Suchen

Gesponsert

Industrielle Steuersysteme (ICS) absichern Beim Schutz von ICS genügt kein Copy & Paste

SANS-Instructor Dean Parsons erläutert, warum und wie die Verteidigung eines ICS (eines Industriellen Steuerungssystems) zusätzliche Überlegungen erfordert, die über die traditionellen Vorgehensweisen in Sachen IT-Sicherheit hinausgehen. In diesem Artikel geht Dean auf fünf entdeckte, auf ICS zielende Malwaretypen ein und erklärt, wie man das Optimum aus dem ICS Active Cyber Defence Cycle (ACDC) herausholen kann.

Gesponsert von

IT-Sicherheitspraktiken für industrielle Steuerungssysteme sind besonders kritisch für unsere Gesellschaft und benötigen spezielle Anpassungen.
IT-Sicherheitspraktiken für industrielle Steuerungssysteme sind besonders kritisch für unsere Gesellschaft und benötigen spezielle Anpassungen.
(Bild: SANS)

Der ACDC ist der Schlüssel zur Aufspürung und Neutralisierung des Gegners, während er gleichzeitig die Sicherheit und Zuverlässigkeit des ICS-Betriebs gewährleistet. Erörtert werden auch Tipps für eine reibungslose Konvergenz von IT und OT zu Gunsten eines effektiven ICS-Sicherheitsprogramms für eine zuverlässige Datenerfassung und Reaktion auf ICS-Zwischenfälle.

Ein großer Teil der industriellen Steuerungssysteme (ICS) gehört zu jenen kritischen Infrastrukturen, auf denen unsere moderne Gesellschaft beruht. Einige von ihnen erzeugen und verteilen Strom und Wärme für unsere Häuser, Firmen und Krankenhäuser. Andere Beispiele sind die Schlüsselbereiche der verarbeitenden Industrie, Öl- und Gasraffinerien, Produktionsstätte und Infrastruktur zum Wassermanagement. Diese miteinander verbundenen und voneinander abhängigen komplexen Mischungen aus alten und modernen Computersystemen steuern Prozesse in der physischen Welt und erfordern zusätzliche Überlegungen zur modernen Cyber-Verteidigung, die über traditionelle Vorgehensweisen in puncto IT-(Informationstechnologie)-Sicherheit hinausgehen.

Ein weit verbreitetes Missverständnis ist, dass IT-Sicherheitspraktiken direkt auf ICS-Umgebungen angewendet werden können. Zwar liegen umfangreiche Kenntnisse darüber vor, wie eine solide IT-Verteidigung durchzuführen ist, aber ein schlichtes " Copy and Paste" traditioneller Sicherheitsmaßnahmen in ein ICS könnte problematische oder gar verheerende Auswirkungen nach sich ziehen. So sind etwa die Prinzipien der traditionellen Zwischenfallbehandlung – Erkennung und Identifizierung, Eindämmung, Beseitigung, Wiederherstellung, zu beherzigende. Lerneinheiten – auch in ICS immer noch gültig. Bei jedem Schritt dieses Prozesses gilt es jedoch die Sicherheit und Zuverlässigkeit des Betriebs in Betracht zu ziehen und menschlichem Leben und dem Schutz der materiellen Güter Vorrang einzuräumen. Das US-Heimatschutzministerium stellt zum Thema Reaktion auf ICS-Zwischenfälle präzise fest: "Standardmaßnahmen zur Behebung von Cyberzwischenfällen, die in geschäftlichen IT-Systemen Anwendung finden, können unwirksam sein und sogar zu katastrophalen Ergebnissen führen, wenn sie auf ICS-Cyberzwischenfälle angewendet werden, sofern nicht spezifische Überlegungen und Planungen zur betrieblichen ICS vorausgingen." - DHS - Developing an Industrial Control Systems Cybersecurity Incident Response Capability. Während Cyber-Zwischenfälle in IT-Umgebungen unerwünschte Folgen in Bezug auf Daten haben können – etwa die Nichtverfügbarkeit entscheidend wichtiger geschäftlicher Anwendungen, Datenkompromittierung und Datenverlust –, sind die Auswirkungen auf physische Prozesse ganz anderer Natur. Die Auswirkungen in ICS-Umgebungen reichen vom Verlust der Sichtbarkeit oder Kontrolle eines physischen Prozesses bis hin zur Manipulation des physischen Prozesses durch unbefugte Benutzer, was letztlich zu ernsthaften Sicherheitsrisiken für das Personal, zu Verletzungen oder Todesfällen führen kann.

