Kontexte
rechtsIndustrie 4.0Die Notwendigkeit ist klar. Das Streben nach Verbesserungen im Chemiesektor ist entscheidend. Darüber hinaus trägt die chemische Industrie zu fast jeder anderen Produktionslieferkette bei, so dass auch hier ein großes Potenzial besteht. Produktverbesserungen, höhere Kosteneffizienz und Geschäftsoptimierung sind einige der Haupttreiber dieser digitalen Transformation. Umso mehr ist zu erwarten, dass sich dieser Trend fortsetzen wird. Doch wie steht es um die digitale Sicherheit?
Traditionell wurden industrielle Kontrollsysteme (ICS) oder Betriebstechnik (OT) streng vom IT-Netzwerk des Unternehmens getrennt. Das ICS-Referenzmodell der Purdue University findet zu viele Einrichtungen und beschreibt ein mehrschichtiges, gut segmentiertes Netzwerk. Einer der Hauptgründe, warum dies so wichtig ist, liegt darin, dass viele ICS-Komponenten, wie Automatisierungssteuerungen, SPS und SCADA-Systeme, nicht mit Blick auf die Sicherheit konzipiert sind. Sie müssen sicher und geschützt sein, und die Sicherheit wird zu einem nachträglichen Gedanken. Das ist klar.NetzwerksicherheitEs gibt noch mehr.
Normen wie die IEC 62443 legen fest, wie das Netz zu verwenden ist.NetzwerksicherheitManagementsysteme verwalten Cybersicherheitsrisiken auf einem akzeptablen Niveau. Ob die derzeitige durchschnittliche Sicherheitslage ausgereift genug ist, um Cyberangriffe wie Ransomware abzuwehren, kann umstritten sein. Leider sehen wir in der Praxis viele Beispiele, die das Gegenteil beweisen.
Zusätzlich zu diesen Herausforderungen treiben Industrie 4.0-Initiativen die Hyperkonnektivität voran, was zu einer größeren Offenheit von OT-Netzwerken, allgemeineren IT-Diensten und der Nutzung von Cloud-Konnektivität führt, wodurch das traditionelle segmentierte Referenzmodell "umgangen" wird. Auch dies ist nicht unbedingt eine schlechte Sache, wenn die Cybersicherheit nicht zu kurz kommt. Haben wir aus der Vergangenheit gelernt oder werden wir die gleichen Fehler wieder machen?
Der Fall der Cloud-Diagnostik:
Im ersten Beispiel wird eine Lösung zur Erfassung von Daten aus verschiedenen OT-Instrumenten implementiert. Sogenannte "Edge Devices" sammeln Prozess- und Diagnosedaten von den Instrumenten und senden sie zur Analyse an eine Cloud-Anwendung. Diese Cloud-Plattform kann sowohl von Endnutzern als auch von Lieferanten genutzt werden, um eine zustandsorientierte Wartung durchzuführen oder Fernunterstützung zu leisten.
Das Edge-Gerät ist in einem Netzwerk mit zwei separaten Netzwerkverbindungen installiert, einem sogenannten "Dual-Homed"-System. Es hat eine Verbindung im IT-Netz, um mit der Cloud zu kommunizieren, und eine zweite Verbindung im OT-Netz, um Informationen von den OT-Geräten zu sammeln. Die Cloud-Verbindung ist außerdem durch einen sicheren, verschlüsselten VPN-Tunnel geschützt. Darüber hinaus sind die Edge-Geräte so konfiguriert, dass sie nur Daten aus dem OT-Netz an die Cloud senden; ein Datenverkehr zum OT-Netz ist nicht möglich.
