Sicherheitsüberwachung in der Industrie


Die zunehmende Konvergenz von Informationstechnologie und Automatisierungs- bzw. Prozesssteuerungstechnik resultiert in einer veränderten Bedrohungslage. Diese Entwicklung gewinnt im Hinblick auf Industrie 4.0 weiter an Bedeutung und erfordert neben der Umsetzung eines Defense-in-Depth-Ansatzes eine vollumfassende Sicherheitsüberwachung der verarbeitenden Industrielandschaft.Industrielle Anlagen besitzen eine Laufzeit von mehreren Jahrzehnten und wurden in der Vergangenheit, abgesehen von Betriebs- und Ausfallsicherheit, ohne Betrachtung weiterer Sicherheitsaspekte entwickelt. Die nachgelagerte Integration von proaktiven Sicherheitsmaßnahmen wie die Definition von Sicherheitszonen und Segmentierung, Patchmanagement, Zugriffs- und Berechtigungsmanagement oder Anti-Viren-Schutz stellt die Anlagenbetreiber vor eine große Herausforderung. Darüber hinaus entstehen durch die Entwicklung hin zu Industrie 4.0 und die damit einhergehende progressive Digitalisierung und Vernetzung von IT- und ICS-Systemen entlang der gesamten Wertschöpfungskette neue Angriffsvektoren, was zu einer veränderten Bedrohungslage führt. Neben Produktionsausfällen ringen produzierende Gewerbe gegenwärtig mit der Gefahr von Manipulation, Reputationsschaden, Datenverlust bis hin zu Industriespionage im Cyber-Raum. Die Reduzierung des Schadenspotentials (Risiken) erfordert abgesehen von proaktiven auch reaktive Sicherheitsmaßnahmen zur Erhöhung der Sichtbarkeit von und Reaktionsfähigkeit auf Angriffe. Sicherheitsvorfälle müssen zur Reduzierung des Schadensausmaßes schneller erkannt, bearbeitet und geschlossen werden.

Der branchenbekannte Bericht Verizon Data Breach Investigations Report zeigt die historische Entwicklung der Fähigkeiten von Angreifern (orange) und Verteidigern (blau) seit 2004 (siehe Abbildung 1).  Der Graph visualisiert einerseits die erforderliche Zeit einer Kompromittierung durch die Angreifer und andererseits die notwendige Zeit zur Entdeckung dieser Angriffe durch die Verteidiger. Im Jahr 2014 erfolgten 91% der Kompromittierungen innerhalb weniger Stunden, während 62% der Angriffe erst nach Monaten oder Jahren erkannt wurden [1].

Cyber Defense Gap

Abbildung 1: Cyber Defense Gap [2]

Der Graph zeigt auch tendenziell einen niedrigeren Innovationsgrad auf Seiten der Verteidiger (unterschiedliche Steigungen der Geraden ‚Time to Compromise‘ und ‚Time to Discover‘). Die Angreifer werden schneller besser als die Verteidiger was zu einer stetigen Zunahme des Verteidigungsdefizites (Cyber Defense Gap) führt. Dieser negativen Entwicklung gilt es durch die Erhöhung der Sichtbarkeit und Reaktionsfähigkeit entlang der gesamten Angriffskette (Cyber Kill Chain) entgegen zu wirken. Die in Abbildung 2 dargestellte Angriffskette veranschaulicht den prinzipiellen Ablauf eines Angriffs [3]:Cyber Kill Chain

  1. Recon: Ausspähen des Ziels (z.B. Social Engineering, Schwachstellenidentifikation)
  2. Weaponize: Definition von Angriffsvektoren und Beschaffung erforderlicher Werkzeuge
  3. Deliver: Ausführen bzw. Liefern von Emails, USB-Sticks, etc.
  4. Exploit: Ausnutzen von Schwachstellen
  5. Install: Ausführen von Schadsoftware und Verbreitung
  6. C&C: Kontrollübernahme kritischer Assets
  7. Exfil: Datenabzug, Manipulation oder Zerstörung

Abbildung 2: Angriffskette

Oft besteht die Annahme, ein gelungener Einbruch (Recon, Weaponize, Deliver, Exploit) ist gleichbedeutend mit dem Erfolg eines Angriffs. Die Angriffskette zeigt jedoch, dass der Angreifer noch weitere Schritte (Install, C&C) durchlaufen muss, bevor die Mission erfolgreich beendet werden kann (Exfil). Zur Reduzierung des Verteidigungsdefizits müssen in jedem Schritt der Kette Angriffserkennungsfähigkeiten etabliert bzw. ausgebaut werden.

