Fortinet: Interview mit Mirco Kloss und Enzo Sabbattini

Gestern erhielt die VINTIN den „Operational Technology Partner of the Year Award 2020“ von Fortinet. Im Zuge dessen unterhielten wir uns mit Mirco Kloss, Business Development Manager Operational Technology DACH bei Fortinet, und Enzo Sabbatini, OT/IoT Systems Engineer bei Fortinet.

VINTIN: Fortinet ist unser gesetzter Partner im OT-Security Bereich und ein absoluter Technologieführer. Seit wann vertieft Ihr euch schon ins Thema?

Mirco Kloss: Das Adressieren dieses Marktes und den Anforderungen unserer Kunden gerecht zu werden besteht bereits seit der Gründung im Jahr 2000. Für diesen Markt spezielle Hardware, sogenannte Rugged Devices, haben wir bereits seit mehreren Modell-Generationen im Portfolio. Zudem besteht seit Jahren eine enge Partnerschaft mit der deutschen Energiewirtschaft, hier wird gemeinsam an der Umsetzung von Cybersicherheit mit Augenmerk auf die Energiewende gearbeitet. Viele Kunden aus den verschiedensten Branchen, ob Energie, Fertigung, Stadtwerke, Automotive, Chemie, Pharma oder Gesundheitswesen, uvm. vertrauen bereits seit Jahren auf die Lösungen von Fortinet im IT, aber eben auch OT Bereich. Fortinet hat zudem schon einige Jahre dedizierte globale Ressourcen für den Bereich OT-Security, welche seit einiger Zeit auch lokal etabliert werden und wir daher mittlerweile mit einigen dedizierten OT-Security Spezialisten für Kunden und Partner in Deutschland bereitstehen.

VINTIN: IT-Security und OT-Security wachsen immer stärker zusammen. Haben Sie ein konkretes Beispiel aus Ihren Projekten, an dem das besonders klar nachzuvollziehen ist?

Enzo Sabbatini: In den ersten OT Projekten stand die Segmentierung zwischen IT-Netzwerk und OT-Netzwerk im Vordergrund (FortiGate zwischen IT und OT). In den weiterführenden Projekten ging es, um Visualisierung bzw. eine Transparenz zu schaffen, welche Assets sich im OT-Netzwerk befinden, um auf Basis dieser Erkenntnis eine weiterführende Segmentierung bis Mikro Segmentierung zu realisieren. Insbesondere hierbei kommen in den Projekten unsere „Industrial Signatures“ auf der FortiGate zum Tragen! Mittels FortiGate und FortiSwitche sind wir in der Lage, die gewünschte Segmentierung zu realisieren und bekommen noch eine detaillierte Übersicht der Kommunikation innerhalb des OT-Netzwerkes. Da der OT-Bereich als sehr sensibel eingestuft werden muss, besteht in erster Linie der Bedarf des Monitoring – sprich – Detection. Dies wird sich in naher Zukunft auch langsam richtig Prävention bewegen.

Ein weiterer Ansatz ist, bestehende Systeme (wie z.B. embedded Windowsysteme) bei denen nicht die Möglichkeit besteht einen Security Client installieren zu können, mit einer vorgelagerten FortiGate im Transparent Mode die benötigten Security Feature zu implementieren.

VINTIN: Welche Rolle spielt die Fortinet Security Fabric im OT-Security Bereich?

