13/06/2019

Asset Discovery – arbeiten mit Samthandschuhen

Große OT-Netzwerke sind oft schlecht dokumentiert, genauer gesagt über viele Jahre gewachsen. Die Folge: die Assets (= Anlagen, Computer etc.) innerhalb dieses Netzwerkes sind nicht genau erfasst. Um sich einen Überblick zu verschaffen und diesen für die Zukunft auch zu behalten, empfiehlt es sich eine Anlagenbewertung durchzuführen – oder wie es im Fachjargon heißt: ein Asset Discovery zu betreiben.

Eine Anlagenbewertung setzt natürlich voraus, dass man sich der bestehenden Assets bewusst ist, sprich über eine Art Inventarliste verfügt.  Für das Erkennen und Dokumentieren von Assets in einem IT-Netzwerk gibt es unzählige Standard-Tools am Markt, die jedoch nur vorsichtig in OT-Netzwerken einzusetzen sind. Warum? Alte Komponenten in einer gewachsenen Struktur neigen dazu, sich an manchen Paketen zu „verschlucken“, was mitunter zu einem Ausfall führen kann – kein wünschenswertes Ergebnis also.

 

DIE WEGE IM DETAIL

Für Asset Discovery gibt es Werkzeuge von verschiedenen Herstellern. Der gemeinsame Nenner ist die Methode, mit denen Assets in einem Netzwerk erkannt werden. Grundsätzlich gibt es aktive und passive Methoden.

Bei der aktiven Erkennung werden die „Assets“ direkt angesprochen – dieser Ansatz ist effektiv in einfachen Netzwerken. Jedoch in komplexen, stark segmentierten Netzwerken sind nicht alle Geräte erreichbar und in Netzwerken, in denen gehobene Netzwerksicherheit betrieben wird, werden mitunter bestimmte Geräte gar nicht angezeigt, weil dies nicht explizit erlaubt wurde. Ein erweiterter Ansatz könnte hier sein auf Broadcasts (Übertragungen) innerhalb eines Segmentes zu hören. Diese Vorgehensweise ist jedoch aufwendig, weil man auf diese Weise nur innerhalb eines Segmentes arbeiten kann, d.h. die einzelnen Segmente müssen am Ende zusammengetragen werden. Aktive Methoden haben darüber hinaus den Nachteil, dass sie keine Information über die tatsächliche Kommunikation zwischen den Assets enthalten. Zwar ist diese Information nicht direkt relevant für das Asset Inventory (die Anlageninventarliste), kann aber Aufschluss über komplexe Netzwerkzusammenhänge geben.

Eine umfassendere und genauere Alternative ist die Erfassung von Assets über rein passive Methoden. Dabei wird die tatsächliche Kommunikation über einen definierten Zeitraum beobachtet mit dem enormen Vorteil, dass aktive Endgeräte identifiziert werden, ohne dass eine Interaktion stattfindet, was besonders im OT-Umfeld wichtig ist.

 

ASSET-DISCOVERY-TOOLS: sFlow und Netflow
Für die Aufzeichnung von Kommunikation eigenen sich Protokolle wie Netflow/IPFIX oder sFlow. Sowohl Netflow als auch sFlow wird von herkömmlichen Enterprise Switches unterstützt. Um nun Daten zu erfassen, müssen die Switches des Netzwerkes konfiguriert und ein Kollektor aufgesetzt werden. Der Kollektor aggregiert und sammelt die Daten und ermöglicht das Aufspüren von Assets auf eine nichtinvasive Art und Weise.

 

LIMES EMPFIEHLT:
Für Netflow /sFlow-Daten gibt es viele Kollektoren – auch als Open-Source-Lösung. Eine quelloffene Variante, die wir von der Limes Security gerne empfehlen, ist Elastiflow basierend auf dem ELK-Stack.

# Elastiflox downloaden (https://github.com/robcowart/elastiflow