Die Known-Unknown-Matrix ist ein ursprünglich aus der strategischen Unternehmensplanung stammende Tool und dient der Risikobewertung. Es kategorisiert Herausforderungen anhand ihres Bekanntheitsgrades. Auch im Bereich der OT- und IoT-Cybersicherheit lässt sich diese Matrix anwenden, um Bedrohungen zu identifizieren und passende Gegenmaßnahmen zu entwickeln.Die Matrix unterteilt Bedrohungen in vier Kategorien.

Known-Known

Hierunter fallen Bedrohungen, über die die Cybersecurity-Teams umfassende Informationen besitzen (sollten). Die Experten kennen die Funktionsweise dieser Bedrohungen, ihre Auswirkungen und wie man sie bekämpft. Ein Beispiel ist der Conficker-Wurm.

Im Dezember 2015 wurde ein Stromnetz in der Westukraine von der russischen Hackergruppe Sandworm attackiert. Dabei wurde der Zugang zu Anmeldeinformationen ausgenutzt, was direkte Auswirkungen auf die OT/ICS-Systeme hatte. Der Angriff ließ rund 225.000 Einwohner bis zu sechs Stunden lang ohne Strom zurück. Die Reaktion auf BlackEnergy erforderte umfangreiche, verteilte Abwehr- und Personalstunden, da die genauen Auswirkungen im Vorfeld nicht abschätzbar waren.

Hilfreich ist in einem solchen Bereich das Sammeln von Bedrohungsinformationen über die TTPs (Tactics, Techniques, and Procedures), die von potenziellen Angreifern in OT/IoT-Umgebungen verwendet werden. Denn je mehr dieser Informationen vorliegen, desto besser können die Unternehmen mit ihrer Verteidigung einen Schritt voraus sein.

TTPs werden in der Cybersicherheit verwendet, um die Muster von Aktivitäten oder Methoden zu beschreiben, die von Bedrohungsakteuren bei Angriffen eingesetzt werden. Taktiken sind die übergeordneten strategischen Ziele, Techniken sind die spezifischen Methoden, die verwendet werden, und Prozeduren sind die Schritte oder Abläufe, die befolgt werden, um diese Ziele zu erreichen. Durch die Analyse von TTPs gewinnen Sicherheitsexperten wertvolle Einblicke in das Verhalten und die Methoden der Angreifer. Allerdings reichen statische Open-Source-Referenztools wie das ICS Advisory Project und MITRE ATT&CK für ICS nicht aus, um ähnliche Angriffe zu erkennen.

Unknown-Known

Hierbei handelt es sich um bisher nicht offengelegte Exploits, die erhebliche Auswirkungen auf Unternehmen haben können. Zerstörerische Wiper wie NotPetya fallen in diese Kategorie. NotPetya tauchte 2017 auf und infizierte eine große Zahl an Unternehmen weltweit, darunter die globalen Giganten Maersk und Merck. Dieser Wiper tarnte sich als Ransomware, verfügte jedoch über keine Wiederherstellungsfunktion. Stattdessen nutzte er die EternalBlue- und Mimikatz-Exploits, um Passwörter aus dem RAM zu stehlen, Fernzugriff zu erlangen und zerstörerischen Code auszuführen. Der Schaden durch NotPetya betrug etwa 10 Milliarden US-Dollar.

Unknown-Unknown

Dies ist das Worst-Case-Szenario. Diese Bedrohungen sind völlig unbekannt und stellen das größte Risiko dar. INCONTROLLER, eine Reihe von Angriffswerkzeugen, die es Hackern ermöglicht, spezifische Anbietersysteme zu kompromittieren, ist ein Beispiel. Bekannt ist dabei, dass Cyberkriminelle bereits gezeigt haben, dass sie damit in der Lage sind, intelligente Angriffe auf OT-Anlagen zu ermöglichen. INCONTROLLER könnte von Angreifern genutzt werden, um initialen Zugriff auf ein OT-Netzwerk zu erlangen, gezielt nach anfälligen Assets zu suchen und diese zu kontrollieren. Denkbar wäre auch die Manipulation von Geräteparametern, was zu schwerwiegenden Störungen der Betriebsabläufe führen könnte.

Intelligente Erkennungstechniken

Unabhängig von der aktuellen Bedrohung, der sich ein Unternehmen gegenübersieht, müssen die Unternehmen intelligente Erkennungstechniken nutzen, um sich gegen alle vier Formen zu schützen. Je nach Kategorie der Bedrohung kommen unterschiedliche Erkennungstechniken zum Einsatz.

• Regelbasierte Erkennung: Diese Methode identifiziert Bedrohungen anhand von eindeutigen Mustern, sogenannten Signaturen. Signaturen können Datei-Hashes, IP-Adressen oder Domainnamen sein. Dabei sollten Unternehmen bei der Wahl ihres Cybersecurity-Partners darauf achten, dass dieser Partner über Zugriff auf eine umfangreiche Datenbank bekannter Schwachstellen verfügt, die von Security-Lösungen – dazu zählen im OT-Umfeld insbesondere intelligente Sensoren – zur sofortigen Erkennung eines potenziellen Angriffs genutzt wird.
• Verhaltensbasierte Erkennung: Diese komplexere Methode analysiert das Verhalten einer Bedrohung und sucht nach Mustern und verwandten Aktionen. Heuristische Regeln oder Algorithmen für maschinelles Lernen werden eingesetzt, um Anomalien wie unbefugten Zugriff, ungewöhnlichen Datenverkehr in Form und/oder Menge und andere Anomalien zu erkennen. Durch den Einsatz künstlicher Intelligenz lernen die Verteidigungssysteme immer weiter dazu und verbessern auf diese Weise den Schutz der OT-Umgebung.

Auswahl der Schutzmechanismen

Der Autor: Will Stefan Roth ist Vice President DACH, Osteuropa und Baltikum bei Nozomi Networks. © Nozomi

Unabhängig vom Anbieter sollten die IT-Security-Experten darauf achten, dass die Lösungen über eine moderne Erkennungs-Engine verfügen, die für OT/IoT-Umgebungen entwickelt wurde. Diese Engine sollte in der Lage sein, regelbasierte und verhaltensbasierte Techniken zu kombinieren, um die Auswirkungen von Bedrohungen zu erkennen und zu begrenzen. Damit lassen sich alle Bereiche abdecken– von Known-Known bis hin Unknown-Unknown – ohne die Security-Verantwortlichen mit Fehlalarmen zu überfordern. Die Known-Unknown-Matrix und moderne IT/OT-Security-Plattformen bieten Unternehmen wertvolle Werkzeuge, um sich an diese Herausforderungen anzupassen.