KRITIS
Forescout warnt: Bedrohungen für exponierte kritische Infrastrukturen werden oft ignoriert
Forescout Research verstärkt seine Warnungen
In ihrem neuen Bericht „Better Safe than Sorry “ untersuchen die Security-Forscher von Forescout die Entwicklungen bei exponierten Betriebstechnologien/ICS im Zeitraum von 2017 bis 2024 und warnen, dass die Bedrohungen für kritische Infrastrukturen und die Gefahr eines Massenangriffs völlig außer Acht gelassen werden.
Trotz jahrzehntelanger Aufklärungsarbeit, neuer Vorschriften und wiederkehrender behördlicher Empfehlungen bleibt die Anfälligkeit von Betriebstechnologien (OT) und industriellen Steuerungssystemen (ICS), die über das Internet erreichbar sind, ein gravierendes Sicherheitsproblem für kritische Infrastrukturen. In diesem Kontext veröffentlicht Forescout, ein weltweit führender Anbieter von Cybersicherheitslösungen, jetzt seinen neuen Forschungsbericht Better Safe Than Sorry, für den über einen Zeitraum von sieben Jahren Daten zu OT/ICS-Geräten mit Verbindung zum Internet analysiert wurden. Die Studie wurde von Forescout Research – Vedere Labs durchgeführt, einem weltweit führenden Team, das auf die Aufdeckung von Schwachstellen und Bedrohungen spezialisiert ist, die kritische Infrastrukturen betreffen.
In dem Bericht Better Safe Than Sorry untersuchen die Forscher von Forescout die realistischen Möglichkeiten für Massenangriffe auf OT/ICS-Geräte, die über das Internet zugänglich sind. Diese Geräte bieten Angreifern beste Voraussetzungen, um im Handumdrehen Chaos anzurichten: Sie brauchen dazu nichts weiter zu tun, als vor dem Hintergrund aktueller Ereignisse ein paar grundlegende Überlegungen anzustellen, andere Attacken nachzuahmen oder mithilfe neuer Off-the-Shelf-Tools oder leicht verfügbarer Hacking-Anleitungen akute Sicherheitslücken auszunutzen.
„Wenn diese Warnungen bekannt klingen, dann deshalb, weil sie bekannt sind. Das Potenzial für Massenangriffe ist hoch“, betont Elisa Costante, VP of Research bei Forescout Research – Vedere Labs. „Forescout appelliert daher an die Hersteller, Dienstanbieter und Aufsichtsbehörden, gemeinsam alles daran zu setzen, Angriffe auf kritische Infrastrukturen zu verhindern, bei denen niemand verschont bleiben würde.“
Die wichtigsten Ergebnisse des Forschungsberichts Better Safe Than Sorry sind folgende:
Nordamerika kommt bei der Behebung dieses Sicherheitsproblems voran, doch weltweit betrachtet bleibt noch viel zu tun
Die USA und Kanada konnten die Anzahl der exponierten Geräte im Untersuchungszeitraum deutlich reduzieren: die USA um 47 % und Kanada um 45 %. In anderen Top-10-Ländern stieg die Zahl der exponierten Geräte dagegen an:
- Spanien: 82 %
- Italien: 58 %
- Frankreich: 26 %
- Deutschland: 13 %
- Russland: 10 %
Proaktive, gezielte Benachrichtigungen sind dringend erforderlich
Die Hackerangriffe auf kompromittierte SPS von Unitronics sowie eine Kombination aus behördlichen Warnungen und Medienberichten bewirkten, dass die Zahl der über das Internet zugänglichen Unitronics SPS binnen zwei Monaten um 48 % sank. Bemerkenswert ist dabei, dass die Zahl der exponierten Unitronics-Geräte in Israel bereits im Jahr 2022 zurückging, zeitgleich mit den ersten Berichten über Angriffe auf diese Geräte. In den USA hingegen begannen die Zahlen erst gegen Ende 2023 zu sinken, in Reaktion auf neuere Angriffe.
