IT-Sicherheit für Industrie 4.0 Shodan und Conpot: Zwei Initiativen, die durch Information Schutz vor Hackerangriffen bieten Autor: Christophe Birkeland ist Chief Technology Officer of Malware Analysis, Blue Coat Systems Industrie 4.0 – eine autonome Produktion mit mitdenkenden und vernetzten Produkten – bringt neben einer Vielzahl an Vorteilen auch Sicherheitsrisiken für Industrieunternehmen mit sich. Denn sie öffnet Hackern die Tür in die Fertigungshalle. Um sich vor Angriffen zu schützen, müssen Unternehmen die eigenen Schwachstellen und das Vorgehen der Hacker kennen. Shodan und Conpot sind zwei Initiativen, die Security-Abteilungen dabei unterstützen, die notwendigen Informationen zu sammeln und auszuwerten. Angesichts der hohen Effizienzsteigerung öffnen Unternehmen ihre Industriellen Steuersysteme (ICS) wie SCADA immer öfter nach außen. So können sie ihr Systemmanagement vereinfachen und zentralisieren, neue Services bereitstellen und durch kürzere Service- und Supportzeiten teuren Stillstand vermeiden. Diese Öffnung bietet Angreifern neben dem klassischen Office PC eine weitere Möglichkeit, den Zugangspunkt zum Netzwerk zu kompromittieren und sich schrittweise in die Produktionsumgebung vorzuarbeiten. Die dort installierte proprietäre Hard- und Software ist meist nicht an die bestehenden Security-Systeme angebunden und daher schutzlos. Hacker können so Prozesse manipulieren oder die gesamte Umgebung sabotieren. IT-Security muss Schwachstellen kennen Aktuelle Beiträge in den Medien und Berichte des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder des auf die Absicherung kritischer IT-Infrastrukturen spezialisierte ICS-CERT des US-amerikanischen Heimatschutzministeriums belegen immer wieder, dass der Cyberkrieg längst auf vielfältige Art und Weise Einzug in den Produktionsstätten erhalten hat. Daher muss die IT-Security mit den verfügbaren Sicherheitssystemen die Voraussetzungen für eine sichere Öffnung der Netze schaffen. Dazu sind detaillierte, handlungsrelevante Informationen notwendig. Denn um die Abläufe der Angriffe zu verstehen, die Ausbreitung von Malware zu verhindern und eventuelle Schäden so schnell wie möglich zu beheben, muss die IT-Security die Schwachstellen der Produktionsnetze, die Angriffsvektoren und die verwendeten Tools kennen. Dazu greifen IT-Abteilungen in Unternehmen auf vorhandenes Know-how, existierende Wissensdatenbanken und etablierte Prozesse zu. Informationen für den spezifischen Schutz der nachgelagerten Produktivsysteme sind bislang jedoch eher rar. Durch Security-Initiativen wie die Suchmaschine Shodan und der ICS-/SCADA-Honeypot Conpot rückt derzeit die Absicherung von Industrieumgebungen in den Fokus. Sie unterstützen zum einen Security-Verantwortliche bei der Beschaffung sowie Auswertung handlungsrelevanter Threat- und Schwachstelleninformationen, zum Anderen zeigen sie auf, welche Geräte unbeabsichtigt mit dem Internet verbunden sind. Shodan: Suchmaschine identifiziert Schwachstellen und fehlerhafte Systeme Die Suchmaschine Shodan wurde 2009 entwickelt und bietet die Möglichkeit, das Internet nach unterschiedlichen erreichbaren Systemen zu durchsuchen. Im Gegensatz zu Content-basierten Engines wie Google lässt sie einen Portscan über die IP-Adressen laufen und sammelt sowie indiziert die zurückgesendeten Banner. So lässt sich das Web nach Servern und Routern bestimmter Typen oder nach IP-basierten Endpoints wie Sicherheitskameras oder Medizingeräten durchsuchen. Anwender können ihre Suchabfragen über Filter spezifizieren, indem sie Herstellernamen, Portangaben, Regional-Codes oder Protokolle kombinieren, um gezielt SCADA-Server in einem bestimmten Land zu finden. Shodan ermöglicht es dadurch, Schwachstellen oder fehlerhaft konfigurierte Systeme, die mit dem öffentlichen Internet direkt verbunden sind, zu lokalisieren. Dennoch sollten Nutzer bedenken, dass ihr System, wenn es auf Shodan gefunden wurde, auch für alle anderen sichtbar ist. Zudem kann die Suchmaschine auch in falsche Hände geraten und als Hacking-Tool missbraucht werden. Denn längst sind Hacking-Toolkits mit Shodan-Schnittstelle im Darknet erhältlich. Security-Experten sind sich dennoch einig, dass die gleichen Suchfunktionen für Botnetz-Betreiber und Botnetz-Nutzer auch über ihre eigenen Systeme realisierbar sind. Security-Experten in Industrieumgebungen sollten frühzeitig die kostenlose Testversion von Shodan implementieren und in ihr Schwachstellenmanagement einbinden. Die Analyse der eigenen Schwachstellen und die Minimierung der Sichtbarkeit der Produktionssysteme im Internet sind ein wichtiger Schritt bei der Absicherung der ICS-Umgebung. Aufgrund der zunehmenden maßgeschneiderten, mehrstufigen Advanced Persistent Threats (APT), die die vorhandene Security-Architektur gezielt umgehen, müssen Bedrohungen sorgfältig analysiert werden. Verglichen mit der riesigen