Angriffe auf Software-Supply-Chains haben die Technologie-Welt in Alarmbereitschaft versetzt. Die komplizierte Vernetzung der unterschiedlichsten Ansätze verschiedener Unternehmen mit ihren Zulieferern sorgt für einen Dschungel an Systemen, der sich schwer überwachbar gestaltet. Der Einblick der Unternehmenssicherheit zur Überwachung auf unerwünschte Eindringlinge und bösartigen Code endet oft an der Grenze ihres IT-Ökosystems. Darüber hinaus bleiben Anbindungen ins offene Internet oder Partnernetzwerke dort überwiegend unbekannt. Gefordert ist Sichtbarkeit in alle Datenströme, die durch die IT-Abteilung kontrolliert werden müssen, um die Angriffsflächen zu reduzieren. Welche Lehren sollten nach dem Ransomware-Vorfall auf den Energiesektor-Anbieter von kritischen Infrastrukturen ein Jahr später gezogen worden sein?
Angreifer konzentrieren sich auf das schwächste Glied
Die Schwachstelle, über die die Erpresser die Ölpipeline infiltrieren konnten, war eine nicht mehr genutzte VPN-Verbindung. Die Cyberkriminellen konnten diese Verbindung als Einfallstor nutzen, da sie weder über eine mehrstufige Authentifizierung verfügte noch von einem IT-System auf verdächtiges Verhalten kontrolliert wurde. Seit diesem prominenten Angriff haben die Gruppierungen ihre Aktivitäten auf diese Art von Schwachstellen verstärkt, denn durch Attacken auf solche Ziele lässt sich ein hohes Lösegeld erpressen. Im Darknet finden sich Chats, in denen Mitarbeitern von KRITIS bis zu 30.000 US-Dollar für ihre Credentials, wie Benutzernamen und Passwörter geboten werden.
Diese Art von Insider-Angriffen umgehen die Standard-Sicherheitskontrollen und bleiben meist unentdeckt durch die klassische IT-Sicherheit. Sie stellen allerdings eine immense Gefahr dar. Es ist unerheblich, ob die Angreifer mit dem Wissen der User an ihre Authentifizierungsinformationen gelangen oder diese durch Phishing oder andere Hackertechniken erbeuten. Wichtig ist die Erkenntnis, dass der User immer noch das schwächste Glied in der Absicherung von KRITIS darstellt.
Daraus folgt, dass sich technische Lösungen vor allem auf das Monitoring von ungewöhnlichem Verhalten von einzelnen Mitarbeitern konzentrieren müssen. Die Behavioural-Risk-Analyse rückt deshalb in den Vordergrund zur Absicherung. Sucht ein User plötzlich Zugriff zu Anwendungen im Netz, die nicht zu seinem Tätigkeitsprofil passen, sollten die Alarmglocken schrillen. Heute kann Deception-Technologie mit Hilfe von „Honigtöpfen“ dieses ungewöhnliche Verhalten aufdecken. Darüber hinaus müssen Angriffsvektoren aus Fernzugriffslösungen eliminiert werden.
Herausforderung Legacy-Systeme
Die Thematik, dass KRITIS durch Supply-Chain-Angriffe verwundbar sind, ist an sich nicht neu. Lange Zeit wurde die Sicherheit solcher Infrastrukturen allerdings vernachlässigt, und zwar aus gutem Grund. Die Operational-Technology-Systeme (OT) zum Betrieb der Infrastrukturen sind nicht an die klassische IT-Sicherheit gekoppelt. Zudem lassen sie sich durch die Notwendigkeit, die Versorgungssicherheit zu gewährleisten, nicht einfach herunterfahren für Upgrades. Durch die Langlebigkeit der Produktions- und Steuerungsanlagen für kritische Infrastrukturen gibt es in diesem Umfeld zudem viele ältere Betriebssysteme mit teils veralteter Software. Support-Ingenieure bauen für das Update von Firmware nicht selten auf Windows-98- oder XP-Laptops und verschaffen sich via Link-Layer Zugang zu einem gesamten Netzwerk. Keine Frage, dass von diesen lange Zeit ungepatchten Laptops ein Sicherheitsrisiko ausgehen kann.
Neben dem Risiko, das durch Langlebigkeit entsteht, sind moderne Anlagen über Sensoren meist schon in die Cloud expandiert und benötigen dadurch einen Übergang zum Internet. Auch hier ergeben sich Angriffsvektoren, die der Aufmerksamkeit der IT-Teams bedürfen. Jegliche Anbindung von Drittparteien über VPNs bedeutet theoretisch den möglichen Zugriff auf Netzwerkinfrastrukturen. Hier kann das Konzept von Privileged-Remote-Access über einen Browser für die notwendige Sicherheit sorgen. Der Support-Mitarbeiter erhält keinen Zugriff auf die gesamte Netzwerkumgebung mehr und kann dennoch die nötigen Upgrades oder Updates durchführen. Möglich macht ein solches Vorgehen Zero-Trust durch seine richtlinienbasierte granulare Vergabe von Zugriffsrechten auf Ebene der benötigten Anwendung.
Verständnis für die Gefahr entwickeln
Um auch Produktionsanlagen und Operational-Technology effizient abzusichern, muss also die Sicherheit aus der IT mit dem OT-Umfeld konvergieren. Zero-Trust hat im Zuge hybrider Arbeitsumgebungen für den Remote-Access bereits in viele Unternehmen Einzug gehalten. In einem nächsten Schritt ist der uneingeschränkte Überblick über Software zu erfassen, die in einer Firmeninfrastruktur vorhanden ist. Der Verantwortungsbereich vom CIO muss sich also über seine Grenzen der IT-Umgebung hinaus erweitern. Denn nur wenn inventarisiert ist, was im Unternehmen genutzt wird und was gegebenenfalls noch unbemerkt an Altlasten in der OT-Infrastruktur schlummert, können Lücken identifiziert und Abwehrmaßnahmen ergriffen werden.
Der Einblick in OT-Systeme wurde dabei nicht selten vernachlässigt und Angriffe wie der Colonial-Pipeline-Hack führen das Gefahrenpotenzial deutlich vor Augen. Kenntnisse und Zero-Trust-basierte Lösungsansätze aus der IT in die OT-Welt zu übertragen, gibt den nötigen Einblick in alle Datenströme zurück und sichert den Zugriff von Drittparteien auf kritische Infrastrukturen ab. Inventarisierung bringt den Überblick über mögliche Sicherheitslücken zurück, und mit Hilfe von Threat-Intelligence können Betreiber alle Datenströme lückenlos überwachen.
Von Nathan Howe, Vice President of Emerging Technology bei #Zscaler