Inhalt
Das Thema IT Security – oder genauer gesagt: Berichte über erfolgreiche Cyberangriffe auf Behörden und Unternehmen – schafft es mittlerweile täglich auf die Titelseiten der Zeitungen und Nachrichtenportale. Angreifer(-gruppen) sind heutzutage motiviert, gut vernetzt und haben kommerzielle oder auch politische Interessen, ihr Ziel-Unternehmen auszuspionieren, zu erpressen und ihm so finanzielle – oder Reputationsschäden zuzuführen.
Dem gegenüber stehen viele Unternehmen, die damit kämpfen, für ihre IT Security ein der aktuellen Situation angemessen hohes Niveau zu erreichen und zu halten. Hohe IT Security Budgets sprengen häufig die finanziellen Möglichkeiten des Unternehmens, dazu kommen häufig mangelnde Zeit- und Personal-Ressourcen.
Die Operational Security (OT) Security – also die Sicherung von operativer Technologie, Fertigungsanlagen, Industrieanlagen oder Infrastruktureinrichtungen – liegt dabei noch im Schatten der Betrachtung. Verwunderlich, denn ein OT-Angriff muss i.d.R. zunächst die IT Security überwinden, um Zugriff auf die OT zu bekommen. Wenn dann jedoch an dieser Stelle nicht ausreichende IT-Sicherheitslösungen implementiert sind, können die Angreifer ihrem Handwerk ungehindert nachgehen und immense Schäden für das angegriffene Unternehmen anrichten. Zu den dadurch hervorgerufenen Fehlfunktionen der OT kommen im schlimmsten Fall die Gefährdung von Leib und Leben oder der Umwelt.
Trotz der Verwundbarkeit und der großen Risiken, die sich beim Angriff auf ihre OT materialisieren können, sind Unternehmen häufig nicht in der Lage, potenzielle Bedrohungen rechtzeitig zu erkennen oder verdächtigen Datenverkehr auf diesen Geräten durchgehend zu überwachen. Es gibt im Worst Case keine Kontrollen, um die Sicherheit und die Risiken, die der Bereich IoT (Internet of Things) für ein Unternehmen mit sich bringt, zu verwalten. Und die Integration von IoT mit künstlicher Intelligenz, maschinellem Lernen, automatisierten Prozessen und der Cloud steht noch ganz am Anfang.
Never change a running system?
„Never change a running system“- dieses Paradigma wurde lange Zeit der IT zugeschrieben – missverständlicherweise! Denn im Zeitalter der Digitalisierung sollten nicht nur die eigene IT-Strategie und -Infrastruktur regelmäßig und kritisch in Hinblick auf IT Security hinterfragt werden, sondern auch grundlegende Systementscheidungen in Organisationen auf den Prüfstand gestellt werden.
In Hinblick auf IT und OT bedeutet dies: Trotz einiger möglicher Überschneidungen – z.B. derselben Betriebssysteme, Infrastrukturkomponenten, Netzwerkkomponenten – gibt es fundamentale Aspekte in der OT, die beachtet und bei strategischen Entscheidungen berücksichtigt werden müssen:
- Safety First – ein OT System muss sicher und stabil laufen, denn bei Störungen kann es im schlimmsten Falle zu Gefährdungen von Leib und Leben kommen.
- Ein weiterer Focus sollte darauf gesetzt werden, keine Unterbrechungen des Regelbetriebes zuzulassen, da ein Herunter- und Herauffahren der Anlage i.d.R. mit sehr großem Aufwand verbunden ist.
- Es ist oft alte Hardware im Einsatz, mit teilweise nicht mehr supporteten Betriebssystemen.
- Häufig stehen viele Komponenten und Geräte wenig Personal gegenüber.
- IT-fremde, oft mittelständische Systemhersteller, sind noch sehr verbreitet im Einsatz.
- Häufig werden standardisierte Sensoren und Controller verwendet.
- Es werden im Vergleich zur IT oft andere Protokolle verwendet (z.B. ICCP, Modbus, DNP3, etc.).
- Es herrschen ggf. raue Betriebsumgebungen in den Industrieanlagen vor.
Drei wichtige Grundvoraussetzungen schaffen!
