:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
CISA-Empfehlungen zur OT-Absicherung Fünf Angriffsmethoden auf OT- und ICS-Systeme
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Am 22. September 2022 hat die US-amerikanische Cybersicherheitsagentur CISA in ihrem „Alert (AA22-265A)“ einige grundlegende Hinweise veröffentlicht, die die Grundlage für den Schutz von OT/ICS-Systemen und -Komponenten bilden sollten. Der folgende Beitrag analysiert die dort dargestellten Angriffsmethoden und Empfehlungen zur Absicherung von OT- und ICS-Systeme und führt diese aus.
Zunächst stellte die Cybersecurity and Infrastructure Security Agency (CISA) im „Alert (AA22-265A)“ fest, dass OT-Komponenten zunehmend mit der Informationstechnologie (IT) und dem Internet verbunden sind. Der Missbrauch der IT dient darüber hinaus als Dreh- und Angelpunkt für die Kompromittierung der OT und hat teils zerstörerische Auswirkungen. Viele installierte und genutzte OT-Anlagen und Steuerungssysteme sind überaltert und werden ohne ausreichenden Support betrieben. Für den Missbrauch von IT- und OT-Systemen steht eine Vielzahl von Malware zur Verfügung. Infolgedessen ist eine Risikoanalyse von domänenübergreifenden Verbindungen (z. B. IT-OT, Internet-zu-OT) und für alle derzeit angeschlossenen OT-Anlagen empfohlen.
Ohne direkte Maßnahmen zur Härtung von OT-Netzwerken und -Steuerungssystemen gegen das Eindringen von Angreifern, sind Eigentümer und Betreiber von OT-Systemen Cyberrisiken ausgesetzt. Aus Sicht der CISA gibt es beim Angriff auf ICS- oder OT-Systeme die folgenden fünf beachtenswerten Methoden:
Methode 1: APT-Akteure oder staatlich geförderte Akteure versuchen Chaos zu stiften. Zu diesem Zweck nehmen sie kritische Anlagen innerhalb kritischer Infrastrukturen ins Visier, z. B. Kontrolleure in Seehäfen, Energieerzeugungs- und -verteilungspunkte sowie gut sichtbare Ziele, bei denen eine Störung Schaden anrichten, Misstrauen hervorrufen oder psychologische oder soziale Auswirkungen auf eine Gemeinschaft haben kann. Umgekehrt sind Cyberkriminelle auf der Suche nach einer Belohnung und finden gerne hochwertige Ziele innerhalb einer Organisation, um deren Besitzer zu erpressen. In der Vergangenheit mag es eine große Kluft gegeben haben, aber die Fähigkeiten, der Rückhalt und die Ausbildung zwischen den beiden Gruppen werden immer geringer.
Empfehlungen: Unternehmen sollten ihre kritische „Attack Surface“ definieren. Nicht alle Systeme und Komponenten sind gleich. Die kritischsten Oberflächen müssen identifiziert und im Laufe der Zeit um zusätzliche gefährdete Oberflächen erweitert werden. In der Betriebsorganisation kann dies eine Reihe von Windows-Rechnern sein, die den Fernzugriff auf ein SPS-Segment ermöglichen, in dem laterale Verbindungen zu Drittanbietern für Wartung und Support hergestellt werden. Innerhalb der IT kann es sich um Nord-Süd-Assets handeln, die ein Pivoting von der IT in die OT ermöglichen, insbesondere wenn IT-Verbindungen zum Internet vorhanden sind.
Kritische Prozessgeräte und ihre Abhängigkeiten sollten in Grenzen gruppiert werden, indem Sie die Funktionen von „Sites“ und „Boundaries“ nutzen. IT-Sicherheitsverantwortliche sollten mithilfe der Funktionen „Verbindungen“ und „IP-Verbindungen“ alle Verbindungen in und aus diesen Schutzbereichsgrenzen identifizieren und verfolgen, um sowohl autorisierte als auch nicht autorisierte Verbindungen und deren Benutzer zu identifizieren. Sie sollten unautorisierte oder nicht benötigte Verbindungen blockieren und den Wert, das Risiko und die potenziellen Kosten dieser grenzüberschreitenden Verbindungen bewerten.
