Die Berichte über Malware-Infektionen und gerichteten Angriffen auf Industrieanlagen und automatisierte Systeme nehmen zu. Dabei betrachten die Berichte natürlich nur die Fälle, die auch tatsächlich im Betrieb entdeckt werden. Nach der Bitkom Studie „Wirtschaftsschutz in der digitalen Welt“ mit 1069 befragten Unternehmen sind 12% tatsächlich von „digitaler Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen“ betroffen. Weitere 29% sind vermutlich davon betroffen – mit Abstand die größte Dunkelziffer unter den betrachteten Fällen. Daraus lässt sich schließen, dass Unternehmen noch nicht die notwendige Sichtbarkeit auf ihren Systemen und in ihren Netzen besitzen, um belastbare Aussagen darüber zu treffen, ob tatsächlich ein Angriff stattgefunden hat.

Im folgenden Beitrag stellen wir Ihnen netzwerkbasiertes Monitoring vor, welche positiven Aspekte es neben der reinen Anomalieerkennung und Intrustion Detection gibt und welche Punkte bei der Einführung beachtet werden müssen. So können Sie sich eine eigene Meinung über die Nützlichkeit von Anomalieerkennung bilden und idealerweise Rückschlüsse auf die Anforderungen bei einem Betrieb in Ihren Anlagen ziehen.

Was versteht man unter einer Netzwerkanomalie?

Automatisierungsnetze sind im Gegensatz zu Office-Netzen eher statischer Natur. Konkret bedeutet das, dass der Zustand des Netzes, also die Verbindungen der Teilnehmer untereinander, die ausgetauschte Datenmenge und gesprochenen Protokolle, im Verlauf der Zeit relativ konstant bleibt. Durch die zyklische Kommunikation zwischen SPS, HMI und gegebenenfalls SCADA-Systemen ergeben sich wenig Veränderungen im laufenden Betrieb einer Anlage. Hierdurch lassen sich Anomalien, also unerwartete oder unerwünschte Kommunikation, leicht identifizieren und Gegenmaßnahmen ergreifen.

In klassischen Office-Netzen stellen sich die Umstände anders dar. Hier gibt es viele von Menschen ausgelöste Verbindungen, wie zum Beispiel Druckaufträge, neu eingebrachte Geräte oder Webanfragen. Diese folgen keinem festen Raster und Anomalien lassen sich daher weniger leicht erkennen.

Normale TCP/IP-basierte Anomalien

Um im industriellen Bereich Ereignisse als Anomalien zu charakterisieren haben wir einen Blick in das BSI Whitepaper „Monitoring und Anomalieerkennung in Produktionsnetzen“ geworfen. Zunächst betrachten wir „klassische“ Anomalien, die auf Basis von TCP/IP-Kommunikation entstehen:

  • Anschluss eines neuen Geräts
  • DHCP-Requests
  • Vormals unbekannte Verbindungen zwischen zwei Teilnehmern
  • Verwendung eines bisher nicht genutzten Protokolls
  • Ereignisse zu ungewöhnlichen Zeiten
  • Plötzliche Zu- oder Abnahme ausgetauschter Datenmengen oder der Verbindungsanzahl
  • Unerwünschte Verbindungen oder Verbindungsversuche ins Internet
  • Adress- oder Port-Scans

Wozu man Deep-Packet-Inspection benötigt

Unter dem Begriff Anomalie lassen sich neben den beschriebenen klassischen Aspekten von IP-Kommunikation auch Auffälligkeiten innerhalb der industriellen Protokolle selbst erkennen. Hierfür bedarf es allerdings einer Lösung, welche die Analyse innerhalb der Applikationsschicht dieser Protokolle unterstützt. In diesem Fall spricht man von Deep-Packet-Inspection-Fähigkeiten oder kurz DPI. Darunter fallen unter anderem:

  • Ungewöhnliche Fehlermeldungen
  • Nicht unterstützte Funktionsaufrufe
  • Bisher nicht verwendete Funktionsaufrufe
  • Fehlerhafte Datenpakete
  • Unbekannte Funktionscodes
  • Werte außerhalb definierter Bereiche

Da einige industrielle Protokolle proprietär sind, d.h. deren Spezifikation nicht öffentlich verfügbar ist, kann dies dazu führen, dass Lösungen zur Anomalieerkennung nicht sämtliche Ereignisse in diesen Protokollen erkennen können.

Passives oder Aktives Scanning?

Wenn es um Monitoring oder Anomalieerkennung im Netzwerk geht, lassen sich außerdem zwei grundlegend unterschiedliche Kategorien unterscheiden. Zum einen gibt es passive Monitoring-Lösungen, die selbst nicht aktiv im Netzwerk kommunizieren, sondern nur Verkehr mitlesen. Zum anderen gibt es aktive Lösungen, welche auch eigenständig die Netzwerkteilnehmer abfragen, um beispielsweise deren Erreichbarkeit und Zustand zu prüfen.

Oftmals gilt der Einsatz passiver Lösungen als ungefährlicher, da diese weniger Auswirkungen auf die Teilnehmer im Automatisierungsnetz haben. Dies hängt allerdings stark von der Art und Weise des aktiven Scannings (oder „Probings“) ab. Nutzt eine aktive Lösung die gleichen Mittel wie zum Beispiel die originale Erkennungssoftware des Komponentenherstellers, sollte mit keinen oder wenig Auswirkungen gerechnet werden. Hierbei spielt aber wieder die proprietäre bzw. öffentliche Art der Spezifikation eine Rolle. Handelt es sich um eine proprietäre Spezifikation, hat es der Entwickler der Anomalieerkennung schwerer die aktiven Abfragen korrekt umzusetzen.