Auf den ersten Blick scheint dies eine angemessene, sichere und gut segmentierte Lösung zu sein. Als jedoch Geräte zum Gesamtnetzwerkdiagramm hinzugefügt wurden, wurde klar, dass sie das Potenzial hatte, Umgehungen zwischen dem OT- und dem IT-Netzwerk zu schaffen. Eine detaillierte Überprüfung des IT-Netzes und ein Netzwerkscan ergaben, dass ein Verwaltungsdienst für die Konfiguration von Edge-Geräten läuft. Der Endbenutzer weiß nichts davon, und jeder im IT-Netzwerk kann diese Verbindung nutzen. Es war klar, dass die für den Zugriff auf die Konfiguration erforderlichen Passwörter voreingestellt waren und leicht aus dem Herstellerhandbuch entnommen werden konnten. Außerdem läuft auf dem Edge-Gerät veraltete Firmware, die offene Sicherheitslücken enthält. All diese Fakten zusammengenommen bieten einen bisher unbekannten Angriffsvektor auf das Edge-Gerät. Dies bedeutet, dassHacker (Informatik) (Lehnwort)Es ist möglich, Edge-Geräte anzugreifen, sich mit Standard-Anmeldeinformationen anzumelden, durch Ausnutzung bekannter Schwachstellen in älterer Firmware mehr Privilegien zu erlangen und in das OT-Netzwerk einzudringen. Dieser Angriffspfad wird in diesem Netzwerkdiagramm veranschaulicht.
Beachten Sie, dass dieser Angriffspfad nicht über die Cloud verfügbar ist, da dieser Teil weiterhin durch ein VPN geschützt ist. Da das Edge-Gerät jedoch nicht in einem geschützten Netzwerkbereich, wie z. B. einer Firewall-geschützten IT/OT-DMZ, installiert ist, bietet diese Einrichtung eine potenzielle Umgehung für den Sprung von IT- zu OT-Umgebungen. Dieses Problem wurde durch eine Bewertung des Bedrohungsmodells in Verbindung mit einer Schwachstellenanalyse identifiziert. Diese Methoden werden im Abschnitt über die Lösung ausführlicher beschrieben.
Gehäuse für Fernzugriffs-Gateway:
Im zweiten Beispiel geht es um ein Fernzugriffs-Gateway. Dabei handelt es sich um ein Kommunikationsgerät, das einem Drittanbieter Fernzugriff und Diagnosedaten zur Verfügung stellt. In diesem Fall ist es Teil eines Servicevertrags, der mit einigen in einer Anlage installierten schweren Maschinen einhergeht. Der Lieferant nutzt den Fernzugriff für die Fernwartung und die Fehlersuche im Falle von Betriebsstörungen. Die Vorteile für den Endnutzer liegen auf der Hand: weniger Ausfallzeiten und geringere Wartungskosten.
Fernzugriffs-Gateways werden ebenfalls vom Anbieter in Zusammenarbeit mit dem Wartungsteam vor Ort konfiguriert und installiert. Das Gateway verwendet einen VPN-Tunnel mit der stärksten verfügbaren Verschlüsselung, um eine sichere Netzwerkverbindung zum Anbieter herzustellen.
Auch diese Einrichtung sieht auf den ersten Blick sehr sicher aus. Der VPN-Tunnel selbst ist zwar sicher und geschützt, aber die Art und Weise, wie er aufgebaut ist, führt zu mehreren Sicherheitsproblemen.
Die erste Frage bezieht sich auf den Fernzugriff. Da das Gateway eine bidirektionale Verbindung vom Netz des Anbieters zum Netz des Anbieters benötigt, muss es diesen Verkehr in der Firewall zulassen. Aus unbekannten Gründen ist die Firewall jedoch nicht darauf beschränkt, nur VPN-Verkehr von einem bestimmten Anbieter zuzulassen, sondern lässt alle Arten von Verkehr aus dem gesamten Internet zu. Dies ist wahrscheinlich darauf zurückzuführen, dass der Netzwerksicherheit bei der Installation und Inbetriebnahme der schweren Maschinen nicht viel Aufmerksamkeit geschenkt wurde und das Gateway nur ein kleiner Teil der Lieferung war. Ein weiterer häufiger Grund für Fehlkonfigurationen ist, dass die Lösung bei der Inbetriebnahme nicht richtig funktionierte und die Firewall-Regeln bei der Fehlersuche gelockert wurden. Danach werden diese Einstellungen beibehalten. Es ist nicht ungewöhnlich, dass IIoT-Geräte direkt mit dem Internet verbunden sind und schließlich z. B. über Shodan1 (eine spezielle Suchmaschine für Verbindungsgeräte) gefunden werden können. Es gibt sogar spezielle Unterabschnitte, die OT-Geräten und -Protokollen gewidmet sind.
