Kritische Infrastrukturen
Vectra rät zu maschinellem Lernen um ICS-Netze besser zu schützen
Industrielle Steuerungssysteme sind gefährdet
Was sind industrielle Steuerungssysteme?
„ICS umfassen verschiedene Arten von Systemen und zugehörige Instrumente zur Überwachung und Steuerung industrieller Prozesse. Sie reichen von einfachen Schalttafeln bis hin zu großen, dezentralen Steuerungssystemen mit Tausenden von Feldanschlüssen“, erklärt Gérard Bauer, VP EMEA bei Vectra. „Diese Systeme empfangen Daten von entfernten Sensoren, um Entscheidungen darüber zu treffen, mit welcher Befehlsfunktion die operative Technologie gesteuert werden soll.“
Ein Cyberangriff auf kritische Infrastrukturen wie in der Ukraine im Jahr 2015 kann enorme Auswirkungen haben. Dieser Angriff hat Teile des ukrainischen Stromnetzes zum Erliegen gebracht, wovon mehr als 700.000 Menschen betroffen waren. Weltweit gab es in den vergangenen Jahren immer wieder kleinere Angriffe auf kritische Infrastrukturen. Die meisten dieser Angriffe zielten auf industrielle Steuerungssysteme (Industrial Control Systeme, ICS) und das Technikpersonal ab, das einen privilegierten Zugang hat. Diese Bedrohung ist real und nimmt zu. Die Security Experten von Vectra raten Unternehmen dazu, ihre Netze besser zu schützen und dabei auf die kontinuierliche Überwachung durch Systeme zu setzen, die auf maschinellem Lernen und künstlicher Intelligenz basieren.
Ein ICS kann ein Controller sein, der einem Ventil sagt, wann es öffnen oder schließen soll. Es kann auch die Verteilung von Energie in einem Energienetz steuern. Diese Systeme werden in der chemischen Verarbeitung, der Zellstoff- und Papierherstellung, der Stromerzeugung, der Öl- und Gasverarbeitung und der Telekommunikation eingesetzt. Alle sind Teile der sogenannten kritischen Infrastruktur eines Landes.
Was sind die Risiken?
Früher wurde angenommen, dass ICS für Cyberangriffe unempfindlich seien, da die Computer, mit denen sie betrieben wurden, nicht auf das Internet zugreifen konnten und vom Unternehmensnetzwerk getrennt waren. Dies ist jedoch nicht mehr der Fall. System- und Netzwerkadministratoren, Drittanbieter, Systementwickler und Systemintegratoren verfügen über verschiedene Ebenen des Internetzugangs und des ICS-Verwaltungszugriffs. Damit wurde unbeabsichtigt ein Einfallstor für Angreifer geschaffen. Zum Beispiel kann ein infizierter Laptop eines Auftragnehmers sich mit dem Netzwerk verbinden und sich in der ICS-Umgebung verbreiten.
Schlimmer noch, der zunehmende Einsatz von IoT-verbundenen industriellen Geräten hat die ICS-Angriffsfläche dramatisch erhöht. Dies wurde in einer Studie unter dem Namen Project SHINE (SHodan INtelligence Extraction) veranschaulicht. Basierend auf den Erkenntnissen, die von der SHODAN-Suchmaschine zwischen April 2012 und Januar 2014 gesammelt wurden, kam die Studie zu dem Ergebnis, dass über eine Million ICS-Geräte aus der Ferne über das Internet erreichbar waren.
Die Konnektivität und Integration der traditionellen Informationstechnologie mit der operativen Technologie, also die IT/OT-Konvergenz, nimmt exponentiell zu. Sie wird durch schnellere Geschäftsprozesse und die Implementierung von künstlicher Intelligenz beschleunigt, um Entscheidungen in ICS-Umgebungen voranzutreiben. Darüber hinaus nutzen mehr ICS-Geräte kommerzielle Betriebssysteme, wodurch ICS-Systeme einer größeren Anzahl bekannter Schwachstellen ausgesetzt sind.
Vectra nennt drei Kategorien dokumentierter Angriffe auf kritische Infrastrukturen
- Vorsätzliche zielgerichtete Angriffe, wie z.B. das Erlangen unbefugten Zugriffs auf Computer innerhalb des Netzwerks, Ausführen von Denial-of-Service-Angriffen oder Spoofing.
- Unbeabsichtigte Folgen oder Kollateralschäden durch Würmer, Viren oder Steuerungssystemfehler.
