Wir verwenden künstliche Intelligenz für Website-Übersetzungen, und obwohl wir uns um Genauigkeit bemühen, kann es sein, dass sie nicht immer 100%ig präzise sind. Wir danken Ihnen für Ihr Verständnis.
Startseite/
Blog
/
Navigieren in der Cybersecurity-Landschaft von ICS und...
Navigieren in der Cybersicherheitslandschaft von ICS- und OT-Netzwerken: Einblicke und Lösungen
von
OPSWAT
Jetzt teilen
Einführung
In der sich ständig weiterentwickelnden Welt der Cybersicherheit stellen die Netzwerke für Industrial Kontrollsysteme (ICS) und Betriebstechnologie (OT) einen wichtigen Bereich dar, der Anlass zur Sorge gibt. Diese Systeme sind nicht nur lebenswichtig für die Kontinuität des Geschäftsbetriebs, sondern auch integrale Bestandteile der kritischen Infrastruktur einer Nation. DasSandbox derOPSWAT (früher bekannt alsSandbox) hat ICS/OT-Risiken sorgfältig überwacht und hartnäckige und potenziell folgenschwere Aktivitäten beobachtet.
Die aktuelle Bedrohungslandschaft
Die jüngsten Muster bei den Bedrohungen der Cybersicherheit zeigen einen besorgniserregenden Trend bei den Angriffen: staatlich gesponserte Gruppen haben begonnen, sich auf ICS wie Sandworm (Russland) und Volt Typhoon (China) zu spezialisieren, während Cyberkriminelle sich der Schwere der Auswirkungen auf industrielle Systeme bewusst sind. Sicherheitskräfte aus allen Bereichen erkennen die Bedeutung dieser Bedrohungen für alle Industriesektoren, was zur Veröffentlichung gemeinsamer Berichte und Kampagnen zur Stärkung der ICS-Sicherheit geführt hat.
Fortbestehende Probleme und Empfehlungen
Eine der langjährigen Empfehlungen zur Minderung dieser Risiken ist die Verringerung der Gefährdung von Systemen. Die Häufigkeit ungeschützter Systeme ist jedoch nach wie vor ein beunruhigendes Problem in der Cybersicherheitslandschaft. Mit der zunehmenden Verbreitung von Aufklärungs- und Ausbeutungstechniken wird die Gefahr opportunistischer Angriffe immer größer, so dass Bedrohungsakteure mit weniger ausgefeilten Methoden kritische Systeme angreifen können. Ein Bericht vom September hat einen alarmierenden Trend aufgezeigt: Die Zahl der Cybersecurity-Vorfälle im Bereich OT/ICS hat in den letzten drei Jahren die von 1991 bis 2000 gemeldete Gesamtzahl übertroffen. Allein diese Statistik unterstreicht die zunehmenden Herausforderungen, denen sich die Verantwortlichen für die Sicherheit dieser Umgebungen gegenübersehen.
Verteidigung gegen die Bedrohung
Rahmenwerke und Aktualisierungen
Die MITRE Corporation hat erkannt, dass eine besondere Aufmerksamkeit erforderlich ist, und hat eine ICS-spezifische ATT&CK-Matrix entwickelt, um eine gemeinsame Sprache für die Kommunikation zwischen den Sektoren zu schaffen und unterrepräsentierten Sektoren die Möglichkeit zu geben, ihre Zuordnungen zu nutzen und eine sinnvolle Kommunikation über Risiken und Bedrohungen zu fördern. Die relativ neue Matrix wird weiterhin sorgfältig aktualisiert, wobei die neueste Version erst letzten Monat veröffentlicht wurde.
Die Verflechtung von IT und OT
Das Team von OPSWAT MetaDefender Sandbox hält sich über diese Aktualisierungen auf dem Laufenden, betont aber gleichzeitig die enge Verbindung zwischen IT und OT, da IT auf allen Ebenen des Purdue-Modells und nicht nur an der Spitze präsent ist.
