leowolfert - stock.adobe.com
Mit Bedrohungsdaten industrielle Steuerungssysteme sichern
Bedrohungsakteure versuchen ständig, Wege zu finden, um wichtige industrielle Steuerungssysteme anzugreifen. Unternehmen benötigen spezielle ICS-Bedrohungsdaten, um sich zu wehren.
Industrielle Steuerungssysteme (ICS, Industrial Control Systems) waren traditionell von Sicherheitsbedrohungen abgeschirmt, da sie keine externe Konnektivität aufweisen und ihre Hard- und Software proprietär ist. Heute jedoch sind ICS, die Fertigungsprozesse überwachen und wichtige Infrastrukturen wie Transportsysteme und Energieverteilungsnetze steuern, nicht mehr isoliert.
In der Tat laufen diese Systeme jetzt auf standardbasierten Architekturen und Technologien und nutzen das Internet, um sich mit anderen ICS-, IT- und IoT-Systemen zu verbinden. Diese Interkonnektivität hat zu Innovationen und Kostensenkungen geführt, da sie es den Unternehmen ermöglicht, ihre ICS aus der Ferne zu verwalten, zu überwachen und zu steuern. Aber sie hat auch die Anfälligkeit der industriellen Steuerungssysteme für Cyberangriffe drastisch erhöht.
Die Bedeutung von ICS-Bedrohungsdaten
Eine starke, wirksame Sicherheit der industriellen Steuerungssysteme ist ein Muss. Jede Kompromittierung kann verheerende Folgen haben und zum Verlust von Menschenleben und zu Umweltkatastrophen führen. Die hohen Verfügbarkeitsanforderungen von ICS bedeuten, dass die Sicherheitsmaßnahmen nicht nur in der Lage sein müssen, Angriffe zu erkennen, sondern vor allem zu verhindern, dass ein Angriff Störungen verursacht.
Bedrohungsdaten beziehungsweise Bedrohungsaufklärung (Threat Intelligence) müssen daher Teil jeder ICS-Sicherheitsstrategie sein. So können Unternehmen Bedrohungen für die Betriebskontinuität entschärfen, bevor sie zu Ausfallzeiten führen. Es überrascht nicht, dass eine der wichtigsten Kennzahlen zur Bewertung der Wirksamkeit von ICS-Bedrohungsdaten die mittlere Zeit bis zur Wiederherstellung ist - die Zeit zwischen der ersten Betriebsunterbrechung durch einen Angriff und dem Zeitpunkt, an dem der Betrieb wieder normal läuft.
Industrielle Steuerungssysteme weisen eine andere Bedrohungslandschaft auf als herkömmliche IT-Netzwerke, und die Folgen eines erfolgreichen Angriffs auf ein ICS können sehr viel schwerwiegender sein. Allgemeine Bedrohungsdaten sind zwar nützlich, können den Sicherheitsteams aber nicht dabei helfen, die allgemeine ICS-Sicherheit ihres Unternehmens zu verbessern.
Stattdessen benötigen Unternehmen ICS-Bedrohungsdaten, das heißt Threat Intelligence, die speziell auf ICS-Anlagen und -Prozesse zugeschnitten sind. Dies ermöglicht es den Unternehmen, ein umfassendes Verständnis der Motive und Fähigkeiten eines Angreifers, seiner früheren Aktivitäten und der potenziellen Auswirkungen auf ihren Betrieb zu gewinnen.
Arten von Threat Intelligence
Verwertbare Informationen und Einblicke in die Art und Weise, wie Angreifer Systeme kompromittieren und stören, können dazu beitragen, künftige Angriffe vorherzusagen und vorzubereiten, aktive Angriffe zu stoppen und die Reaktionspläne für Zwischenfälle zu verbessern. Die drei wichtigsten Arten von Bedrohungsdaten sind die folgenden:
Strategische Bedrohungsdaten. Dies umfasst Berichte auf höchster Ebene, die einen Überblick über die Bedrohungslandschaft, Trends und potenzielle Auswirkungen geben. Anhand dieser Daten können Unternehmen aktuelle und neu auftretende Risiken und Bedrohungen bewerten. Strategische Informationen sind auch wertvoll, wenn es darum geht, die Geschäftsleitung über das gesamte Bedrohungsumfeld zu informieren, damit sie fundiertere Entscheidungen über das Risikomanagement, Sicherheitsstrategien und Infrastrukturänderungen treffen kann, um die Kontinuität und Widerstandsfähigkeit des Betriebs zu stärken.
Taktische Bedrohungsinformationen. Dazu gehören beobachtete Muster, Taktiken, Techniken und Verfahren im Zusammenhang mit dem Lebenszyklus eines Angriffs, die spezielle ICS-Technologie, auf die der Angriff abzielt, sowie die technischen Ziele und Folgen des Angriffs. Diese Art von Informationen wird von SIEM-Systemen und anderen Analysetools verwendet, um Datenpunkte, die mit einer bestimmten Art von Angriffen in Verbindung stehen, zu verknüpfen und zu analysieren, damit Sicherheitskontrollen wie Firewalls und Intrusion Detection Systeme (IDS) effektiver konfiguriert werden können, bevor ein Angriff erfolgt.
Operative und technische Bedrohungsdaten. Dazu gehören detaillierte Informationen zum Bedrohungsverhalten und technische Indikatoren sowie Signaturen für aufkommende oder aktive bösartige Aktivitäten, wie IP-Adressen und Domänen, die von verdächtigen Endpunkten verwendet werden, Phishing-E-Mail-Header und Hash-Prüfsummen von Malware. Diese Indikatoren für eine Kompromittierung (Indicators of Compromise, IOCs) helfen Unternehmen, eingehende Angriffe zu erkennen und zu stoppen, und können verwendet werden, um ähnliche Vorfälle in Zukunft automatisch zu blockieren.