Das zweite Problem ist die Konfiguration des Gateways. Da dies zum Aufgabenbereich des Anbieters gehört, ist dieser auch für die Sicherheitswartung und -konfiguration dieses Geräts verantwortlich. Da der gesamte Datenverkehr zum Gateway durch das VPN verschlüsselt wurde, hatte der Endbenutzer keine Ahnung, was der Anbieter an diesem Gerät tun konnte. Bei der Untersuchung wurde deutlich, dass der Anbieter möglicherweise die Konfiguration aktualisieren und sich selbst mit mehr notwendigen Berechtigungen ausstatten könnte.
Die Funktion des Gateways besteht schließlich darin, den Fernzugriff auf bestimmte Komponenten der betreffenden Maschine zu ermöglichen. Aufgrund der unzureichenden Implementierung dieses Geräts kann das Gateway jedoch auch auf eine breitere Palette von Geräten zugreifen, entweder direkt oder indirekt. Außerdem ist es aufgrund der fehlenden Segmentierung mehrerer Netzwerkverbindungen theoretisch möglich, sich mit fast dem gesamten OT-Netzwerk zu verbinden.
Verschreibung
Die beste Lösung besteht darin, die Cybersicherheit bereits in der Entwurfsphase eines neuen Projekts zu berücksichtigen, insbesondere wenn es um IIoT- oder andere Fernverbindungen geht. Dies gilt nicht nur für neue Anlagen, sondern auch für Erweiterungen oder Änderungen an bestehenden Standorten. Natürlich ist dies leichter gesagt als getan; OT-Netzwerke sind nicht immer geeignet, um alle technischen Anforderungen zu berücksichtigen, und es kann an technischem Fachwissen mangeln. Da die meisten dieser Lösungen zudem geschäfts- oder betriebsorientiert sind, werden die Auswirkungen auf die Cybersicherheit in der Projektphase möglicherweise völlig außer Acht gelassen. Und schließlich können die vielen verschiedenen IIoT-Implementierungen, die eine Vielzahl von Konnektivität bieten, bereits in Einrichtungen vorhanden sein, die sich in der Wartungsphase befinden oder manchmal dem Endnutzer nicht einmal bekannt sind. In den nächsten Abschnitten werden einige mögliche Ansätze zur Lösung dieser Probleme beschrieben.
Entwurfsprüfung und Bedrohungsmodellierung
Während der Entwurfsprüfung werden alle verfügbaren und relevanten Entwurfsdokumente geprüft und mit dem Technologieeigentümer, dem Lösungsarchitekten und/oder dem Anbieter besprochen. Es ist wichtig zu beachten, dass dieser Ansatz sowohl für neue Einrichtungen (CAPEX) als auch für bestehende Einrichtungen (OPEX) gilt. Insbesondere bei letzteren ist es sinnvoll, diese Prüfung mit einer Standortbewertung zu kombinieren, wie im nächsten Abschnitt erläutert. Der Vorteil der Entwurfsprüfung besteht darin, dass der Sicherheitsentwurf sowohl in der bestehenden Umgebung als auch in neuen Systemen oder Systemerweiterungen auf der Grundlage der Entwurfsunterlagen in Übereinstimmung mit den Sicherheitsrichtlinien des Unternehmens, den Industriestandards und den organisatorischen und / Entwurfsprüfungen sowie den Bewertungen des Bedrohungsmodells2 durchgeführt werden kann. Der zweite oben beschriebene Anwendungsfall wurde bei der Bewertung der Entwurfsprüfung ermittelt. Schließlich ist noch anzumerken, dass die Bedrohungsmodellierung auch sehr nützliche Informationen für nachfolgende technische Bewertungen liefert, z. B. für Penetrationstests, die im nächsten Abschnitt beschrieben werden. oder branchenspezifische bewährte Verfahren. Erkannte Konstruktionsfehler, Richtlinienverstöße oder Abweichungen von diesen bewährten Verfahren können abgemildert werden.