Methode 2: Sammlung von Informationen über das Zielsystem: Es ist allgemein bekannt, dass Informationen über OT-Systeme und IT-Technologien im Internet auffindbar sind. Öffentlich zugängliche Dokumentationen zu IT- und OT-Systemen und -Komponenten lassen sich einfach auffinden, darunter auch die Standard-Administrator-Anmeldedaten.
Empfehlungen: Standard-Administrator-Anmeldeinformationen sollten nicht auf einer Anlage verbleiben, sondern sichere Passwörter verwendet werden und diese sollten außerdem ständig ausgetauscht werden. Risikofaktoren wie Warnhinweise, Zertifikatsstatus, abgelaufene Kennwörter, ungültige Anmeldedaten, Standard-Anmeldedaten, abgefangene Kennwörter und Klartext-Anmeldedaten sollten ständig überprüft werden. IT-Sicherheitsverantwortliche sollten auch auf laterale (Ost-West-)Bewegungen und Insider-Bedrohungen achten. Sie können nach nicht autorisierter Erkennungssoftware wie Nmap oder anderen nicht zugelassenen Anwendungen suchen. Ebenfalls zu empfehlen ist die Suche nach Schwachstellen mit aktiven Exploits, die bereits bei anderen Unternehmen aufgetaucht sind. Darüber hinaus sollten alle Systeme auf den aktuellen Stand gebracht und bekanntgewordene Schwachstellen gepatcht werden. An vielen Anlagen ist das aus verschiedenen Gründen nicht möglich, deshalb empfiehlt es sich Aktivitäten auf den Systemen mindestens zu monitoren.
Methode 3: Entwicklung von Techniken und Tools: Angreifer können recht einfallsreich sein, vor allem mit leicht verfügbaren Tools im Dark Web. Die Annahme, Geräte seien sicher, weil sie mit proprietären Protokollen arbeiten, ist ein Nullsummenspiel. Tools zur Ausnutzung von IT- und OT-Systemen sind leicht verfügbar. APT-Akteure haben auch Tools entwickelt, um bestimmte Schneider Electric PLCs, OMRON Sysmac NEX PLCs und Open Platform Communications Unified Architecture (OPC UA)-Server zu scannen, zu kompromittieren und zu kontrollieren.
Empfehlungen: Unternehmen müssen sich der Gewissheit stellen, dass eigenständige, isolierte Netze selten sind, „Security by Obscurity“ sollte nicht vorausgesetzt werden. Die Anwendungsnutzung und der ICS-Verkehr sollten genutzt werden, um den Zugriff autorisierter Benutzer und Verhaltensanomalien zu erfassen. IT-Sicherheitsverantwortliche sollten nach gängigen Mapping-Tools wie Nmap, SolarWinds und Spiceworks suchen. Es sollte eine Richtlinie erstellt werden, die vor der Einführung dieser gängigen Netzwerk-Mapping-Tools in die Umgebung bzw. vor ihrer Verwendung warnt.
Methode 4: Initialen Zugriff erhalten: Die meisten modernen Steuerungssysteme verfügen über Fernzugriffsfunktionen, die es Drittanbietern und Integratoren ermöglichen, auf die Systeme zuzugreifen. Oftmals sind diese Zugangspunkte zum Netzwerk Angriffsvektoren für Cyberkriminelle. Drahtlose Zugangspunkte sind ein weiterer möglicher Einfallspunkt für Angreifer.
