blog-background-1920px

Wie Ransomware Prozesse im Energiesektor bedroht (und wie die OT geschützt werden kann) – Teil 2

17. April 2023 10:58:18 MESZ

2-Apr-03-2023-10-11-45-6783-AM

Im ersten Teil dieses Beitrags wurde bereits ein Network Intrusion Detection Systems (NIDS) als Lösung für eine Angriffserkennung in der Operational Technology (OT) eingeführt. In diesem Teil wird gezeigt, wie das genau funktioniert.

Generell gilt: ein NIDS ersetzt nicht Standard-Cybersicherheitswerkzeuge wie Firewalls, Authentifizierung, VPN und Netzwerksegmentierung. Diese Standardmaßnahmen erkennen und blockieren nach wie vor zuverlässig die meisten Angriffe, soweit diese auf bekannten Signaturen basieren und die Tools aktuell sind. Ein NIDS bildet eine Ergänzung für Angriffe, die nicht in den Signaturbibliotheken der Standardwerkzeuge dokumentiert sind, also durch diese auch nicht erkannt werden können. Dazu gehören neuartige Techniken wie Zero-Day-Exploits, aber auch Spear-Phishing, die klassische Abwehrmaßnahmen wie Authentifizierung und Firewall-Filter über den Diebstahl autorisierter Zugangsdaten umgehen. In Anbetracht der hohen Anfälligkeit von OT-Komponenten und -Systemen sowie der sich schnell entwickelnden Bedrohungslandschaft ist diese Ergänzung von wachsender Bedeutung für die OT-Sicherheit.

Ein NIDS wie der Rhebo Industrial Protector der L+G Tochter Rhebo besteht aus einem OT-Monitoring mit einer Anomalieerkennung, welche die gesamte OT-Kommunikation überwacht und alle Aktivitäten meldet, die von der deterministischen und autorisierten OT-Kommunikation abweichen. Es bildet damit eine zweite Verteidigungslinie für Sicherheitsmanager, um Angreifende zu erkennen, die bereits in das Netzwerk eingedrungen sind, sich heimlich durch das Netzwerk arbeiten und den eigentlichen Angriff vorbereiten.

Der Schlüssel liegt in der Früherkennung von Angriffen

Zwei bekannte Beispiele für solche Cybervorfälle sind:

  1. die WannaCry-Ransomware-Kampagne im Jahr 2017, bei der die damalige Zero-Day-Schwachstelle EternalBlue ausgenutzt wurde, und
  2. der Fall von Colonial Pipeline im Jahr 2021, bei dem die Angreifer ein gestohlenes VPN-Passwort verwendeten. 

In beiden Fällen wurden Firewalls und Authentifizierungsmaßnahmen ausgehebelt. Obwohl beide Angriffe auf die IT zielten, hatten sie aufgrund der Verbindung von IT und OT sehr negative Auswirkungen auf die industriellen Prozesse einiger Unternehmen.

WannaCry

Bevor WannaCry den Betrieb in Tausenden von Unternehmen weltweit lahmlegte, hatte es bereits eine Spur von vorbereitender Kommunikation in den Netzwerken hinterlassen. Der Grund dafür ist, dass Wannacry, sobald es den ersten Rechner infiziert hat, versucht, eine Kill-Switch-Domäne zu kontaktieren, und dann beginnt, das lokale Netzwerk und zufällige Internetadressen zu scannen. Dazu gehörten auch Windows-Systeme, die mittlerweile selbst in OT-Umgebungen weit verbreitet sind.

Eine Netzwerküberwachung mit Anomalieerkennung hätte das Scannen der Endpunkte über Port 445 mit dem SMB-Protokoll sowie unvollständiges TCP direkt beim ersten Auftreten erkannt und gemeldet. Außerdem kommunizierte WannaCry vor seiner Auslösung typischerweise mit der Kill-Switch-Domäne außerhalb des Unternehmensnetzwerks. Diese Verbindung und die anschließende Kommunikation wären als Anomalie innerhalb des OT-Kommunikationsverhaltens gemeldet worden. Die Reaktionsfähigkeit wäre beschleunigt worden, um die Auswirkungen zu verringern.

Vorfall bei Colonial Pipeline

Bevor die Angreifer die Server von Colonial Pipeline verschlüsselten und die Hauptpipeline des Unternehmens zum Stillstand brachten, hatten sie bereits mehrere Fingerabdrücke im Netzwerk hinterlassen. Zunächst gab es eine 1 GB große Datenübertragung an eine unbekannte IP-Adresse. Hinzu kommt die VPN-Verbindung von einer unbekannten externen IP-Adresse in das Netzwerk. In einem OT-Netzwerk wären solche Aktivitäten von einem OT-Monitoring mit Anomalieerkennung sofort als Anomalien gemeldet worden. Damit hätten die Sicherheitsverantwortlichen ein Zeitfenster gewonnen, um weitere bösartige Aktivitäten zu verhindern.

Im Fall von Colonial Pipeline war zwar lediglich die IT direkt betroffen. Dennoch sah sich das Unternehmen veranlasst, seine OT-Systeme abzuschalten, um eine weitere Ausbreitung der Ransomware zu verhindern. Dies war unter den gegebenen Umständen eine sinnvolle Maßnahme, führte aber zu einem Stop der Öl- und Gasversorgung sowie zu Umsatzeinbußen. Mit einem OT-Monitoring mit Anomalieerkennung wäre das Unternehmen in der Lage gewesen, seine OT-Netzwerke schnell auf Kommunikation zu überprüfen, die auf bösartige Aktivitäten hindeutet. Dies hätte den Sicherheitsverantwortlichen Gewissheit darüber verschafft, ob die OT infiziert war oder nicht. So wären sie in der Lage gewesen, über den Weiterbetrieb der OT auf der Grundlage von Fakten und nicht von Vermutungen zu entscheiden.

Eine saubere OT sicherstellen

Beide Fähigkeiten – die Erkennung bösartiger Aktivitäten in der OT in Echtzeit und die Fähigkeit, das Risiko für die OT durch einen IT-Ransomware-Angriff schnell einzuschätzen – können in der Versorgungsbranche über Licht und Dunkel entscheiden. Im Juni 2022 war das deutsche Unternehmen Entega von einem Ransomware-Angriff betroffen. Sein Tochterunternehmen, das Energieversorgungsunternehmen e-netz Südhessen, war ebenfalls bedroht. Ein Blackout hätte über eine Million Menschen getroffen. Der Energieversorger beauftragte noch am selben Tag Rhebo mit der Durchführung eines Rhebo Industrial Security Assessment, das die Analyse der OT-Kommunikation des letzten Monats beinhaltete. Innerhalb von 24 Stunden konnte der Sicherheitsmanager von e-netz Entwarnung geben. Die OT zeigte weder eine Spur der Ransomware noch irgendwelche Anzeichen bösartiger Aktivitäten, die mit dem Angriff in Verbindung gebracht werden könnten.

Dennoch wurden bei der Bewertung eine Reihe von Schwachstellen und Risiken festgestellt, die der Sicherheitsmanager im Anschluss beheben konnte.

So konnte er eine Abschaltung verhindern, die Energieversorgung sicherstellen und die Cyber-Resilienz der industriellen Prozesse des Versorgungsunternehmens erhöhen.

Více informací o systému Rhebo OT Security

Nehmen Sie Kontakt zu uns auf