788iee0217 IT-Cubes Systems Cyber-Sicherheit Aufmacher

Ein auf maschinellem Lernen basierendes System soll Abhilfe gegen Cyber-Angriffe schaffen.

(Bild: Fotolia – MicroOne / germina / Moreno Soppelsa)

Im Jahr 2016, in dem täglich mehr als 390 000 Viren und Schadprogramme erstellt wurden, haben traditionelle Erkennungsmethoden zur Cyber-Abwehr ausgedient. Denn die zunehmend verwendeten Advanced Persistent Threats (APTs), zielen nicht nur auf einzelne Systeme, sondern auf das gesamte Unternehmensnetzwerk. Der Anstieg unterschiedlicher Angriffsmethoden stellt Sicherheitsexperten vor die Aufgabe, Gefahren zu bannen, bevor ein wirtschaftlicher Schaden entsteht. Neuartige Sicherheitssysteme ­nutzen das maschinelle Lernen, um Beziehungen zwischen IT-Systemen innerhalb eines Netzwerkes zu erlernen und Abweichungen festzustellen. Sie sind nicht mehr rein auf Signaturen und regelbasierte Erkennungsmuster fixiert, sondern identifizieren Bedrohungen anhand von Veränderungen der Norm.
Die Idee dahinter: Wie das menschliche Immunsystem Anomalien in der körpereigenen Kommunikation erkennt, bewertet und entsprechend reagiert, sollte es auch in einem Produktionsnetzwerk eine Art Alarmsystem für vernetzte Manufacturing Execution Systeme (MES) und Programmable Logic ­Controllers (PLCs) / Speicherprogrammierbare Steuerungen (SPSen) geben. Dieses System kann anomales Verhalten auf Netzwerkebene erkennen und entsprechende Gegenmaßnahmen einleiten. Eines der großen Probleme dabei: proprietäre Protokolle zu interpretieren.

Erstinfektion ist schwer zu verhindern

Doch wie lassen sich Angriffe der neuen Generation frühzeitig erkennen, bevor ein wirtschaftlicher Schaden entsteht oder die Reputation der Firma durch das Bekanntwerden von Botnet-Aktivitäten in ihrem ­IP-Adressenraum sinkt? Die Sicherheit in Produktionsumgebungen kann zwar durch Segmentierung, Network Access Control, kontinuierliches Asset- und Vulnerability-Management sowie Security- Awareness-Programme verbessert werden. Doch trotz der ­Einhaltung von Sicherheitsvorkehrungen lässt sich aufgrund des wachsenden Einfallsreichtums der Angreifer und den gestiegenen Anforderungen im Bereich IoT eine Erstinfektion oft nicht verhindern. Es stellt sich die Frage: Lassen sich Infektionen mit Malware in einer frühen Phase erkennen, bevor der Angreifer die Kontrolle über das gesamte Produktionsnetz gewonnen hat und Schaden anrichtet?

Maschinelles Lernen erkennt Anomalien

Jedes Gerät innerhalb eines Netzwerks, sei es ein Switch oder Router, eine Telefon- oder Industrie­anlage, tauscht sich mittels  standardisierter Netzwerkprotokolle mit seiner Umgebung aus. Die Anforderungen an die Funktionalität und Kommunikationsfähigkeit im Bereich Industrie 4.0 gehen weit über autarke Systeme hinaus, die lediglich boole‘sche Entscheidungen treffen müssen. Es ­entstehen komplexe Prozesse zwischen individuellen Komponenten, die in Zyklen während Produktionsphasen miteinander kommunizieren. Autonom ­lernende Algorithmen erstellen Baselines dieser deterministischen, wiederkehrenden Kommunikationsmuster im Netzwerkverkehr segmentierter Produkti­onsnetze. Das Konzept des maschinellen Lernens beruht dabei auf einer zweiphasigen Vorgehensweise mit dem Ziel, Verhaltensinformationen aus beobachteten Ereignissen zu gewinnen:
Lernphase: Das System lernt das Verhalten des Netzwerks über einen vordefinierten Zeitraum kennen. Mittels Mustererkennung, angewandt auf die beobachteten Daten, wird ein Normalverhalten definiert.
Testphase: Ist die Lernphase abgeschlossen, erkennen netzwerkweite Kommunikationsanalysen Abweichungen vom Normalverhalten und detektieren so Bedrohungen.