Für die Modellierung der Bedrohungen wurden dieselben Entwurfsinformationen verwendet, aber bei dieser Bewertung wurde ein anderer Ansatz gewählt und die Denkweise eines Hackers zugrunde gelegt. Dabei handelt es sich um einen strukturierten Ansatz zur Abbildung von Bedrohungen über alle möglichen Angriffspfade für das Thema innerhalb des Anwendungsbereichs. Während der interaktiven Sitzung wird ein Diagramm erstellt, das einen vollständigen Überblick über die Angriffsfläche gibt und zeigt, ob zusätzliche Schutzmaßnahmen erforderlich sind.
Sicherheitsbewertung vor Ort
Bei der Standortbewertung3 wurde ein praktischerer Bottom-up-Ansatz verwendet, um Risiken auf der technischen Ebene des Standorts zu ermitteln. Design- und Architekturprüfungen werden mit Standortbesuchen und Systembegehungen kombiniert. Die Bewertung umfasst alle wichtigen Aspekte der in der IEC 62443 festgelegten funktionalen Anforderungen.
Die erste Phase dieser Bewertung ähnelt einer Entwurfsprüfung, bei der die gesamte vorhandene Dokumentation analysiert und mit dem Eigentümer der Anlage, technischen Vertretern und/oder Lieferanten besprochen wird. Es ist jedoch eine zusätzliche Vertiefung erforderlich, um alle wichtigen funktionalen Anforderungen der IEC 62443 zu überprüfen.
Während des Besuchs vor Ort wird der tatsächliche Systemstatus mit den aktuellen Erkenntnissen über das OT-Netz verglichen. Darüber hinaus werden gerätespezifische Konfigurationen überprüft, um einen Einblick in potenzielle Sicherheitsprobleme zu erhalten. So werden beispielsweise Firewall-Konfigurationen, Netzwerk-Routing und VLANS, installierte Software und laufende Dienste überprüft, um die Gefährdung des OT-Netzwerks zu untersuchen. Darüber hinaus werden Benutzerauthentifizierung und -autorisierung, Sicherheitskontrollen, Backup-Richtlinien und Sicherheitsüberwachung bewertet, um die Widerstandsfähigkeit des OT-Netzwerks zu ermitteln.
Schließlich werden an strategischen Punkten des OT-Netzes verschiedene Netzwerkverkehrsproben passiv gesammelt. Für diese Erfassungen werden Kopien des bestehenden Netzwerkverkehrs verwendet, die potenziell anfällige OT-Geräte nicht beeinträchtigen. Der Datenverkehr wird dann analysiert und die Ergebnisse mit allen bisherigen Informationen in Beziehung gesetzt. Optional können auch speziell zugeschnittene selektive Scans durchgeführt werden, um zusätzliche Informationen auf eine möglichst unauffällige Weise zu erhalten. Die Ergebnisse können zur Entdeckung von unbekannten Hosts, offenen Ports, schwachen Protokollen, unerwarteten Netzwerkverbindungen oder anderen unbekannten Sicherheitsproblemen führen. Der erste oben beschriebene Anwendungsfall wurde beispielsweise bei einer Standortbewertung entdeckt.
