Eine Studie von OMICRON, die auf den tatsächlichen Einsatz seines Intrusions-Detektionssystems (IDS) in mehr als hundert Einrichtungen basiert, zeigt, dass die operationellen Technologie-Netzwerke (OT) von Unterstationen, Anlagen und Kontrollzentren immer noch Fehler ausführen, die sie freilassen. Nach dem Verbinden von passiven Sensoren in PAC-Netzwerke (Schutz, Automatisierung und Steuerung) identifizierten die Teams in vielen Fällen kritische Probleme innerhalb von Minuten: unpatched Geräte, unerwartete externe Verbindungen, schlechte Segmentierung und unvollständige Asset-Kataloge, die es schwierig machen zu verstehen, was wirklich im Netzwerk ist.
Die Art der elektrischen Systeme erklärt, warum Netzwerk-Level-Erkennung unerlässlich ist. Viele industrielle Automatisierungsgeräte betreiben keine konventionellen Betriebssysteme und erlauben daher keine Standardsicherheitsgeräte. Daher empfehlen Standards und Frameworks wie das NIST Cybersecurity Framework netzwerkbasierte Erkennungsmöglichkeiten für industrielle Umgebungen ( NIST), und sektorale Standards wie IEC 62443 definieren spezifische Kontrollen für OT (siehe allgemeine Erläuterungen in ISA / IEC 62443)
Die in der Analyse verwendete Methodik kombiniert die passive Überwachung durch Spiegelhäfen oder TAPs und Sonden, die den Verkehr ohne störende Kommunikation beobachten, mit aktiven Konsultationen, wenn das Protokoll erlaubt. Darüber hinaus erleichtert der Betrieb von standardisierten Deskriptoren wie den IEC 61850 SCL-Dateien und die Verwendung von MMS zur Wiederherstellung von "Namensschild"-Daten den Bau von automatischen Geräteinventaren und kennen Firmware, Hersteller und Modell. Diese Mischung von Techniken hilft, die berühmte "Visibilitätslücke" zu schließen, in der viele Operatoren gefangen bleiben ( IEC 61850 - Übersicht)
Zu den wiederkehrenden technischen Erkenntnissen gehören PAC-Geräte mit veralteten Firmware, die bekannte Schwachstellen enthalten; ein dokumentiertes Beispiel ist die CVE-2015-5374, die Bedingungen der Denial of Service in Schutzrelais durch UDP-Pakete ermöglicht und für die seit Jahren Patches vorhanden sind ( CVE Detail) Unsichere Dienste, die nicht aktiv sein sollten, wurden auch lokalisiert, von Windows-Datei-Sharing bis PLCs Debugging-Funktionen, und nicht autorisierte externe TCP / IP-Verbindungen, die an einigen Orten betrug Dutzende von persistenten Zielen. Die besorgniserregendste Erkenntnis war die Frequenz der "Flachnetzwerk"-Architekturen, in denen Hunderte von Geräten die Kommunikation ohne klare Barrieren teilen und den Umfang eines Zwischenfalls drastisch erhöhen.
Die Bereitstellungen bergen nicht nur Cybersicherheitsrisiken: operative Probleme, die die Verfügbarkeit und Integrität der Kommunikation beeinflussen, entstanden. VLAN misleaps und inkonsistente Kennzeichnung von GOOSE-Nachrichten, Fehlanpassungen zwischen TU und SCD-Beschreibungen, die SCADA-Updates, Zeitsynchronisationsfehler und Schleifen oder Fehlkonfigurationen in redundanten Schaltern verhindern, sind Beispiele, die zeigen, wie funktionale Fragilität den Einfluss eines Eindringens verstärken kann.
Der menschliche Faktor und die Organisation wiegen auch stark. OMICRON entdeckte oft diffuse Verantwortung zwischen IT- und OT-Teams, mangelndes Personal, das sich der Arbeitssicherheit und den Haushaltszwängen widmet, die die Umsetzung der Kontrollen verlangsamen. Wenn OT-Sicherheit als IT-Erweiterung ohne Anpassung von Prozessen und Rollen verwaltet wird, sind Maßnahmen oft auf die spezifischen Anforderungen des Energiesektors beschränkt.
Einer der praktischen Vorteile eines passiven IDS in diesen Umgebungen ist seine Fähigkeit, visuelle Darstellung des Verkehrs bereitzustellen, Asset Inventorys automatisch zu generieren und unnötige Verbindungen oder Dienste zu identifizieren. Dies erleichtert die Priorisierung von Patches und Bedienelementen, ohne die Geräte in der Produktion zu berühren, wodurch das Risiko einer Unterbrechung minimiert wird. Werkzeuge mit Kenntnis von Industrieprotokollen (IEC 104, MMS, GOOSE, etc.) erlauben auch Abweichungen vom erwarteten Verhalten durch weiße Listen und bekannte Signaturen zu erkennen, die die Früherkennung verbessert.
Betreiber müssen das Rad nicht erfinden: Es gibt Führer und öffentliche Ressourcen, die helfen, reife und kritische Infrastruktur-adapted OT-Kontrollen zu entwerfen. Agenturen wie die U.S. Infrastructure und Cybersecurity Agency. Die Vereinigten Staaten (CISA) geben Leitlinien für industrielle Kontroll- und Unfallmanagementsysteme aus, die für die Priorisierung spezifischer Maßnahmen nützlich sind ( CISA - ICS) In Europa hat die Agentur der Europäischen Union für Cybersicherheit (ENISA) Empfehlungen zum Schutz des Energiesektors vor modernen Bedrohungen ( ENISA - Energie)
Wenn es eine klare Lektion aus der Studie gibt, müssen die Lösungen für OT und Komplementär sein: automatisierte Vorräte, die die betriebliche Blindheit, die Segmentierung und die Zugriffskontrolle verringern, die den Effektradius begrenzen, Überprüfungen von aktiven Diensten, um unnötige Türen zu schließen, Patching-Richtlinien angepasst an kritische und Koordinationsroutinen zwischen Betrieb und Sicherheit. Es reicht nicht aus, die IT ohne Anpassung an OT-Praktiken zu bewegen: Konvergenz erfordert Kontrollen für Verfügbarkeit und Sicherheit gleichzeitig.
Der Weg ist anspruchsvoll, aber praktisch: passive Überwachung an strategischen Punkten zu implementieren, gefährdete Vermögenswerte zu priorisieren, ungerechtfertigte externe Verbindungen zu schließen und erkannte Funktionsfehler (VLAN, Synchronisation, Redundanz) zu lösen bieten in der Regel schnelle Verbesserungen der Widerstandsfähigkeit. Darüber hinaus sind die Bildung von IT-OT-Mischgeräten und die Zuordnung klarer BT-Sicherheitsrollen ebenso entscheidende organisatorische Veränderungen.
Die Studie von OMICRON zeigt, dass viele elektrische Infrastrukturen weiterhin Risiken sammeln, die mit bekannten Techniken ausgenutzt werden können. Mit gezielter Sichtbarkeit und Kontrolle reduziert das Systemrisiko und schützt sowohl die Servicekontinuität als auch die öffentliche Sicherheit. Weitere Informationen zu den in diesen Analysen verwendeten technologischen Lösungen finden Sie auf der Produktseite von OMICRON StationGuard ( OMIRON StationGuard) und die von NIST, CISA und ENISA zitierten Ressourcen, um sich an bewährte Praktiken anzupassen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...