Die Angriffserkennung

Für den cybersicheren Betrieb sollten alle OT/IT-Verbindungen über definierte und dokumentierte Prozesse erfolgen (oben). Zu jedem Verbindungsprozess gehört auch eine initiale Datenverkehrsanalyse, um die typischen Datenmuster der Kommunikationsdialoge zu bestimmen und bei Bedarf die Firewall-Regeln zu optimieren (unten). Die dabei anfallenden Daten eignen sich auch zur Angriffserkennung.

© SSV

Eine solide und umfassende Wissensbasis über die Details möglicher Angriffe, die sich in der Praxis effektiv zur Verhinderung erfolgreicher Attacken einsetzen lässt, ist auf Grund der Komplexität nach wie vor eine sehr große Herausforderung. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt daher in dem Dokument Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (BSI-OZA) allen Organisationen, die sich der kritischen Infrastruktur zuordnen lassen, die Orientierung an der MITRE ATT&CK-ICS-Matrix. Das „ATT&CK“ steht in diesem Fall für „Adversarial Tactics, Techniques and Common Knowledge” (siehe Web-Tipp). Es findet sich dort eine verlinkte matrixförmige Übersicht zu TTPs – Technik, Taktik und Prozeduren – mit zwölf Spalten, von denen jede eine bestimmte Taktik repräsentiert. Diesem Teilziel des Angreifers sind dann jeweils bestimmte Subtechniken mit einzelnen alphanumerischen Identifikatoren zugeordnet. Klickt man beispielsweise in der Spalte „Persistence“ auf „Module Firmware“ (ID = T0839), erscheint eine umfangreiche Erklärung, wie ein Angreifer eine schadhafte Firmware dauerhaft im ICS-Angriffsziel verankern könnte. Will oder muss man sich intensiver mit der Angriffserkennung in der eigenen OT auseinandersetzen, ist es schon hilfreich, sich einmal intensiver mit der MITRE ATT&CK-ICS-Matrix zu befassen. Organisationen, die unter die Neufassung des IT-Sicherheitsgesetzes „IT-SiG 2.0“ fallen, sind seit dem 1. Mai dieses Jahres praktisch gesetzlich dazu verpflichtet.

Relativ unabhängig von möglichen Angriffsdetails bietet eine saubere OT/IT-Netzwerktrennung (siehe den Verbindungsprozess im Bild) innerhalb der organisationsweiten Netzwerkinfrastruktur einen effektiven Kontrollpunkt für eine kommunikationsdatenbasierte OT-Cyberangriffserkennung. Als Ergebnis der initialen Datenverkehrsanalyse existiert darüber hinaus ein transparenzschaffendes (Log-) Datenmodell mit Beispieldaten zur normalen OT/IT-Kommunikation. Desweiteren ist von der Annahme auszugehen, dass durch die Konfiguration der Verbindungsprozess-Firewall jeglicher überflüssiger Netzwerkverkehr unterbunden wird. Also praktisch alles, was für die Dialoge zwischen OT- und IT-Anwendungen nicht nötig ist. Insofern wäre der nächste Schritt eine Auswahl der technischen Möglichkeiten zur Angriffserkennung und deren Integration in den eigenen Verbindungsprozess. Die wichtigsten zur Auswahl stehenden Bausteine wären:

Die Anomalie-Erkennung: Dafür wird der gesamte Datenverkehr am OT/IT-Verbindungspunkt – möglichst in Echtzeit – mit einem geeigneten Machine-Learning-Algorithmus überwacht, um an Hand der Kommunikationsdaten von der normalen OT/IT-Kommunikation abweichende Muster zu identifizieren und zu melden. Für die erforderliche ML-Konfiguration und Trainingsphase lassen sich die Datenstrukturen und Ergebnisse der Datenverkehrsanalyse nutzen.

IDS beziehungsweise IPS: Bei einem Intrusion Detection System (IDS) handelt es sich um eine Softwarefunktion, die den Datenverkehr einer Kommunikationsverbindung nach bekannten Angriffsmustern durchsucht, um verdächtige Aktivitäten zu melden. Der Abgleich der Verkehrsdaten mit den Fingerprints bekannter Angriffe kann in Echtzeit oder zeitversetzt über die Auswertung von Logdateien erfolgen. Wird bei der Angriffserkennung automatisch eine Abwehrmaßnahme in die Wege geleitet – zum Beispiel das Sperren eines Ports in einer Firewall –, spricht man von einem Intrusion Prevention System (IPS).

Der Autor: Klaus-Dieter Walter ist Mitglied der Geschäftsführung bei SSV Software Systems.

© SSV

SIEM-System: Ein SIEM-System (Security Information and Event Management) ist in der Regel eine zentralisierte, organisationsweite Sicherheitslösung, in der möglichst viele korrelierende Sensordaten aus unterschiedlichen Messpunkten zu einem Gesamtbild beziehungsweise Kontext zusammengefügt und aussagefähige Alarmmeldungen erzeugt werden. Sie signalisieren mögliche Sicherheitsbedrohungen und helfen dabei, Schwachstellen rechtzeitig zu erkennen und zu beheben.

SOC: Die 24/7-Rund-um-die-Uhr-Überwachung an 365 Tagen im Jahr durch ein IT-Expertenteam als zentrale Sicherheitsinstanz wird im Allgemeinen als Security Operation Center (SOC) bezeichnet. Die Aufgabentiefe ist von der jeweiligen Organisation und den individuellen Zielen abhängig. Neben der Überwachung und Abwehr von IT-Sicherheitsvorfällen gehören vielfach auch Vorbeuge- und Compliance-Management-Maßnahmen zu den SOC-Aufgaben.