Schwachstellen- und Penetrationstests
Vulnerability Assessment and Penetration Testing, oft abgekürzt als VAPT4, geht noch einen Schritt weiter und ist eine detailliertere technische Bewertung. Ziel ist es, nach unbekannten Schwachstellen zu suchen und zu testen, ob diese ausgenutzt werden können. Außerdem wird aufgezeigt, welche Folgen ein bestimmtes Cybersicherheitsproblem hat und was dies für die Organisation bedeutet.
Diese VAPT-Tests vermitteln ein detailliertes Verständnis der aktuellen Netzbelastbarkeit und der möglicherweise erforderlichen Verbesserungen. Diese Bewertungen sind jedoch sehr viel einschneidender, und es ist bekannt, dass ältere OT-Systeme dies nicht verkraften können. Es kann sogar vorkommen, dass kritische Systeme während des Scannens nach Schwachstellen nicht mehr funktionieren. Daher ist es in der Regel nicht empfehlenswert, diese Tests in einer aktiven OT-Umgebung durchzuführen.
Gleichzeitig gibt es einige Techniken, wie z. B. das passive Scannen, die immer noch sicher eingesetzt werden können. Alternativ können intrusive Penetrationstests durchgeführt werden, ohne den Produktionsprozess zu stören, indem der Umfang der Berechtigung sorgfältig ausgewählt oder alternative Ausrüstung verwendet wird. Natürlich erfordert dies einen sehr spezifischen Ansatz, der auf das OT-System und die in den Geltungsbereich fallenden Systeme zugeschnitten ist. Eine weitere gute Möglichkeit ist der Einsatz von VAPT-Tests als Teil des Installations-, Test- und Inbetriebnahmeprozesses, wie z. B. Factory Acceptance Testing (FAT) und Site Acceptance Testing (SAT). Dies kann für neue Systeme oder Systemerweiterungen gelten.
Die Ergebnisse der Bewertung können genutzt werden, um Maßnahmen zur Schließung von Sicherheitslücken und zur Risikominderung im Unternehmen zu ergreifen. Was den ersten Anwendungsfall betrifft, so kann durch Penetrationstests untersucht werden, ob der hypothetische Angriffspfad für den Angreifer tatsächlich realisierbar ist. Die Ergebnisse können die endgültige Lösung für die Sicherheitsminderung bestimmen.
Schlussfolgerungen und künftige Richtungen
Der Trend zu Industrie 4.0 und IIoT wird sich in den kommenden Jahren voraussichtlich in allen Branchen fortsetzen, auch in der chemischen Industrie. Dies wird in erster Linie durch geschäftliche und betriebliche Vorteile vorangetrieben. Das ist in Ordnung, solange die Cybersicherheit nicht ein nachträglicher Gedanke ist. Es ist wichtig, die Kosten für Sicherheitsdesign und Betrieb direkt in den Business Case für diese intelligenten Initiativen einzubeziehen und ihre Auswirkungen auf das Unternehmen zu prüfen.OT-NetzwerksicherheitDie Auswirkungen der Situation können im Zusammenhang mit dem Arbeitsprogramm bewertet werden. Interne und externe Überprüfungen des Sicherheitsentwurfs können in dieser Phase hilfreich sein. Für bestehende Lösungen und Systeme gibt es mehrere Möglichkeiten, den aktuellen Stand der Sicherheit zu überprüfen und zu validieren, so dass potenzielle Probleme proaktiv angegangen werden können, bevor sie Auswirkungen auf das Geschäft haben. Oberstes Ziel bleibt es, eine sichere und kosteneffiziente Produktion zu erreichen und das Cyberrisiko auf ein akzeptables Niveau zu bringen, um diese Ziele zu erreichen.
Originalartikel von SnowFlake, bei Vervielfältigung bitte angeben: https://cncso.com/de/cybersecurity-challenges-facing-smart-industry-4.html