Definieren wir nun einige wenige gängige IT-Sicherheitssysteme und prüfen wir, wie sie für die Cyberverteidigung von ICS-Einrichtungen verwendet oder angepasst werden können und gleichzeitig die Sicherheit und Zuverlässigkeit des Betriebs unterstützen.

► Erfahren Sie mehr über das weltklasse Cyber Security Training in Europa und dem Mittleren Osten“

Antivirusprogramme

In der IT Security Community geht seit einiger Zeit die These um, Antiviren-Anwendungen seien tot. Wenn das stimmt, dann hat eine Wiedergeburt stattgefunden. Aber sie sind nicht das A und O des Schutzes. Kein einzelner Schutzmechanismus ist das. Ähnlich wie bei den Unternehmensnetzwerken müssen wir auch in ICS-Netzwerken verantwortungsbewusst Verteidigung und Aufspürung bis in die Tiefe entwickeln. Obwohl die Aktualisierung von Antiviren-Signaturen innerhalb eines ICS nicht trivial ist, wurden die meisten Antiviren-Lösungen bis heute so sehr verbessert, dass sie über die reine signaturgestützte Aufspürung und den Schutz von Bedrohungen hinausgehen. Sie verfügen über verhaltensbezogene oder heuristische Engines, die bei der Identifizierung von Bedrohungen in Fällen anomalen Verhaltens helfen. Dies kann jedoch bisweilen zu falschen positiven Ergebnissen führen. Dies bedeutet dann, dass eine security layer einen legitimen Dienst oder eine Anwendung fälschlicherweise markiert oder ihre beabsichtigte Funktion unterbindet. Eine falsche positive Meldung in der IT kann den Geschäftsablauf stören. Eine falsche positive ICS-Meldung kann bedeuten, dass ein legitimer Dienst, der für einen physischen Prozess entscheidend ist, gestoppt wird. Dies kann die physische Sicherheit beeinträchtigen.

In ICS-Umgebungen ist es besser, wenn bei potenziellen Bedrohungen sofortiger Alarm ausgelöst wird und ein Untersuchungsteam aktiv weitere Tests durchführt oder auf den Zwischenfall reagiert, statt einfach nur Ereignisse zu blockieren. Antivirusprogramme verfügen auch über Funktionen für das Whitelisting von Anwendungen, die lediglich die Ausführung legitimer oder vorab genehmigter Anwendungen zulassen, wodurch sich die Wahrscheinlichkeit der Ausführung ungenehmigter Programme und Malware drastisch reduziert. Whitelisting hat sich als effektive Methode erwiesen, wenn es korrekt ist und auch über kontrollierte Änderungen oder Wartungsfenster hinweg aufrechterhalten wird. Diese Art des Schutzes erfordert im Normalfall keine Signaturen oder ständige Aktualisierungen wie der IT-Virenschutz. Daher ist er in ICS viel einfacher zu verwalten, weil die Umgebungen statischer sind und im Vergleich zu IT-Umgebungen viel weniger Benutzer haben. Dies ist ideal für statische Komponenten wie HMI (Human Machine Interface) und Data Historians, die auf gängigen Betriebssystemen wie Windows oder Linux laufen. Antivirenprogramme werden in der Regel nicht auf ICS-Komponenten wie PLC (Programmable Logic Controllers), RTU (Remote Terminal Unit im Stromversorgungssektor) oder SIS (Safety Instrumented Systems) entwickelt oder eingesetzt.