Empfehlungen: Alle Zugriffe Dritter sollten überprüft werden. Darüber hinaus sollte eine Netzwerksegmentierung die wichtigsten Geräte und Anlagen herausgefiltert haben. Sie sollten für Dritte nicht erreichbar sein. VLAN-Technologien bieten Vorteile, indem sie Geräte, die in das Netzwerk eingeführt werden, vor der Einführung in das Produktionsnetzwerk in einem sicheren Bereich unterbringen und überprüfen. Hier empfiehlt sich nach Geräten mit mehreren NICs zu suchen, die an verschiedene Netzwerke angeschlossen sind und Brücken von A nach B bilden. IT-Sicherheitsteams sollten wiederum nach gängigen Mapping-Tools wie Nmap, SolarWinds und Spiceworks Ausschau halten. Sie sollten eine Richtlinie erstellen, die bei der Einführung dieser gängigen Netzwerk-Mapping-Tools in die Umgebung oder bei ihrer Verwendung warnt. Sie sollten eine Richtlinie erstellen, die eine Warnung ausgibt, wenn sich neue Geräte mit einem kabelgebundenen oder drahtlosen Netzwerk verbinden. Darüber hinaus empfiehlt es sich weitere Richtlinien zu erstellen, die vor bösartigen IPs und Domänen einschließlich Shodan und vor allem aber vor Portscans warnen.
Methode 5: Die Störung, Deaktivierung oder Verschlüsselung des Systems, um Lösegeld zu erzielen oder aber Anlagen zu beschädigen. Dies kann die Beeinträchtigung der Überwachung eines Zielsystems (Manipulation der Ansicht [T0832]) des Betriebs des Kontrollsystems (Manipulation der Kontrolle [T0831]), die Beeinträchtigung des SCADA-Systems (Blockierung von Meldungen [T0804], Verweigerung der Ansicht [T0815]), die Verweigerung der Kontrolle (Verweigerung der Kontrolle [T0813]) oder der Diebstahl von Betriebsinformationen (Diebstahl von Betriebsinformationen [T0882]) umfassen.
Empfehlungen: Industrielle Steuerungsbefehle und anomale Verhaltensweisen sollten kontrolliert werden. Vor allem müssen die Befehle und Zugriffe kontrolliert werden, die von unbefugten Maschinen und unbefugten Benutzern ausgehen. Befehle außerhalb der Änderungskontrolle und mehrfache Zurücksetzungen, Fehler und Modus-Änderungen in kritischen Infrastrukturen sind ebenfalls zu monitoren. In Asset Management-Systemen wie Armis lassen sich diese Aktivitäten und Aktivitätstypen wie eingeschränkte Verbindungen, Anwendungsnutzung, Anmeldeinformationen, SPS-Bearbeitungen, Modbus-Verbindungen sowie Aktivitäten und Befehle des Industrieprotokolls monitoren. Darüber hinaus lohnt sich ein Blick in die MITRE ATT&CK ICS-Framework Policy Library.
Fazit
Systemeigentümer und -betreiber können nicht verhindern, dass ein böswilliger Akteur die Systeme ins Visier nimmt. Es ist nur eine Frage der Zeit, wann ein Angreifer, ganz gleich mit welcher Absicht auf die Systeme aufmerksam wird und sie versucht zu übernehmen. Die Akzeptanz, dass etwas dagegen getan werden muss, ist das A und O der Verteidigung. Aus der Erfahrung lässt sich inzwischen gut ableiten, wie die Angreifer vorgehen und daraus lassen sich Sicherheitsmaßnahmen zum präventiven Schutz der OT-Systeme ableiten. Alles beginnt mit der Identifizierung des ursprünglich kompromittierten Systems und aller seiner Unterkomponenten innerhalb einer Schutzfläche.
Über den Autor: Keith Walsh ist OT Security & Operations Director bei Armis.
(ID:48662509)
:quality(80)/p7i.vogel.de/wcms/dd/05/dd05ac1bc6485caf3d9cbb41c40177a3/0111514107.jpeg "Offene Ports können schnell zu einem Sicherheitsrisiko werden. Geeignete Tools helfen, Problemstellen zu identifizieren und Sicherheitslücken zu schließen. (Bild: © xiaoliangge - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")