Mirco Kloss: Sichtbarkeit, Segmentierung und ein sicherer Zugang lässt sich nur mit einem ganzheitlichen Ansatz erreichen. Mit unserem breiten Portfolio sind wir in der Lage über das Purdue Modell hinweg Lösungen für die Cybersicherheit zu bieten, aber eben auch mit weiteren Herstellern zu erweitern. Die Fortinet Security Fabric ist daher die perfekte Plattform, da wir nicht nur die Fortinet eigenen Lösungen, sondern auch andere Hersteller aus dem OT Bereich integrieren. Eine Sichtbarkeit der Industrieprotokolle durch unsere Next Generation Firewall kombiniert mit OT-Monitoring und Inventarisierung Tools bringt einen vollständigen Einblick in die OT Anlagen. Die Segmentierung, als ein weiterer essentieller und notwendiger Schritt, wird ebenfalls durch unsere Next Generation Firewalls umgesetzt. Zusätzlich lässt sich durch die Kombination mit unseren FortiSwitchen eine sichere Micro-Segmentierung mit einem Layer 2 Ansatz umsetzten, was erhebliche zeitliche Vorteile bei der Umsetzung von Security Konzepten in den Anlagen bedeutet. Auch für den sicheren Zugang für Mitarbeiter, Wartungsunternehmen und Maschinen bietet die Security Fabric Lösungen, sowie auch den Weg aus den Unternehmen heraus abzusichern bei Anwendungen wie z.B. Predictive Maintenance oder Digitaler Zwilling. Abgerundet wird die Plattform durch die verhaltensbasierte Überprüfung von Dateien auch auf OT Protokolle unserer Sandbox, sowie eine Honeypot Lösung des FortiDeceptor. Für die zusätzliche Absicherung von Endpunkten wie z.B. Engineering Stations und HMIs haben wir FortiEDR im Portfolio und bieten damit eine Endpoint Detection und Response Lösung auch für den OT Bereich. Übergeordnete Lösungen wie SIEM und SOAR sind ebenfalls von Fortinet verfügbar. Unser Portfolio und somit auch die Fortinet Security Fabric wird stetig weiterentwickelt um immer aktuell den Kundenbedürfnissen in OT wie auch IT gerecht zu werden.

VINTIN: Wie seht ihr insbesondere den deutschen Mittelstand derzeit aufgestellt? Wie schätzt ihr die Bedrohungslage ein?

Enzo Sabbattini: Die Bedrohungslage würde ich als sehr gravierend einschätzen!

War das OT-Netzwerk bislang von der Außenwelt isoliert – auch als „air-gapped“ bezeichnet – und wird dann über ein IT-Netzwerk mit dem Internet verbunden, sind plötzlich alle Geräte im OT-Netzwerk der gesamten Bedrohungslandschaft ausgesetzt. Betriebstechnologie ist von Natur aus nicht sicher, da bei ihrer Entwicklung ursprünglich davon ausgegangen wurde, dass diese Geräte gar nicht in Kontakt mit externen Bedrohungen kommen. Diese Angriffsfläche wird durch den zunehmenden Fernzugriff durch Dritte auf OT-Netzwerke noch erweitert, wodurch neue Sicherheitslücken entstehen.

Salopp gesagt ist die OT auf dem Stand der IT vor ca. 10 Jahre! Es existiert nahezu keine Transparenz hinsichtlich Asset Management, Patch-Level und Traffic Analyse. Segmentierung innerhalb vom OT-Netzwerk wird nur vereinzelt umgesetzt und eine Prävention ist nicht vorhanden.

VINTIN: Herr Sabbattini, was sind aus Ihrer technischen Sicht die drei absoluten Must-Haves für Unternehmen, um die OT-Security sinnvoll aufzustellen?

Enzo Sabbattini:

1. Transparenz (Identifizierung, Klassifizierung und Priorisierung von Anlagen, Systemen und Geräten):
   Bedingt durch die Transparenz über den Datenverkehr erhalten OT-Security-Teams umsetzbare Informationen und können genau festlegen, wer auf welche Übertragungen, Ports, Protokolle, Anwendungen und Dienste zugreifen darf. Durchsetzungspunkte gewährleisten zudem einen verlässlichen Schutz für den Nord-Süd- und Ost-West-Datenverkehr.
2. Kontrolle (Segmentierung, sichere LAN- und WLAN-Zugänge):
   Sie können sich darauf verlassen, dass jedes OT-System und -Subsystem genau das macht, was es soll – und nicht mehr. Die Multifaktor-Authentifizierung stellt sicher, dass den richtigen Mitarbeitern die korrekten Berechtigungen zugewiesen werden und diese über entsprechende Zugriffsrechte verfügen. Weiter erhalten Sie mit der Netzwerk- und Mikro-Segmentierung einen mehrstufigen Ansatz mit Kontrollzonen für verschiedene Unternehmensebenen. Zudem gibt es Sandboxing, dass Bedrohungen im OT-Netzwerk erkennt und durch eine automatische Quarantäne verhindert, dass dieser Schade anrichten.
3. Kontinuierliche Überwachung (Analyse des Datenverkehrs auf Bedrohungen und Schwachstellen):
   Die kontinuierliche Verhaltensanalyse in OT-Netzwerken liefert Ihren Teams genaue Informationen darüber, was im Netzwerk vor sich geht (was, wo, wann, wer, wie). Für diese Analyse werden laufend Daten über bekannte und unbekannte Bedrohungen gesammelt. Ein zentrales Security-Tool hilft bei der Protokollierung, Berichterstellung und Analyse und wertet die systemweit gesammelten Aktivitäten aus. Dieses Tool bietet neben Sicherheitsinformationen auch Möglichkeiten, auf Vorfälle zu reagieren (Ereignis-Management) sowie eine Automatisierung der Security-Orchestrierung und Reaktionsfunktionen. Wie gut es um die Sicherheit Ihrer Betriebstechnologie bestellt ist, zeigen Analysen des Benutzer- und Geräteverhaltens. Diese Bedrohungsanalysen sorgen für einen kontinuierlichen Schutz.

VINTIN: Abschließend noch eine Frage zur IEC-Norm 62443: Im OT-Security-Bereich ist diese enorm von Bedeutung. Wie kann Fortinet dabei unterstützen, die Anforderungen zu erfüllen?

Mirco Kloss: Diese Norm richtet sich hauptsächlich an Hersteller, Integratoren und Betreiber von OT Anlagen. Auch befasst sich diese Norm mit Konzepten und Richtlinien zu den Cybersicherheitsanforderungen, aber auch mit der Umsetzung dieser. Wenn hier die Norm z.B. von Zones und Conduits spricht, können wir dieses entsprechend mit unseren Next Generation Firewalls umsetzen in dem wir die Zonen segmentieren und die Conduits, also die Kommunikation zwischen den Zonen, überwachen und auch kontrollieren. Ein weiteres Beispiel ist das Kapitel über den Umgang mit Wartungszugängen, auch hier können wir durch entsprechende Technologie unterstützen dieses um- und durchzusetzen. 2-Faktor-Authentifizierung, VPN-Zugänge sowie VPN-Portale und die Absicherung von evtl. vorhandenen Jump Host sind hier nur beispielhaft zu nennen. Ebenfalls befasst sich die Norm unter anderem mit dem Umgang von Patch Management. Da in OT Umgebungen ein Patching häufig langwierig bis manchmal unmöglich ist, helfen wir mit dem sogenannten Virtual Patching indem wir über IDS Systeme Angriffe auf bekannte Schwachstellen erkennen und melden, aber auch, falls gewünscht, dieses in ein IPS schalten können um diese Angriffe auch gezielt abzuwehren und nicht eben erst gar nicht zuzulassen. Als Beispiel könnte man hier die SMBv1 Schwachstelle, auch EternalBlue genannt, erwähnen welche zu dem verehrenden Wannacry Angriff geführt hat. Die SMBv1 Kommunikation kann technologisch entsprechend untersagt werden um diesen Angriff nicht mehr zuzulassen. Sind nun aber noch Anlagen in Betrieb, welche darauf zwingend angewiesen sind, lasse ich explicit nur dieses per Policy zu und überwache diese. Zusammengefasst ist die Anwendung der Norm, wie auch z.B. die dort genannte Zuordnung der Maturity und Security Level, etwas das Kunden gemeinsam mit Ihren Partnern erarbeiten und in einen Prozess überführen und etablieren. Wir seitens Fortinet bieten dann die benötigte Technologie, welche zur Umsetzung dieses Prozesses dient.