Cyberangriffe auf Produktionsumgebungen und industrielle Steuerungssysteme sind vor allem für hochindustrialisierte Volkswirtschaften eine zunehmend ernste Bedrohung. Palo Alto Networks sieht in diesem Zusammenhang für das kommende Jahr eine wachsende Bedeutung automatisierte Bedrohungsbekämpfung (ATR – Automated Threat Response).
Dabei handelt es sich um den Prozess zur Automatisierung von Maßnahmen, die bei erkannten Cybersicherheitsvorfällen ergriffen werden. Dies gilt insbesondere bei solchen Ereignissen, die als bösartig eingestuft werden. Für jede Art von Vorfall gibt es eine vordefinierte Maßnahme zur Eindämmung oder Prävention. Dabei kommen neuere Technologien wie Verhaltensanalyse und künstliche Intelligenz (KI) zum Einsatz, um Vorfälle von Interesse ans Tageslicht zu bringen. Ziel dieser Technologien ist es, den Erkennungsprozess zu automatisieren und einen ebenfalls automatisierten und geschlossenen Präventionsprozess zu implementieren. Dies entlastet nicht nur das Sicherheitsbetriebsteam, sondern verkürzt auch die Reaktionszeit.
IT-Abteilungen setzen auf ATR-Technologien und Lösungen zur Verhaltensanalyse, um besser gegen fortschrittliche Angriffe vorgehen zu können. Deren Häufigkeit und Schadenspotenzial haben in den letzten Jahren zugenommen.
Wie ist Schutz industrieller Steuerungssysteme (Industrial Control Systems, ICS) und Produktionsumgebungen (OT – Operational Technology) vor fortschrittlichen Bedrohungen machbar?
Lösungen dieser Art sind in jedem Fall überaus relevant für die angrenzenden Geschäftsnetzwerke der OT-Umgebung, die oft mit dem Internet verbunden sind und damit als Dreh- und Angelpunkt für einen Angriff in Frage kommen. Noch interessanter ist dabei die Relevanz für die Kernbereiche von ICS-Umgebungen, also Level 3, 2 und 1 des Purdue-Modells (Purdue Enterprise Reference Architecture) und die demilitarisierten Zonen (DMZ) zwischen ihnen.
Ein denkbares Szenario wäre: Von einer HMI-Station, also eine Mensch-Maschine-Schnittstelle, im Energiemanagementsystem eines Stromversorgers kommt plötzlich eine ungewöhnlich hohe Anzahl von DNP3-Betriebsbefehlen (Distributed Network Protocol) zum Aktivieren von Stromschaltern. Da der Leistungsabruf viel höher als im Regelbetrieb ist, könnte dies ein böswilliges – oder zumindest ein anomales – Ereignis darstellen. ATR-Systeme könnten verwendet werden, um solche Ereignisse zu erkennen und automatisch darauf zu reagieren. Dies würde darin bestehen, ein offensichtlich in bösartiger Absicht bedientes Gerät zu blockieren oder die Verbindung zu limitieren, indem beispielsweise für das zugreifende Gerät nur Lese-Zugriff für das DNP3-Protokoll erteilt wird.
Warum sind wirksame Sicherheitstechnologien noch nicht in großem Stil eingeführt worden?
Es gibt verschiedene Gründe. Erstens, konzentrieren sich die OT-Cybersicherheitsinitiativen der meisten OT-Betreiber auf Sichtbarkeit und Zugangskontrolle. Advanced Threat Prevention, also fortschrittliche Bedrohungsprävention gilt eher als eine längerfristige Initiative. Zweitens, sind die neueren Technologien wie KI und maschinelles Lernen, die für den ICS-spezifischen Verkehr verwendet werden können, um Anomalien zu erkennen, bislang hauptsächlich für F&E-Umgebungen vorgesehen. Drittens, neigen ICS-/OT-Betreiber dazu, sehr konservativ zu sein. Die Idee, einem System zu erlauben, automatisch auf das Aufspüren von Bedrohungsvorfällen zu reagieren, ist für die meisten OT-Fachleute abwegig. Sie denken, es bestünde die Gefahr, dass legitimer Datenverkehr oder ordnungsgemäß laufende Geräte blockiert werden und Ausfallzeiten verursacht werden. Zudem sind die Anwendungsfälle und Reaktionsprozesse für Vorfälle, die in OT-Umgebungen entdeckt wurden, nicht eindeutig definiert.