Firewalls

Die korrekte Verwendung von Firewalls ist bei ICS aus den gleichen Gründen wie in der IT von entscheidender Bedeutung. Firewalls können zur Eindämmung bei der Reaktion auf Zwischenfälle, als Chokepoints zur Datenerfassung für NSM (Network Security Monitoring), zur Segmentierung von Netzwerkzonen und zur Kontrolle des Datenverkehrs über Zugriffskontrolllisten eingesetzt werden. Zum Beispiel können Sie verschiedene Steuernetzwerke voneinander isolieren, auf der einen Seite das Internet und auf der anderen die Unternehmensnetzwerke. ICS-Firewalls sollten keine direkten Verbindungen zum/vom Internet zulassen. Wenn ein Fernzugriff für Wartung oder Support erforderlich ist, sollte dies mit Sorgfalt und mehreren Sicherheitsschichten wie Multi-Faktor-Authentifizierung, extrem strengen Zugangskontrollen und zusätzlichen Überwachungen/Alarmierungen erfolgen.

Network Intrusion Detection & Prevention

Alle Netzwerkinspektionsgeräte, die dazu verwendet werden, Entscheidungen über den ICS-Verkehr zu treffen, sollten in der Lage sein, ICS-Protokolle und -Befehle zu prüfen und zu interpretieren. Wie bei Antivirenlösungen an können auch bei der Netzwerkinspektion falsche positive Meldungen auftreten. Daher ist ein IDS (Intrusion Detection System) zur Alarmierung bei verdächtigem Netzwerktraffic in einem Steuernetzwerk besser geeignet als ein IPS (Intrusion Prevention System), das den Netzwerktraffic blockiert. Auch hier ermöglicht die Detektion im Gegensatz zur Prävention eine Alarmierung, Protokollierung und die aktive Einleitung weiterer Untersuchungen, ohne dass die Sicherheit den laufenden Betrieb gefährdet. IDS in jeder Umgebung erfordert eigens dafür reservierte Ressourcen, um die IDS-Regeln auf der Grundlage von Änderungen und Bedrohungsinformationen, die das threat hunting voranbringen können, häufig anzupassen und zu testen. Das Volumen des Netzwerktraffics in industriellen Steuernetzwerken ist deutlich geringer als in IT-Umgebungen, was wiederum die Aufspürung von Übeln erleichtert. Diese Möglichkeit, Anomalien viel schneller und genauer zu aufzuspüren, macht NSM zu einer effektiven Abwehrstrategie zur Neutralisierung von Gegnern in ICS.

► Erfahren Sie mehr über das weltklasse Cyber Security Training in Europa und dem Mittleren Osten“

Vulnerability Scanning

Die regelmäßige Durchführung von Vulnerability scans bei kritischen Funktionen ist eine gute Praxis. Diese zu automatisieren und die Ergebnisse regelmäßig in den Posteingang eines IT-Teams zu liefern, ist eine großartige Praxis. Ich habe festgestellt, dass dies in der IT sehr gut funktioniert und demnach schnell zu Abhilfeplänen führt. Vulnerability scans in einem ICS-Netzwerk können unvorhersehbare und unerwünschte Auswirkungen haben. Dies ist sicherlich der Fall bei älteren Firmware-Versionen oder älteren Geräten, die einfach nicht dafür ausgelegt sind, abnormale Trafficmuster/-pakete oder übermäßige Verbindungsanfragen zu verarbeiten. Beispielsweise könnte das Scannen älterer PLCs mit "xmas tree scans" die CPU- und Speicherressourcen erschöpfen und die Kontrolleinheit lahmlegen. Aber das Umkippen von PLCs wird immer seltener. In den letzten Jahren haben die Hersteller durch Einführung neuer Modelle und aktualisierter Firmware mehr Sicherheit in die ICS-Anlagen eingebaut. Ein kostenfreier zusätzlicher Schutz könnte nur ein gut durchdachtes Firmware-Upgrade entfernt sein. Man sollte sich aber stets darüber im Klaren sein, das ein allgemeines aktives Scannen in ICS-Umgebungen den Betrieb beeinträchtigen kann. Zwar stehen auch einige Scan-Produkte für den sicheren Einsatz in ICS zur Verfügung, aber man kann nur dringend raten, sie zuerst in der Entwicklung zu testen und sich der Unterstützung aller Beteiligten, einschließlich Sicherheitsabteilungen und Änderungsmanagement, zu versichern. Alternative, weniger invasive Methoden eines vulnerability assessments können die Überprüfung von asset inventories, Konfigurationsdateien und Firmware-Versionen im Abgleich mit Bedrohungsinformationen und Schwachstellenhinweisen sein. Mit sorgfältiger Planung und einem schrittweisen Ansatz kann die Schwachstellenanalyse in ICS effektiv erfolgen.