OT Security ist kein Quick Win – OT Security ist komplex und mühsam. Schließlich geht es darum, Systeme aus zwei Welten miteinander in Kontakt zu bringen – Systeme, die teilweise schon über Jahrzehnte in Betrieb sind und die wenig dokumentiert sind.
Orientierung gibt eine schrittweise Vorgehensweise:
Schritt 1: Bestandsaufnahme der Anlagen und Überblick über potenzielle Ziele
Hierbei gilt es, das Inventar an Vermögenswerten zu erfassen, d. h. eine Recherche, wie die OT-Systemlandschaft aussieht und wie sie integriert ist – was in Bezug auf Daten, Software, Systeme, Geräte und Prozesse zu schützen ist. Dieser erste Schritt ist entscheidend für den Erfolg, denn er bedeutet, dass keine blinden Flecken hinterlassen werden, die ein Angreifer nutzen könnte.
Schritt 2: Risikoanalyse
Die Bestandsaufnahme und ihre Schwachstellenanalyse in Verbindung mit möglichen oder notwendigen Patches für das OT-System liefern Informationen für eine Risikoanalyse. In einigen Fällen kann es z.B. sicherer sein, mit einer älteren Systemversion ohne Patches zu arbeiten und ein potenzielles Sicherheitsproblem durch gezielte Überwachung des Risikos zu mindern. Ein Risiko zu akzeptieren und abzuschwächen kann sicherer sein, als das System durch Änderungen zum Absturz zu bringen, deren Komplexität und Abhängigkeiten nicht in ihrem ganzen Umfang vorhersehbar sind. Für die Risikoanalyse bietet das MITRE ATT&CK Framework für ICS (Industrial Control Systems) eine gute Hilfestellung, da es eine strukturierte Bewertung und Bestandsaufnahme unterstützt.
Schritt 3: Zentrales Logging
Cyberangriffe – oder auch nur eine Fehlfunktion eines Systems oder einer Komponente – hinterlassen ihre Spuren in Log Files. Die zentrale Sammlung von Logfiles ist die Grundvoraussetzung für eine Analyse und das Alerting, ggf. sogar die automatisierte Eindämmung eines Angriffs. Für eine effiziente und schnelle Analyse ist es entscheidend, dass die Protokolldaten der unterschiedlichsten – teilweise schon sehr alten – Subsysteme in einem normalisierten Format abgelegt werden, da der Einsatz von performanten Analysemethoden und Machine Learning „saubere“ Daten bedingt – siehe auch TechTalk Beitrag: Layered Analytics: Dieser Cybersecurity Ansatz bereitet Hackern Kopfzerbrechen.
OT Security at Work
Sind die entsprechenden Grundlagen geschaffen, so kann die eigentliche OT Security Arbeit beginnen: die fortlaufende Analyse, um Angriffe rechtzeitig zu erkennen und abzuwehren. Zwei Verfahren, die sich schon in der IT Security bewährt haben, kommen hier zum Einsatz: Realtime Correlation und User and Entity Behaviour Analytics („UEBA“), also der Einsatz von unsupervised Machine Learning zur Erkennung von Abweichungen vom normalen Systembetrieb.
Bei der Realtime Correlation werden die vorhandenen Log-Daten mit Hilfe von definierten Korrelationsregeln analysiert. Entscheidend für die Wirksamkeit ist die Performance der Analyse – je schneller Angriffe erkannt werden, umso schneller kann reagiert werden und umso geringer ist der Schaden. Reduktion der “Detection Time” und der “Reaction Time” sind hier die wichtigsten Stichworte. Um sicherzustellen, dass das relevante Spektrum von möglichen Angriffen abgedeckt wird, ist das bereits o.g. MITRE Attack Framework für ICS ein sinnvoller Rahmen mit dem Ziel, mögliche Angriffsvektoren strukturiert in die Security-Analyse aufzunehmen.
Anders als die Realtime Correlation setzt UEBA darauf, zunächst zu beobachten, wie der normale Betrieb und die Interaktion innerhalb der OT Landschaft verlaufen, um eine Baseline zu bilden. Die Baseline ist eine – statistisch ermittelte – Abbildung des OT-Systems, des Verhaltens und der Interaktion der Komponenten miteinander im Normalbetrieb. Die Baseline ist später wichtig, um Abweichungen vom Regelbetrieb zu erkennen. Entscheidend sind hier zwei Vorteile: Erstens lernt das System selbständig und kann daher auch auf Angriffe reagieren, die noch nicht in Korrelationsregeln hinterlegt sind. Zweitens kommen bei Angriffen auf OT-Systeme auch Systeminteraktionen zum Einsatz, die für sich gesehen unproblematisch sind, die aber in ihrer Zeit und/oder Häufigkeit als ein Abweichen von der Baseline erkannt werden.