2018 ist das Jahr der ATR-Lösungen in OT-Umgebungen
Palo Alto Networks prognostiziert für 2018, dass ATR-Lösungen in OT-Umgebungen die Reife auf Produktionsebene erreichen werden und uneingeschränkt eingesetzt werden können. Dies bedeutet, dass es große Implementierungen bei führenden ICS-Betreibern in kritischen Infrastrukturen und Fertigungsumgebungen geben wird. Verschiedene Gründe sprechen dafür, dass dies der Fall sein wird. Einige führende Unternehmen sind über die Sichtbarkeit und Segmentierung hinausgewachsen und haben ihre Proofs of Concepts dieser Technologie abgeschlossen. Hinzu kommt, dass ein starkes Ökosystem rund um das OT-spezifische Profiling, die Verhaltensanalyse und die Erkennung von Anomalien entstanden ist. Einige dieser Lösungen existieren als dedizierte Sensoren oder als Module, die SIEM-Geräte (Security Information & Event Management) ergänzen. Diese ICS-Netzwerküberwachungslösungen wurden zunächst als eigenständige Erkennungstools eingesetzt. Neuerdings werden sie in Enforcement-Geräte wie Next-Generation-Firewalls integriert, mit denen dann die entsprechende Reaktion auf eine Bedrohung umgesetzt wird.
Zu den weiteren treibenden Faktoren zählen spektakuläre cyber-physische Angriffe, wie sie in den Jahren 2015 und 2016 das Stromnetz der Ukraine betrafen. Viele davon hätten mit ICS-spezifischen ATR-Technologien zumindest abgemildert oder möglicherweise auch verhindert werden können. Der Geltungsbereich von ATR im OT-Umfeld könnte auch auf Bedrohungen angewendet werden, die typischerweise mit der IT in Verbindung gebracht werden, wie Ransomware, die sich nach wie vor auch auf OT auswirken könnten. Die Folgen von WannaCry für einige Produktionsanlagen im Jahr 2016 ist ein Beispiel dafür. Die Entwicklung von Playbooks und halbautomatischen Ansätzen für OT-Sicherheitsvorfälle werden die Einführung von ATR im OT-Umfeld weiter vorantreiben.
Um sicherzugehen, wird sich ATR in OT-Umgebungen zunächst auf Anwendungsfälle beschränken, die als weniger riskant angesehen werden, wenn sie versehentlich Prozessausfälle oder Sicherheitsprobleme verursachen. Wie »weniger riskant« definiert wird, ist eher umstritten und muss noch ausgearbeitet werden. Außerdem wird diese Definition zwischen den Unternehmen unterschiedlich sein. Es gibt jedoch einige scheinbar akzeptierte Szenarien für ATR in OT-Umgebungen. Dazu gehört der Fall, dass ein bereits bestehender Host plötzlich ungewöhnliche Befehle ausführt und dann sein Zugriff einschränkt wird. Dies wäre die Beschränkung einer HMI oder einer Engineering-Workstation auf Nur-Lese-Zugriff auf die PLCs. Eine andere Maßnahme könnte auch das Blockieren neuer Geräte sein, die in keinem Installationsplan enthalten sind. Ein weiteres Szenario wäre die Quarantäne eines unkritischen Hosts, der aber mit Ransomware infiziert ist, beispielsweise einer redundanten HMI.
OT-Benutzer möchten die Möglichkeit haben, eine vorgeschlagene Bedrohungsreaktion manuell zu akzeptieren oder abzulehnen. Dies ist kein vollautomatischer Ansatz, aber wahrscheinlich ein notwendiger Zwischenschritt zur vollständigen Automatisierung, um die Funktionsfähigkeit zu bestätigen. Integratoren, die diese Systeme entwickeln, werden klugerweise Benutzeroberflächen und Workflows entwickeln, um diesen halbautomatischen Ansatz zu unterstützen.
Grundlagen einer automatisierten Reaktion
Im Hinblick auf den wachsenden Bedarf im OT-Umfeld spielt das Thema »Integration« eine große Rolle. Ein Schlüsselelement für die Integration und Automatisierung ist eine leistungsstarke API (Anwendungsprogrammierschnittstelle), die die Interaktion mit Sensoren, SIEMs und anderen Systemelementen vereinfacht. Darüber hinaus ist die Flexibilität und Granularität der Kontrollen, die automatisch implementiert werden können, entscheidend. Speziell für OT-Umgebungen können Benutzer App-ID für ICS anwenden, um Antworten auf Protokollebene bis auf funktionale Befehle zu implementieren, etwa zu DNP3-Betriebsbefehlen, wie zuvor erwähnt. In Kombination mit User-ID für rollenbasierten Zugriff, Content-ID für Kontrolle über Nutzlasten und Bedrohungen und einer konsequenten grundlegenden Überwachung, basierend auf IP und Port, ergibt sich eine sehr flexible ATR-Plattform. Diese kann eine Reihe von Reaktionsmustern abdecken, je nach Risikotoleranz eines Unternehmens. Eine HAZOP-Prüfung (Hazard and Operability), also zur Gefährdung und Betriebsfähigkeit, kann ebenso durchgeführt werden, um die geeignete ATR-Lösung für bestimmte Szenarien zu ermitteln.
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
IoT und Industrie 4.0: Durchblick im Datenverkehr – Sehen, was wirklich wichtig ist
Industrie 4.0 führt zu hohen Sicherheitsanforderungen: Cyberkriminalität wird oft unterschätzt