Überwachtes und autonomes Lernen

Dabei gibt es die Unterscheidung zwischen überwachtem und autonomem Lernen: Die überwachte ­Anomalie-Erkennung erfordert eine Methode zur Einordnung der Daten in die Kategorien normal und anomal. Das System wird anhand zuvor kategorisierter Trainingsdaten angelernt, indem es Funktionen generiert, die zu einem gegebenen Input-Wert, einen gewünschten Output-Wert ausgeben. Nach der Lernphase ist das System in der Lage, zu unbekannten Eingaben die korrekten Ausgaben zu liefern.
Die Anomalie-Erkennung nach dem Prinzip des autonomen Lernens hingegen filtert Abweichungen aus einer Menge nicht kategorisierter Daten heraus. Dies geschieht unter der Annahme, dass die Mehrheit der Daten ein normales Verhalten in der beobachteten Umgebung vorweisen. Folglich sind vorab keine Informationen über die gesuchten Zielwerte notwendig. Diese Vorgehensweise ermöglicht das Nachverfolgen der – von APTs hinterlassenen – Spuren auf fundamentaler Ebene, also auf den Open Systems Interconnection (OSI)-Layern 2 und 3, mit anschließender Kategorisierung anhand von Ver-haltensmuster­erkennung. Speziell in homogenen Produktions­netzen mit in der Regel sehr genau geplanten Prozessen, ist die Erkennungsrate von Anomalien autonom lernender Algorithmen hoch. Ein für das angelernte System unbekanntes Ereignis ist höchst verdächtig und sollte­ umgehend untersucht werden. Beispielsweise ein plötzlich aufkommender TCP-Traffic zwischen Geräten, die bisher nie miteinander über dieses Protokoll kommuniziert haben. Diese Vorgehensweise entdeckt und meldet in Echtzeit alle nicht autorisierten Operationen innerhalb eines Steuernetzes, die nicht der gelernten, deterministischen Netzwerkkommunikation ­entsprechen. Erkennt das System eine Anomalie, dann klären die Analysten zusammen mit den Kunden, ob es sich dabei um eine Störung oder einen Angriff handelt. Im Falle eines Fremdzugriffs tritt eine Incident Response in Kraft.

Angriffe lassen sich rekonstruieren

Da der gesamte Netzwerkverkehr aufgezeichnet wird, können Anwender im Nachgang mittels Deep Packet Inspection weiterführende forensische Analysen durchführen, um den Ablauf des Angriffes zu reproduzieren. Der Lernprozess findet autonom statt, das heißt ohne Vorkonfiguration, was den Installationsaufwand senkt. Ein positiver Nebeneffekt dieser Sicherheitslösungen, die auf mehreren SPSen installiert wird, ist das Aufdecken von Fehlfunktionen einzelner Komponenten und Fehlkonfigurationen. Sicherheitsexperten von IT-Security-Providern wie IT-Cube Systems decken neben sicherheitsrelevanten Ereignissen so auch unbekannte Kommunikationsflüsse zwischen Geräten auf, die nicht miteinander kommunizieren sollten. Die Anlagen­betreiber können so Fehlkonfigurationen erkennen, durch die – wenn dem Betreiber nicht bekannt – Angriffsvektoren entstehen können; beispielsweise das Verschicken unverschlüsselter sensibler Daten über einen nicht mehr gepatchten Proxy-Server.

Die Problematik bei der Angriffserkennung

Ein anderer Sicherheitsansatz, die aktive Überwachung einzelner SPSen, ist ­unpraktisch. Nicht nur bedingt durch die beschränkten Hardware-Ressourcen, ­sondern auch wegen der eingesetzten Software-Architektur auf Industriesteuerungen: Werden neben der Grundfunktionalität eines Moduls zusätzliche Funktionen zur Angriffserkennung aufgerufen, ­welche die Zykluszeit überschreiten, so meldet das Modul einen Fehler, was zu einem Produktionsstillstand führen kann. Aus diesem Grund erlischt durch das Ausführen lokaler Prozesse von Drittanbietern zur Angriffserkennung die Verfügbarkeitsgarantie des Maschinen-Anlagenbauers.
Außerdem lässt sich in der Praxis oft die Schutzmaßnahme beobachten, dass ganze ­Produktionsnetze komplett vom Internet abgeschottet sind; das erschwert eine musterbasierte Malware-Erkennung ­aufgrund unzureichender Signatur-Updates erheblich.