- Unbeabsichtigte Folgen durch interne Mitarbeiter oder Mechanismen. Dies umfasst das Testen unangemessener Software auf Betriebssystemen oder nicht autorisierte Systemkonfigurationsänderungen.
Absichtliche, gezielte Angriffe stellen das größte Risiko dar, da ein Bedrohungsakteur meist beabsichtigt, Informationen zu stehlen. Dies erfolgt z.B. durch einen Angriff auf ein Ziel über dessen HVAC-Betreiber (Heating, Ventilation, and Air Conditioning). Andere Angriffe dienen dazu, gezielt einen möglichst großen Schaden zu verursachen, wie bei einem Stahlhersteller in Deutschland vor wenigen Jahren.
Ein absichtlicher, gezielter Angriff erfordert detaillierte Kenntnisse des Steuerungssystems und der unterstützenden Infrastruktur. Unbeabsichtigte Konsequenzen von Bedienfehlern treten jedoch weitaus häufiger auf und es ist gleichermaßen wichtig, diese zu erkennen und zu stoppen. Unbeabsichtigtes Verhalten, z.B. bei routinemäßiger Arbeit, kann zu Risiken führen, weshalb hier eine Überwachung nötig ist.
ICS-Automatisierung, Prozesssteuerung, Zugangskontrollgeräte, Systemkonten und Anlageninformationen haben einen enormen Wert für Cyberangreifer. Die sich immer weiter ausdehnende Angriffsfläche gibt ihnen viele Möglichkeiten, auf eine ICS-Umgebung zuzugreifen.
Angriffe auf hochwertige ICS-Ziele sind oft Teil einer größeren Angriffskampagne, die von qualifizierten Cyberkriminellen ausgeführt wird. Diese Kampagnen umfassen nach Angaben von Vectra in der Regel die häufigsten Phasen eines Angriffszyklus:
- Etablierung eines Zugangs in das Unternehmen
- Interne Aufklärung, um kritische Managementsysteme zu finden
- Kompromittierung von administrativen Systemen und Konten, um sich seitlich zu bewegen
- Fernsteuerung des Angriffs mit versteckten Tunneln
Die Angriffskampagnen können im Laufe von mehreren Monaten stattfinden und erfordern von Sicherheitsanalysten eine erhebliche Menge an Datenanalyse, Korrelation und Forschung, um die Bedrohungen zu erkennen oder Hinweise auf einen Cyberangriff zu finden.
Wie lassen sich ICS-Angriffe verhindern?
In der jüngsten SANS-Umfrage von 2017 zum Schutz industrieller Steuerungssysteme gaben vier von zehn Fachkräften an, dass sie keine Transparenz in ihren Netzwerken haben. Dieser Mangel an Sichtbarkeit ist eines der Haupthindernisse für den Schutz von ICS-Systemen. Sicherheitsteams benötigen umfassende Kenntnisse über vernetzte und miteinander verbundene Komponenten und sämtliche Konfigurationen und Kommunikationsprozesse, um kritische Infrastrukturen erfolgreich zu schützen.
Dies könnte der Grund dafür sein, dass 44 Prozent der Befragten als größtes Risiko für ihr ICS die Netzwerkgeräte betrachten, die sich nicht selbst schützen können. Als weitere Risiken folgen zufällige interne Bedrohungen (43 Prozent), externe Bedrohungen durch Hacktivisten oder Nationalstaaten (40 Prozent) und Ransomware (35 Prozent).
Die manuelle Überwachung von Netzwerkgeräten und Systemadministratoren ist eine Herausforderung für Unternehmen mit eingeschränkten Ressourcen, die kein Budget für ein großes Sicherheitsteam bereitstellen können. Große Teams von Sicherheitsanalysten müssten jedoch eine aufwändige manuelle Analyse durchführen, die zur Identifizierung von Angriffen oder nicht genehmigten Verhaltensweisen in einer ICS-regulierten Umgebung erforderlich ist.
„Es ist wichtig, innerhalb des Netzwerks Sichtbarkeit zu haben in einer Weise, die sich an dynamisches Wachstum und Veränderungen des Infrastrukturbetreibers anpassen kann“, fasst Gérard Bauer abschließend zusammen. „Unternehmen benötigen daher eine Technologie, die die Echtzeitanalyse von Kommunikation, Geräten, Administratoren und menschlichem Verhalten in einem konvergenten Netzwerk automatisiert, um absichtliche Angriffe oder unbeabsichtigte Konsequenzen zuverlässig zu erkennen.“