Industrie 4.0
Palo Alto Networks erweitert Schutz für industrielle Netzwerke
Neue Überwachungsfunktion für Nicht-IP-Protokolle zum Schutz von ICS-Layer-2-Netzwerken
München, den 17. März 2017 – Ein wichtiger Grund für die zunehmende Implementierung der Next-Generation-Firewall von Palo Alto Networks in OT-Umgebungen (Operational Technology) ist die App-ID-Technologie. Diese ermöglicht Layer-7-Sichtbarkeit und -Überwachung auf der Grundlage von standard- und herstellerspezifischen Protokollen und Anwendungen. Darüber hinaus können Benutzer über App-ID-Decoder Dutzende von benutzerdefinierten Anwendungs-IDs auf Befehls- und/oder Funktionsebene erstellen, für einen tieferen Einblick und noch detailliertere Überwachung. Bisher beschränkten sich die Sicherheitsfunktionen für ICS/SCADA-Protokolle auf IP-basierten Verkehr.
Mit der neuen Version PAN-OS 8.0 führt Palo Alto Networks jetzt eine neue Funktion zur Überwachung von Nicht-IP-Protokollen und zur Kontrolle von Ethernet-Verkehr ein. Diese Funktion verbessert das Zonenschutzprofil mit der Fähigkeit, einen Filter zu erstellen und auf eine beliebige Zone anzuwenden, um den Datenverkehr basierend auf dem Ether-Typ-Wert des Headers zu blockieren oder explizit zuzulassen.
Ein Beispiel dafür, wo diese Funktion im ICS angewendet werden könnte, liegt im Wachstumsbereich der IEC-61850-Substationsautomatisierung. IEC 61850 ist eine Familie von Protokollen, die sowohl IP-basierte als auch Ethernet-basierte Protokolle umfasst. Eines dieser Ethernet-basierten Protokolle ist GOOSE (Generic Object Oriented Substation Events), ein echtzeitfähiges Netzwerkprotokoll zur Steuerung von Geräten über Ethernet-Netzwerke, definiert von der IEC (International Electrotechnical Commission). Ohne auf die Details einzugehen, wurde die Verschlüsselung aufgrund der strengen Echtzeit-Leistungsanforderungen nach IEC 61850 von diesem Standard ausgeschlossen. Obwohl die GOOSE-Nachrichten-Authentifizierung über den IEC-62351-6-Standard definiert wurde, besteht weiterhin eine damit verbundene Komplexität und auch ein Performanceverlust bei der Durchsetzung der Authentifizierung. Daher werden bei den meisten Implementierungen in der Praxis keine dieser Sicherheitsfunktionen eingeschaltet sein, was die Anfälligkeit für Cyberangriffe erhöht. In der Tat haben mehrere Forschungsstudien die Machbarkeit von GOOSE-bezogenen Cyberangriffen über verschiedene Angriffsmethoden hinweg validiert, wie etwa Modifikation, Denial-of-Service und Replay.
Angriffsszenario
Ein grundlegendes Beispiel für Angriff und Verteidigung wäre ein Szenario, in dem ein Angreifer erfolgreich in den Business-/Engineering-Bereich eines Netzes eindringen konnte. Dies könnte über einen Dreh- und Angelpunkt in der Zentrale oder vielleicht von einem WLAN-Netzwerk an der Substation, das für die Wartung verwendet wird, erfolgt sein. Wenn der Angreifer einmal im LAN ist, kann er einen GOOSE-DoS-Angriff ausführen oder speziell gestaltete GOOSE-Pakete in das IEC-61850-VLAN senden, was zu unregelmäßigem Verhalten, schlechter Performance, Serviceverlust (Öffnen von Relais) oder sogar Beschädigung der Geräte führen kann. Mit der Nicht-IP-Protokollüberwachungsfunktion können Benutzer ein Zonenschutzprofil definieren, das in die IEC-61850-Zone eingehenden GOOSE-Datenverkehr blockiert, wodurch ein solcher Angriff und die damit verbundenen unerwünschten Ereignisse verhindert werden könnten. Angriffsszenarien von der IEC-61850-Zone „stromaufwärts“ zur Geschäftszone scheinen weniger akut zu sein, aber ein Zonenschutzprofil in dieser Richtung könnte auch leicht angewendet werden.
Die Nicht-IP-Protokoll-Kontrolle kann auch durch einfaches Filtern der Ether-Typen 88b9 und 88ba angewendet werden. Dies könnte nützlich sein, sollten künftig Angriffe auf das SV- und GSE-Management (Sampled Value; Generic Substation Events) entdeckt werden. Hierzu wurden bislang aber noch wenig Forschungsergebnisse veröffentlicht.