Robuste Strategien für das Risikomanagement sind unerlässlich
Bei vielen OT-Geräten und -Protokollen liegt die Ursache für die Internet-Anbindung in gängigen Praktiken von Systemintegratoren. Dazu zählt etwa die Bereitstellung von Fertigpaketen, die für die Asset-Eigentümer nicht durchschaubar sind und ungewollt zahlreiche Systeme über das Internet zugänglich machen. Die meisten Asset-Eigentümer sind sich nicht darüber im Klaren, dass solche Fertigpakete anfällige OT-Devices enthalten können. Dies unterstreicht, wie wichtig es für ein umfassendes Risikomanagement ist, über präzise, detaillierte Software- und Hardware-Stücklisten zu verfügen.
Fast die Hälfte bereits als anfällig gemeldeter Ports sind immer noch angreifbar
Im Zusammenhang mit den Angriffen auf SPS von Modicon und Wago untersuchten die Forscher von Forescout diese gefährdeten Geräte ein Jahr, nachdem einige davon der CISA gemeldet worden waren, ein weiteres Mal. Auf rund der Hälfte der gemeldeten SPS waren die problematischen Ports immer noch offen – ohne irgendwelche Änderungen oder Schutzmaßnahmen. 30 % der Geräte waren nicht mehr aus dem Internet erreichbar, während die restlichen 20 % zwar weiterhin erreichbar waren, der fragliche OT-Port jedoch geschlossen worden war. Einige FTP- und Web-Schnittstellen waren allerdings in manchen Fällen trotzdem noch anfällig.
Die gute Nachricht: Es gibt inzwischen weniger als 1.000 exponierte Geräte, auf denen Nucleus läuft, und nur noch rund 5.500, auf denen NicheStack läuft. Dies ist ein deutlicher Rückgang, seit die Forscher von Forescout im Rahmen ihres Project Memoria die Anfälligkeiten in diesen Stacks aufgedeckt haben. „Immer wieder sehen wir, welch fatale Folgen es haben kann, wenn Bedrohungen für kritische Infrastrukturen ignoriert werden“, so Costante weiter. „Die Frage ist nicht, ob solche Schwachstellen ausgenutzt werden, sondern nur wann. Deshalb sollten wir uns die Warnungen zu Herzen nehmen und proaktive Maßnahmen zum Schutz unserer Infrastrukturen ergreifen, bevor es zu spät ist.“
Forescout veröffentlicht den Bericht Better Safe Than Sorry auf der HANNOVER MESSE, der weltweit führenden Messe für industrielle Technologien. Vom 22. bis 26. April stehen die Forscher von Forescout in Halle 16, Stand A12, IT & OT Circus, zur Verfügung, um die Ergebnisse der Studie zu erörtern.
So arbeitet Forescout Research
Forescout Research führt in seinem Adversary Engagement Environment (AEE) Analysen durch, die sowohl reale als auch simulierte vernetzte Geräte umfassen. Die dynamische Umgebung dient als robustes Tool, um Vorfälle genau zu lokalisieren und komplexe Angriffsmuster detailliert zu identifizieren. Das übergeordnete Ziel besteht dabei darin, mithilfe der umfassenden Informationen und Erkenntnisse, die in dieser speziellen Umgebung gewonnen werden, die Reaktionen auf komplexe Angriffe auf kritische Infrastrukturen zu verbessern. Das AEE wird von Vedere Labs betrieben, einem weltweit führenden Team, das sich auf die Aufdeckung von Schwachstellen und Bedrohungen spezialisiert hat, die kritische Infrastrukturen betreffen. Die Produkte von Forescout stützen sich direkt auf diese Forschungen, deren Ergebnisse auch Herstellern, Behörden und anderen Sicherheitsforschern zugänglich gemacht werden.