Wie man ICS-Bedrohungsdaten gewinnt
Erkenntnisse über Bedrohungen können sowohl aus internen als auch aus externen Quellen gewonnen werden.
Interne Informationsquellen für ICS-Bedrohungen
Ereignisse und Warnungen, die von internen Überwachungssystemen aufgezeichnet werden, können in einem SIEM-System zusammengefasst und analysiert werden. Damit lassen sich unzusammenhängende und einfache Ereignisse in Unternehmensinformationen umzuwandeln, indem sie mit einer Basislinie typischer Aktivitäten verglichen werden, um ungewöhnliche Aktivitäten hervorzuheben.
Die Analyse verdächtiger Aktivitäten kann zusätzliche Informationen liefern, die zur Abwehr künftiger Angriffe genutzt werden können. Das Sammeln von IOCs und Signaturen von Angriffsaktivitäten - darunter IP-Adressen und verwendete Protokolle, Dateinamen und Hashes sowie Details zu Sicherheitskontrolleinstellungen, mit denen der Angriff nicht erkannt und gestoppt werden konnte - kann beispielsweise dazu dienen, Systeme besser gegen ähnliche Versuche zu schützen, den Betrieb zu gefährden oder zu stören.
Externe Informationsquellen für ICS-Bedrohungen
Externe Quellen für ICS-Bedrohungsdaten können das Spektrum und die Tiefe der Informationen erweitern, auf die sich Sicherheitsteams bei ihren Entscheidungen stützen. Zu den externen Quellen gehören kommerzielle und Open-Source-Abonnementdienste, Berichte von Sicherheitsanbietern und Informationen, die innerhalb der Branche und von offiziellen Einrichtungen, wie dem BSI oder der Cybersecurity and Infrastructure Security Agency (CISA) weitergegeben werden.
Achten Sie auf qualitativ hochwertige Bedrohungsdaten Dritter, die relevant, genau und zeitnah sind. Sie sollten die Bedrohung beschreiben und ihre Auswirkungen sowie die Maßnahmen erläutern, die erforderlich sind, um das Risiko, dass die Schwachstelle den Betrieb beeinträchtigt, zu verhindern oder zu verringern. Relevanz ist besonders wichtig, da bestimmte Bedrohungen möglicherweise nur bestimmte Branchen, vertikale und geografische Regionen oder bestimmte Technologien betreffen. Ein typisches Beispiel: Spear-Phishing-Angriffe zielen auf bestimmte Branchen und Personen ab.
Zu viele Bedrohungsdaten vermeiden
Die größte Herausforderung bei der Einbeziehung von Bedrohungsdaten in ein Sicherheitsprogramm ist die Informationsflut. Aus diesem Grund ist es wichtig, bei der Auswahl der zu verwendenden Informationsquellen selektiv vorzugehen. Strategische Informationen sollten nur aus evidenzbasierten Berichten und White Papers stammen, die von angesehenen Führungskräften aus den Bereichen Sicherheit, Industrie und Behörden verfasst wurden. Die Sicherheitsteams sollten diese Berichte prüfen und die Ergebnisse den Beteiligten vorstellen, wenn eine neue Bedrohung entdeckt wird oder wenn signifikante Veränderungen in der Bedrohungslandschaft eine Überprüfung der wahrgenommenen Risiken und der Strategien zur Risikominderung rechtfertigen.
Bedrohungsdaten nutzen, um Angriffe zu erschweren
Taktische Informationen sollten mit Sicherheits-, Betriebs- und Netzwerkteams geteilt werden, damit sie gemeinsam Prioritäten bei der Überwachung und Stärkung von Bereichen setzen können, die wahrscheinlich angegriffen werden. Um wichtige und verwertbare Informationen zeitnah zu extrahieren, ist maschinelle Lerntechnologie erforderlich, um die Menge an Informationen zu filtern und zu priorisieren. Dies gilt auch für operative und technische Bedrohungsdaten, die direkt in aktive Sicherheitskontrollen wie Firewalls, IDS und Überwachungstools eingespeist werden sollten.
Ein wichtiges Ziel jeder Sicherheitsinitiative ist es, die Kosten und die Zeit, die Cyberkriminelle für einen erfolgreichen Angriff benötigen, zu erhöhen. ICS-Bedrohungsdaten erfüllen dieses Ziel, indem sie die Wirksamkeit der Echtzeitprävention und -erkennung verbessern, was wiederum die Sicherheitssysteme bei der Bekämpfung eines potenziellen Angriffs proaktiver macht. Gleichzeitig werden die Reaktions- und Wiederherstellungsmaßnahmen effizienter, so dass Unternehmen Cybervorfälle mit minimalen Auswirkungen überstehen können.
Die Einbeziehung von Bedrohungsdaten in die ICS-Sicherheit ist keine leichte Aufgabe. Sie erfordert spezialisierte Mitarbeiter, um den Informationsfluss vollständig zu verstehen und darauf zu reagieren. Einsatzkritische Systeme und Dienste werden zunehmend von Staaten und anderen raffinierten Angreifern angegriffen. Ein besseres Verständnis dafür, wie, warum und wann Angriffe erfolgen, kann nur dazu beitragen, ICS widerstandsfähiger zu machen.
Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) finden sich Empfehlungen für Betreiber von ICS, etwa im Hinblick auf Bedrohungen, Fernwartung oder Anomalieerkennung.