwachungsansatz ist, der alle Zugriffs- und Zugangspunkte in die CIP-vernetzte Umgebung abdeckt.

Durch die proaktive Implementierung und Verwaltung eines robusten INSM-Programms unter NERC CIP-015-1 erfüllen Elektrizitätsversorger nicht nur eine regulatorische Anforderung, sondern schaffen eine kritische, unverhandelbare Verteidigungsschicht, die für den Schutz der Stabilität und Zuverlässigkeit des Bulk Electric Systems unerlässlich ist.

Um mehr über NERC CIP-015-1 zu erfahren, sprechen Sie mit einem NERC CIP-Experten.