Aufgrund des niedrigen Reifegrads der Angriffserkennungsfähigkeit und der besonderen Anforderungen im produzierenden Gewerbe bedarf es bei ICS-Umgebungen einer gesonderten Betrachtung. Im ersten Schritt sollten sämtliche verfügbare Daten (z.B. Log- und Netflow-Daten) kontinuierlich an einer zentralen Stelle erhoben und analysiert werden. Dazu zählen vor allem Logdaten des Perimeters aber auch Komponenten, die zur Zonenrealisierung und Segmentierung von Produktionsnetzen (z.B. Router, Switch, Firewall, IDS) eingesetzt werden. Dies gilt insbesondere für Komponenten, über die externe Wartungszugriffe (z.B. VPN-Gateway, Jump-Server) und externe Maschinenkommunikationen (z.B. OPC-Server, S7comm, Modbus) stattfinden. Wünschenswert wäre – soweit möglich – die direkte Anbindung von Automatisierungs- bzw.  Prozesssteuerungstechnologien (z.B. PLC, HMI) oder zumindest von Kontroll- und Steuerungssystemen wie z.B. Line- oder Station-Manager an die Sicherheitsüberwachung. Aufgrund von existierenden Wartungsverträgen und technischen Limitationen ist dies oftmals nicht machbar, wird aber zunehmend vertraglich und technisch umgesetzt. Zur Kompensation der daraus resultierenden toten Winkel empfiehlt sich die Integration von passiven Sensoren an Schlüsselstellen zur Erkennung von Schadsoftware, Anomalien und Richtlinienverstößen.

Die Angriffserkennungsfähigkeit hängt nicht nur von der zur Verfügung stehenden Datenbasis (Sichtbarkeit) ab, sondern auch von der etablierten Analysefähigkeit. Die Dimensionen der Angriffserkennung Sichtbarkeit und Analysefähigkeit  lassen sich in drei aufeinander aufbauenden Diensten darstellen (siehe Abbildung 3):

  • Monitoring als Basisdienst zur Überwachung von bekannten Bedrohungen und zur Erkennung von bekannten Angriffen. Der Dienst wird überwiegend in 24×7 Modus betrieben und stellt die Grundlage einer funktionierenden Sicherheitsüberwachung dar.
  • Analytics bietet fortgeschrittene Analysemethoden wie z.B. Trendanalyse, Verhaltensanalyse und das Identifizieren von Anomalien zur Erkennung von anspruchsvollen Angriffen (z.B. Havex).
  • Hunting stellt den Senior Security Analysten die nötigen Daten und Analysewerkzeuge zur Suche nach unbekannten Bedrohungen und Angriffen (The Known Unknowns) zur Verfügung. Hierbei handelt es sich um die innovativste Methodik zur Erkennung von zielgerichteten Angriffen (z.B. Advanced Persistent Threats).

3D detection capabilities

Abbildung 3: Dimensionen der Angriffserkennung

Abbildung 3 zeigt die Gewichtung der beiden Dimensionen Sichtbarkeit und Analysefähigkeit und deren Einfluss auf die Angriffserkennung. Vorgeschrittene Analysemethoden erfordern eine entsprechende Sichtbarkeit als Grundlage. Die Überbewertung einer Dimension führt zu einem Ungleichgewicht und einer reduzierten Angriffserkennungsfähigkeit gemessen an den getätigten Investitionen. Der balanzierte Ausbau von Sichtbarkeit und Analysefähigkeit entlang der Angriffskette erhöht die Angriffserkennungsfähigkeit und ermöglicht eine zeitnahe und schnelle Reaktion auf Sicherheitsvorfälle.

Die in dieser Kurzdarstellung aufgeführten Sicherheitsaspekte sind keineswegs vollständig. Die Wichtigkeit proaktiver und organisatorischer Maßnahmen zur Anlagensicherheit, wie z.B. physischer Zugangsschutz oder der Umgang mit externen Speichermedien bei Mitarbeitern und Partnern, muss an dieser Stelle nicht erläutert werden. Mittelfristig wird auch im Bereich industrieller Sicherheit ein Defense-in-Depth-Vorgehen Anwendung finden. Unter Einbezug der Machbarkeit ermöglicht der hier vorgestellte Ansatz der reaktiven sicherheitstechnischen Überwachung eine deutliche Reduzierung von Reaktionszeit und Schadensausmaß bei Sicherheitsvorfällen im industriellen Umfeld. Darüber hinaus wird abhängig von der Vortragsdauer die Bedeutung von Incident Response, Threat Intelligence, operationale Integration und Orchestrierung hinsichtlich Sicherheitsüberwachung in der Industrie thematisiert.

Quellen:

  1. Verizon 2014 Data Breach Investigations Report – Threat Landscape MANUFACTURING, SERVICES AND TECHNOLOGY, S. 3
  2. Verizon 2015 Data Breach Investigations Report, S. 6
  3. Killing Advanced Threats in Their Tracks: An Intelligent Approach to Attack Prevention, SANS Institute, Tony Sager, Juli 2014, S. 3