Aktives Scanning hat jedoch den Vorteil, dass auch Systeme abgefragt werden können, die eventuell aktuell nicht im Netzwerk kommunizieren oder außerhalb des erreichbaren Netzes platziert sind und somit nicht direkt von der passiven Lösung erfasst werden. Außerdem lassen sich dadurch unter Umständen mehr Informationen, wie Firmware- oder Software-Versionen auslesen.

Wie lassen sich dadurch Angriffe erkennen?

Vielleicht fragen Sie sich jetzt weshalb Anomalieerkennung im Automatisierungsnetz überhaupt wichtig ist – immerhin ist der Produktionsbereich doch bereits per Firewall vom restlichen Netz abgeschottet. Nun, neben Verbindungen aus dem Internet/ Office-Netz in die Anlagen, existieren in der Regel noch weitere Zugänge, die nicht durch Firewalls überwacht werden. Hierunter fallen zum Beispiel folgende Angriffswege:

  • Einbruch über schlecht gesicherten Fernwartungszugang
  • Einbringung von Malware durch mobilen Datenträger oder mobilen Computer
  • Anschluss einer neuen, aber bereits verseuchten Anlage
  • Infektion eines PCs im Anlagennetz durch Drive-By-Download
  • Installation eines infizierten Updates oder einer infizierten Software

Ein weiterer Zugangspunkt für Angreifer sind externe Standorte, die an interne Netze angebunden sind. Hier besteht die Möglichkeit, dass sich ein Eindringling physischen Zugang zu Netzwerkausrüstung verschafft und dort ein eigenes System platziert, um ins interne Netz zu gelangen. Dies ist natürlich von der Absicherung der physischen Standorte abhängig, da diese häufig nicht permanent besetzt oder beispielsweise nicht unbedingt per Kamera überwacht sind.

Durch solche Wege können Angreifer und Malware auch trotz Firewall Einzug in Ihre Anlagen halten.

So verhalten sich Angreifer und Malware im Netzwerk

Generell nutzen der Großteil der Angriffe und Malware-Infektionen aber standardmäßige Netzwerkkommunikation, um sich weiter im Netz auszubreiten, Systeme auszuspähen und Schaden anzurichten. Genau hier setzt die Anomalieerkennung an.

Gegeben dem Fall, dass eine Schadsoftware oder ein Angreifer es geschafft hat sich auf einem System einzunisten, besteht der nächste Schritt darin, die Umgebung zu untersuchen und weitere Systeme zu befallen. Dies sieht man insbesondere auch bei Malware, die sich automatisch über das Netzwerk ausbreitet (sogenannte Würmer). Hier haben insbesondere WannaCry und NotPetya in den letzten Jahren für massive Schäden bei Industrieunternehmen gesorgt.

Solche Angriffe suchen gezielt nach verwundbaren Systemen im Netzwerk, in dem sie offene Ports auf erreichbaren Systemen prüfen, um diese ebenfalls zu befallen. Bei WannaCry und NotPetya gab es damals eine Lücke im Windows SMBv1-Dienst, die über das Netzwerk ausnutzbar war. Erst vor kurzem wurde eine weitere gravierende Lücke im RDP-Protokoll bekannt gegeben.

Eine Netzwerkanomalieerkennung entdeckt solche Verbindungsversuche und erzeugt bei einem Fund einen entsprechenden Alarm, der dann innerhalb eines Incident-Response-Prozesses behandelt werden kann.

Grundlegende Sicherheit durch Whitelisting-Verfahren

Generell lassen sich bereits durch den Einsatz des Whitelisting-Verfahrens auf IP- und Port-Ebene bereits die meisten solcher Angriffe erkennen. In diesem Fall bedeutet Whitelisting, dass sämtliche unbekannten Verbindungen zu einem Alarm führen, außer sie wurden vorher explizit als ungefährlich deklariert.

Konkret heißt das, dass ein Angreifer (oder eine Malware) sofort einen Alarm auslöst, wenn er z.B. einen Port-Scan an einem benachbarten System durchführt. Wenn dabei Verbindungen zu Ports aufgebaut werden, die vorher zwischen diesen beiden Systemen nicht benutzt wurden, gilt das bereits als auffälliges Verhalten. Somit ist auch egal, wie langsam oder „leise“ ein Angreifer versucht Ports zu scannen.

Fazit

Anomalieerkennung und Monitoring in Automatisierungsnetzen kann als zusätzliche Schutzschicht umgesetzt werden, um Störungen und Angriffe zu entdecken. Durch diese Voraussetzungen können weitere Maßnahmen zielgerichtet abgeleitet und implementiert werden. Hiernach wird eine weitere Ebene des Defense-In-Depth-Prinzips umgesetzt und somit das Sicherheitsniveau nochmals gesteigert.

In unserem zweiten Beitrag dieser Serie erfahren Sie, welche Faktoren es bei der Integration einer Lösung zu beachten gibt und welche weiteren positiven Aspekte Sie neben der reinen Anomalieerkennung erwarten können.

Überlegen Sie, welche Art von Anomalien in Ihren Anlagen auftreten können und wie man diese erkennt. Diskutieren Sie Ihre Ergebnisse mit Ihren Kollegen und Kolleginnen aus der Netzwerkabteilung!