Cyber-Probleme sind keine Science-Fiction

788iee0217 IT-Cubes Systems Cyber-Sicherheit Shodan Suche Siemens PLC geschwärzt

Shodan-Suche: Deutsche Industrieanlagen als potenzielle Ziele von Cyber-Angriffen am Beispiel von offenen 102-Ports bei Steuerungen. IT-Cube Systems

Die möglichen Gefahren lassen sich nicht von der Hand weisen. Eines der jüngeren Beispiele ist der Router-Hack bei der Deutschen Telekom Ende November 2016, der für Störungen bei Endkunden sorgte. Laut Shodan – einer Suchmaschine für Geräte, die über das Internet der Dinge erreichbar sind – gibt es in Deutschland hunderte potentieller Ziele, auf deren Steuerungen von außerhalb zugegriffen werden kann. Unter den potentiellen Opfern entdeckte­ Heise Security bereits im Jahr 2013 Fernwärmekraftwerke, Justizvollzugsanstalten und ein Stadion. Welche verheerenden Sach- und Personenschäden die feindliche Fernsteuerung beispielsweise einer ­Weichenstell- oder einer Ampelsteuerungsanlage haben kann, ist ohne viel Phantasie auszumalen. Obwohl es sich bei offenen Ports um einen der trivialsten Einfallsvektoren überhaupt handelt, lassen sie sich häufig beobachten. Ein einfaches Sperren des Ports nach außen würde diesen Zugang jedoch schließen.
Neben einem unkontrolliertem Netzzugriff über unzureichend abgesicherte, herstellereigene Remotezugänge, lassen sich die Ursachen für einen Sicherheitsvorfall oft auf veraltete Software durch zu seltene oder komplett ausbleibende Patches, flache Netze, mangelnde Awareness sowie fehlende Überwachung und Inventarisierung zurückführen.

Computerwürmer für PLCs

Bereits im Dezember 2015 haben die Sicherheitsexperten Maik Brüggemann und Ralf Spenneberg einen Computerwurm vorgestellt, der sich autark auf PLC-Architekturen vermehrt. Nach der initialen Infektion eines Steuerelements sucht die Schadsoftware nach ­weiteren Opfern und breitet sich anschließend ­lateral im Produktionsnetzwerk aus. Der PLC-Wurm verfolgt dabei das typische Muster eines Attack-Lifecycles:

Attack-Life-Cycle von CnC-kontrollierter Malware

Attack-Lifecycle von CnC-kontrollierter Malware IT-Cube Systems

– Initial Infection: Erstinfektion durch Mitarbeiter, neue und bereits infizierte Hardware oder Fernzugang des Herstellers
– Reconnaissance: Netzwerkweiter Scan nach offenem Port 102/TCP
– Lateral Movement: Verbreitung per TCP mittels S7Comm-Plus-Protokoll
– Final Infection: Schadcode wird aufgrund der eingesetzten Softwarearchitektur ohne Mehraufwand nach dem Originalcode ausgeführt
– Sabotage: Netzwerkangriffe per TCP (Denial of Service (DoS), Proxy, Tor-Nodes) und Beeinflussung des Produktionsvorgangs

Bemerkenswerterweise wird für die Infiltration des Produktionsnetzwerks kein weiteres System benötigt, etwa zum Ausspähen des Netzwerks oder die laterale Verbreitung – der ­gesamte Attack-Life-Cycle spielt sich ausschließlich auf den Steuerungsgeräten ab. Die eingesetzte Softwarearchitektur der Geräte ermöglicht es, den Schadcode des Wurms selbst auf ressourcenbeschränkten PLCs so mit Payload zu füllen, dass das Steuerelement nach minimaler Ausfallzeit wieder seiner normalen Funktion nachgehen kann. Pro Gerät beschränkt sich die Ausfallzeit einmalig auf wenige Sekunden. So fällt in vielen Bereichen der Industrie die Infektion ohne kontinuierliches Heartbeat-Monitoring nicht auf. Das dadurch entstehende Botnet von PLCs, kann beliebige Befehle eines Command-and-Control (CnC)-Servers ausführen. Zu den Befehlen gehören beispielsweise Distrubuted Denial of Service (DDoS)-Attacken, Proxy-Funktionalität und die Beeinflussung von Produktionsvorgängen. Passwort-basierte Schutzmechanismen gegen derartige Angriffe sind bei Auslieferung standardmäßig deaktiviert und werden vor Inbetriebnahme oft nicht korrekt initialisiert.

Andreas Günther

ist Cyber Security Analyst bei IT-Cube Systems.

(ml)

Sie möchten gerne weiterlesen?