Cyber-Sicherheit

BSI veröffentlicht Snort-Regeln für SIS-Netzwerke

Snort ist ein Intrusion-Detection-System zur Analyse von Netzwerkverkehr und zur Protokollierung von Datenpaketen in Echtzeit, das als freie Software erhältlich ist und mithilfe von Signaturen – sogenannten Snort-Regeln – erweitert werden kann. Bild: Snort Org
Anzeige
Zum besseren Schutz vor Cyber-Angriffen mit Schadsoftware wie „Triton/Trisis/HatMan" hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) sogenannte Snort-Regeln für das TriStation-Kommunikationsprotokoll der Firma Schneider Electric veröffentlicht. Das Protokoll kommt in Sicherheitssystemen für industrielle Anlagen (Safety Instrumented Systems – SIS) zum Einsatz, insbesondere auch in der Chemischen Industrie weltweit, und wird unter anderem zur Diagnose, Konfiguration und Programmierung von Safetycontrollern des Herstellers eingesetzt.
Snort ist ein Intrusion-Detection-System zur Analyse von Netzwerkverkehr und zur Protokollierung von Datenpaketen in Echtzeit, das als freie Software erhältlich ist und mithilfe von Signaturen – sogenannten Snort-Regeln – erweitert werden kann. Die Anwendung der Snort-Regeln ist eine zusätzliche Möglichkeit zur Detektion von Cyber-Angriffen und ergänzt die weiterhin notwendigen IT-Sicherheitsmaßnahmen nach dem Stand der Technik. Bei einem im Dezember 2017 bekannt gewordenen Cyber-Angriff mit Triton/Trisis/HatMan auf ein SIS einer Industrieanlage im Nahen Osten wurden für die Übertragung der Schadsoftware auf die Safetycontroller gültige TriStation-Befehle eingesetzt. Unter anderem an diesem Punkt setzen die vom BSI gemeinsam mit Partnern wie FireEye und NCCIC entwickelten Regeln an. So lösen gültige Pakete, die nicht von beziehungsweise zu einer autorisierten Maschine oder in ungewöhnlich hoher Anzahl oder Frequenz gesendet werden, einen Alarm aus. Diese Alarme können an eine zentrale Stelle weitergeleitet und dort bearbeitet werden.
Gemeinsam entwickelte Regeln
Zudem wird der Versand gültiger Pakete, die wichtige Funktionen beeinflussen können, geloggt. Diese Logs können automatisch an ein Security Information and Event Management (SIEM) weitergeleitet werden, welches ebenfalls Zugriff auf das Change Management System des Unternehmens hat. Durch den Abgleich mit dem Change Management System kann auf der Ebene des SIEM entschieden werden, ob es sich um eine gültige, intendierte Aktion oder einen zu untersuchenden Vorfall handelt. Weitere Informationen und Details zu den Snort-Regeln stehen auf der Webseite des BSI zur Verfügung. (ig)
Anzeige

Smarte Maschinen im Einsatz

Konferenz „Smarte Maschinen im Einsatz – Künstliche Intelligenz in Unternehmen“ am 15. Oktober 2019

Konradin Industrie

Titelbild additive P3
Ausgabe
P3.2019
LESEN
ARCHIV
ABO

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de