UEBA ist in der IT Security ein relativ neues Thema, das viele Unternehmen erst jetzt in Angriff nehmen – als nächsten Evolutionsschritt nach der Realtime Analyse. Für OT Security ist der umgekehrte Weg zu empfehlen. OT-Systeme sind darauf angelegt, Tätigkeiten, Fertigungs- oder Prozessschritte zu wiederholen. Es liegt sozusagen in der Natur der Maschinen, immer dasselbe zu tun und Auffälligkeiten, d.h. Abweichungen von der Baseline, sind so einfacher zu finden. Des Weiteren kommt UEBA ohne die Aufstellung von Korrelationsregeln aus. Grundvoraussetzung für UEBA – basierend auf Machine Learning – sind bereinigte Daten, denn ohne bereinigte Daten wird jede Datenanalyse scheitern.
Lösungen für das OT Security Monitoring
Um Cyberattacken in Echtzeit zu erkennen, bedarf es einer Sicherheitssoftware, die durch starke Sicherheitsanalysen unterstützt wird. ArcSight beispielsweise verfügt über die notwendigen Konnektoren, um OT Systeme anzubinden – dies gilt sowohl für topmoderne Log-Quellen, als auch für betagte Subsysteme. Allen Konnektoren ist gemein, dass sie die Daten auf ein einheitliches Format als Grundlage für die weitere Analyse bringen. Dies ist die Grundvoraussetzung für eine effiziente Datenanalyse.
Log Daten werden in einer Log-Datenbank mit eingebauten Analytics gespeichert – der Vorteil liegt auf der Hand: Sowohl Forensik, als auch Realtime Correlation und Machine Learning können auf einer gemeinsamen, konsistenten Datenbasis erfolgen.
Eine Lösung wie ArcSight Intelligence ermöglicht durch den Einsatz von Machine Learning die Erkennung von Abweichungen von der Baseline – also vom Regelbetrieb – und somit eine Sicherung Ihrer OT bereits nach wenigen Tagen des selbständigen Lernens. Die gezielte Analyse von Angriffsvektoren auf Ihre OT kann mit ArcSight Detect erfolgen; hier finden die im MITRE ATT&CK-ICS Framework dokumentierten Taktiken und Methoden ihre Anwendung.
Kunden, die nicht die Kapazitäten haben oder schaffen wollen, OT Security Monitoring in Eigenregie zu managen, haben die Möglichkeit, auf eine SAAS-Lösung zu setzen oder ihre OT Security als Managed Service erbringen zu lassen.
Fazit
Asset Inventory ist die Grundlage für OT Security. Bereinigte Rohdaten als Input für die automatisierte Analyse sind Grundvoraussetzung für effiziente Anwendung von Korrelationsregeln und vor allem unsupervised Machine-Learning, so dass Abweichungen vom Normalbetrieb erkannt werden – auch wenn sie sich hinter scheinbar normalen Systeminteraktionen verstecken.
UEBA ist die Abkürzung auf dem Weg, Cyberangriffe auf OT schnell zu erkennen, da sie ohne die Definition von Korrelationsregeln auskommt.
ArcSight z.B. bringt als eine mögliche Sicherheitssoftware die notwendige Technologie und die Methoden mit, um die zugrundeliegenden Log Daten zu konsolidieren, zu bereinigen und automatisiert zu analysieren, so dass Unternehmen ihre OT effektiv schützen.
Der Blick nach vorne
An diesem Punkt wäre das OT-System gegen Cyberangriffe geschützt. Da die Daten aber jetzt in konsistenter, bereinigter und normalisierter Form vorliegen, liegt es nahe, sie auch für andere Zwecke zu nutzen, etwa für Predictive Maintenance – oder für die Optimierung des Gesamtsystems. Denn nicht jeder Incident weist auf einen Cyberangriff hin, ggf. handelt es sich um frühe oder späte Hinweise auf das Versagen von Komponenten.