Zahl dokumentierter Sicherheitsvorfälle in Office-Umgebungen sind die bekanntgewordenen Fallzahlen im Industrieumfeld überschaubar und die Faktenlage entsprechend dünn. Conpot – Honeypots für die Industrie Die Conpot (Control System Honeypot)-Initiative wurde unter anderem von Lukas Rist, Software Engineer bei Blue Coat in Norwegen, unter dem Dach des Honeypot-Projects ins Leben gerufen. Ziel ist es, im Internet interaktive, virtuelle Systeme zu platzieren, die sich nach außen hin exakt wie ungeschützte ICS-Server oder Industrienetzwerke verhalten. Der Betreiber des Honeypots wartet ab, bis ein Angreifer das emulierte Kraftwerk, Verteilerhäuschen oder Industrieunternehmen attackiert und kann die Anatomie des Angriffs beobachten. Er erhält so wertvolle Analysen von Angriffsvektoren. Werden im Rahmen der Initiative Dutzende von Angriffen ausgelesen, analysiert und korreliert, lassen sich Informationen zu Trends und Entwicklungen oder regionalen und thematischen Schwerpunkten der Angriffe ableiten. Dadurch erleichtert der Honeypot die Suche nach Anomalien im Produktionsnetz. Wird ein Honeypot implementiert, kann sich der Security-Analyst sicher sein, dass es sich bei allen Events an diesem Endpoint um fehlerhaft konfigurierte Systeme oder Scans und Angriffe handelt. Denn dort findet keinerlei reguläre Kommunikation statt. Schließlich sorgt der virtuelle Köder für die notwendige Ablenkung der Angreifer, wodurch zeitliche Freiräume für die Absicherung der echten kritischen Infrastrukturen entstehen können. An Conpot können alle Security-Professionals teilnehmen. Der Emulator ist als Open Source-Software unter www.conpot.org verfügbar. So kann jeder Entwickler ein realitätsgetreues, virtuelles Modell seiner Umgebung generieren sowie ins Netz stellen und das Security-Team erfährt, mit wie viel Aufmerksamkeit es online rechnen muss und kann seine Verteidigungsstrategien entsprechend anpassen. Fazit Angriffe auf Industrieumgebungen folgen meist den Mechanismen, die aus klassischen Office-Umgebungen bekannt sind. Unternehmen, die ihre Produktionsumgebungen wirkungsvoll absichern möchten, sollten die Sichtbarkeit ihrer ICS-Systeme im Web prüfen und minimieren. Angesichts der hohen Zahl von Advanced Threats kommt zudem der Threat Intelligence eine hohe Bedeutung zu. Security-Abteilungen müssen über das Vorgehen der Angreifer und den gesamten Lebenszyklus der Threats im Bilde sein, um eine ganzheitliche Security-Strategie zu entwickeln. Diese Strategie könnte wie folgt aussehen: 1. Nutzen Sie Shodan um das Monitoring der eigenen Geräte im öffentlich erreichbaren Internet zu ergänzen. Hiermit bekommen Sie eine Liste der Geräte, die für Shodan sichtbar sind, sei des durch Misskonfiguration oder fehlende Authentifikation. Wird ein Gerät ungewollter Weise gefunden, sollten die Best Practices der IT-Security implementiert und die über das Internet erreichbaren Teile des Netzwerks sofort zuverlässig abgesichert werden, indem das Gerät entsprechend konfiguriert oder aus dem Netzwerk entfernt wird. 2. Nutzen Sie Conpot um ein Profil der Angriffe zu erstellen, die gegen ähnliche ICS Infrastrukturen wie die eigenen, erkennbar sind. Dies hilft zu verstehen, mit welchen Techniken und Angriffsvektoren die Angreifer arbeiten. Security Professionals haben so die Möglichkeit ihre Sicherheitskonfiguration wie etwa Regeln für Firewalls oder Zugangsberechtigungen anzupassen. Zudem hilft das Verständnis darüber, wie Angriffe gegen ICS und SCADA Systeme aussehen, Security Professionals dabei Indikatoren für potenzielle Angriffe zu erkennen und so schneller festzustellen, dass das eigene Netzwerk angegriffen worden sein könnte. 3. Zeichnen Sie zum Beispiel mit Security Analytics von Blue Coat, den Netzwerktraffic kontinuierlich auf und analysieren Sie ihn. Durch diese Analyse können Sicherheitsexperten die oben genannten Indikatoren für potenzielle Angriffe erkennen. Sie stellen fest, ob, wie und in welchem Maße das Netzwerk angegriffen wurde. Für die Blue Coat Security Analytics Platform ist zusätzlich ein spezielles SCADA ThreatBLADE erhältlich, das SCADA-Systeme kontinuierlich in Echtzeit scannt und Administratoren warnt sobald bekannte ICS Exploits oder Angriffsmuster im Netzwerk entdeckt werden. Eine nahtlos integrierte Lösung zur Absicherung von Produktionssystemen ist nur realisierbar, wenn die proprietären Industriestandards sukzessive durch Standard-IT abgelöst und in die bestehenden Security-Architekturen eingebunden werden. Die dafür erforderlichen Konzepte wie IPv6-basiertes Networking, lückenloses Netzwerk-Monitoring und ein durchgängiges Patch- sowie Vulnerability-Management liegen, die Voraussetzungen für deren flächendeckenden Einsatz müssen jedoch noch geschaffen werden. Angesichts der langen Produktlebenszyklen in der Industrie kann dies jedoch noch einige Zeit dauern.
© Copyright 2024 ExpyDoc