Patching

Das Patchen von Betriebssystemen und Software ist eine effektive Sicherheitspraxis, die seit Jahrzehnten in geschäftlichen Netzwerken üblich ist. Für ICS gelten besondere Umstände, unter denen ein Patching möglicherweise nicht durchführbar oder nicht innerhalb eines normalerweise akzeptierten Zeitraums möglich ist. Dies könnte bei alten Anlagen oder kritischen Infrastruktursystemen der Fall sein. In den letzten Jahren findet das Patching in ICS-Umgebungen jedoch immer höhere Akzeptanz in Anbetracht der Bedrohungslandschaft, der Verfügbarkeit von Patches, Patchtests durch ICS-Anbieter und Standards wie NERC (North American Electric Reliability Corporation) für den Stromversorgungssektor. In den Fällen, in denen sich die Stromversorgungsunternehmen an NERC-CIP halten, sind die Standards für das Patching klar. Patching ist kein nettes Spielzeug, sondern eine Anforderung mit strengen Kriterien, ab wann Patches identifiziert, überprüft und angewendet werden. In extremen Fällen, in denen ein Patching innerhalb der NERC-CIP-Standards nicht möglich ist, würde ein Stromversorgungsunternehmen, das sich an NERC-CIP hält, erklären müssen, dass ein Ausnahmefall vorliegt, den es dann begründen und formell dokumentieren müsste. In manchen Fällen könnten dann kompensierende Kontrollen zur Risikominderung eingesetzt werden.

Viele ICS-Anbieter gehen so weit, ihre Software auf gängigen Betriebssystemen nicht lange nach einer Patch-Benachrichtigung zu überprüfen. Dieser Prozess verbessert sich weiterhin über mehrere Sektoren hinweg, sodass das Patching zu einem positiven und erschwinglichen Teil der vorbeugenden Wartung wird, von der die Anlagen profitieren können. Denken Sie bei der Einschätzung von Patch-Hinweisen, Schwachstellenberichten und der Erstellung von Entschärfungsplänen auf der Basis von Risikoanalysen an folgende Formel: Bedrohung = Fähigkeit des Gegners + Absicht des Gegners + Gelegenheit für den Gegner, eine Wirkung zu erzielen. Patchen Sie Schwachstellen in Ihrer Umgebung in einem schrittweisen und kontrollierten Vorgehen, und Sie werden Erfolg haben. Fügen Sie zusätzliche Überwachungs- oder Kompensationskontrollen hinzu, wenn das Patchen nicht durchführbar oder nicht innerhalb eines akzeptablen Zeitraums möglich ist.

Verschlüsselung

Datenverkehr via implizit unsichere Kanäle zwischen entfernten Standorten zu verschlüsseln, kann sowohl IT- als auch ICS-Netzwerke schützen und ist allgemein als Best Practice anerkannt. Vertraulichkeit ist innerhalb eines ICS jedoch weniger dringlich als innerhalb von geschäftlichen Netzwerken. Interne ICS-Netzwerkverschlüsselung kann unbeabsichtigte Probleme nach sich ziehen. Besondere Aufmerksamkeit gebührt der end point processing Leistung, der Netzwerk-Latenzzeit und dem Bandbreitenbedarf, insbesondere in Anlagen mit alten Geräten. Bedenken Sie auch, dass kritische Abwehrinitiativen wie NSM beeinträchtigt werden, wenn Verschlüsselung intern verwendet wird, obwohl Netzwerkflussdaten wie Trafficmuster und 5-Tupel-Daten noch immer verfügbar sind. An diesem Punkt wird das Sicherheitsmodell für die Jagd auf hochqualifizierte Gegner, der ACDC (Active Cyber Defense Cycle), behindert. Es wird schwieriger oder unmöglich sein, die Netzwerksichtbarkeit auf dem Nutzlastlevel auf Übel zu untersuchen. Überlegen Sie also genau, wo Verschlüsselung intern verwendet werden soll, wenn Sie diesen Weg einschlagen.