Die Kompromittierung von IT führt zu einer Kompromittierung von OT. Die Befragten sind in erster Linie mit ICS-Vorfällen befasst, bei denen Malware-Bedrohungen oder Angreifer in das Unternehmensnetzwerk IT eingedrungen sind, und haben dies auch erlebt. Diese Einbrüche ermöglichen häufig den Zugang und das Eindringen in die ICS/OT-Umgebung. Kompromisse in IT Systemen, die zu Bedrohungen in OT/ICS-Netzwerken führen, stehen an erster Stelle, gefolgt von Kompromissen bei technischen Workstations und externen Remote-Diensten.
Der SANS 2023 ICS/OT Cybersecurity Bericht
gesponsert von OPSWAT
Der gemeinsame Nenner: Bösartige Dateien
Im gesamten Spektrum der ICS-bezogenen Cyberangriffe ist das Vorhandensein bösartiger Dateien ein durchgängiger Faktor, unabhängig davon, über welchen Vektor das Eindringen erfolgt, ob es sich um IT oder OT-Systeme handelt. An dieser Stelle kommen Lösungen wie MetaDefender Sandbox ins Spiel. Diese Tools wurden entwickelt, um Dateien zu untersuchen, die die definierten Grenzen des Netzwerks einer Organisation durchqueren, und sind auf verschiedene Kontexte zugeschnitten, um eine optimale Leistung zu erzielen, auch in Umgebungen mit Luftschleusen.
Die Adaptive Sandbox vonOPSWAT kombiniert verschiedene Sätze von Bedrohungsindikatoren unter Verwendung von hauseigenen Analysatoren und anderen weithin bekannten Regeln wie Yara. Beide zuvor erwähnten Angriffe von Volt Typhoon und Sandworm stützten sich stark auf Living-Off-the-Land-Binaries (LOLBINS), für die MetaDefender Sandbox viele Indikatoren implementiert. Der erste Angriff stellt jedoch ein gutes Beispiel für die Kombination von Indikatoren dar, da Proben zur Verfügung stehen. Die erste gemeldete Nutzlast ist ein Batch-Skript, das einen base64-kodierten Powershell-Befehl enthält, der u.a. zwei interessante Indikatoren für diesen Fall auslöst.
Abbildung 1 Analyse der Nutzlast von Volt Typhoon Report Link
Der Ursprung des zuvor gezeigten Indikators ist die Skript-Emulation, bei der auch andere relevante Indikatoren beobachtet werden können. Der folgende Screenshot zeigt einen anderen Indikator mit höherem Schweregrad, der durch den dekodierten base64-Inhalt des Skripts ausgelöst wird. Zusätzlich werden beide identifizierten Elemente entsprechend mit den entsprechenden MITRE ATT&CK-Techniken abgebildet.
Abbildung 2 Analyse der Nutzlast von Volt Typhoon Report Link
Außerdem wurden bei diesem Angriff Fast Reverse Proxy-Samples verwendet, die zwar UPX-gepackt waren, aber MetaDefender Sandbox konnte sie entpacken, so dass mehrere zusätzliche Indikatoren auf die extrahierte Datei zutreffen und die Bedrohung identifizieren konnten.
Abbildung 3 Ausgepacktes FRP-Muster von Volt Typhoon Report Link
Abbildung 4 Yara identifiziert die unverpackte Probe als FRP Report Link
Schlussfolgerung
So wie sich die Bedrohungslandschaft weiterentwickelt, muss sich auch unsere Verteidigung weiterentwickeln. OPSWAT Das Engagement von MetaDefender für die Sicherheit von ICS- und OT-Netzwerken bleibt unerschütterlich, und das Team von Sandbox ist bestrebt, aktiv aktualisierte Lösungen bereitzustellen, die diesen neuen Herausforderungen begegnen. Bleiben Sie informiert, bleiben Sie vorbereitet, und bleiben Sie sicher.