► Lernen Sie alles über die ICS Schlüsselthemen und im Zusammenhang mit strategischer Verteidigung und Zwischenfallbehandlung im SANS Kurs „ICS515“

Zusammenfassung

Es gibt also unterschiedliche Ansätze in Sachen IT- und ICS-Sicherheit, und das ist auch gut so! Während einige Teile der traditionellen IT-Sicherheit als Orientierungshilfe für die Community taugen, kann man vom direkten "copy and paste" in ICS nur abraten. Wenden Sie IT-Sicherheitstechniken also ruhig in angepasster Form auf OT/ICS dort an wo es sinnvoll ist. Nehmen Sie Korrekturen vor und stellen Sie Überlegungen an, die dem menschlichen Leben, der Zuverlässigkeit des Betriebs und dem Schutz von Sachwerten Vorrang einräumen.

Angesichts des Umfangs und der Komplexität der Bedrohungen für ICS funktioniert die konvergierende Bewegung IT & OT (Operational Technology) gut für eine durchgängige Korrelation von Sicherheitsereignissen von IT bis ICS. Nutzen Sie die Konvergenz dieser Gruppen, um eine aktive Abwehrstrategie mit NSM und aktivem Threat Hunting zu erreichen. Physische Inspektionen vor Ort und persönliche Cyber-Diskussionen, die buchstäblich auf dem Werksgelände stattfinden, sind sehr effektiv, um alle Beteiligten dazu zu bringen, nachzudenken und zu erkennen, dass "Cybersicherheit" die Sicherheit und Zuverlässigkeit des Betriebs unterstützt.

In den letzten Monaten/Jahren haben die Community und die Welt von spezifischen gezielten ICS-Angriffen gehört und lernen aus ihnen. Stuxnet, Havex, Blackenergy und Stromausfälle in der Ukraine sowie TRISIS/TRITON (der weltweit erste öffentlich zugegebene Angriff auf sicherheitsrelevante Systeme). Bei allen gezielten ICS-Angriffen dürfen wir nicht außer Acht lassen, dass IT-Malware wie Ransomware und Cryptomining zwar nicht darauf ausgelegt ist, ein ICS physisch zu beschädigen, aber auch Störungen und Ausfallzeiten verursachen kann, wenn sie in einem ICS läuft.

Active Cyber Defense Cycle (ACDC) und andere ICS-Schlüsselthemen im Zusammenhang mit strategischer Verteidigung und Zwischenfallbehandlung, einschließlich zahlreicher Fallstudien und praktischer Übungen, werden in SANS ICS515 ausführlich behandelt: ICS Active Defense and Incident Response. ICS-"Verteidigung ist machbar"!

Weitere Informationen über ICS- und SANS-Schulungen finden Sie unter: https://www.security-insider.de/redirect/907860/aHR0cDovL3d3dy5zYW5zLm9yZy9TZWMtVHJhaW5pbmctREU/00cc9273e416bad7aba547c772c543a74ffc626fdf4240a3f4848333/advertorial/

Über den Autor: Dean Parsons ist Certified SANS Instructor (@deancybersec).

Advertorial - Was ist das?

Über Advertorials bieten wir Unternehmen die Möglichkeit relevante Informationen für unsere Nutzer zu publizieren. Gemeinsam mit dem Unternehmen erarbeiten wir die Inhalte des Advertorials und legen dabei großen Wert auf die thematische Relevanz für unsere Zielgruppe. Die Inhalte des Advertorials spiegeln dabei aber nicht unbedingt die Meinung der Redaktion wider.

(ID:46378998)