Wir verwenden künstliche Intelligenz für Website-Übersetzungen, und obwohl wir uns um Genauigkeit bemühen, kann es sein, dass sie nicht immer 100%ig präzise sind. Wir danken Ihnen für Ihr Verständnis.
Startseite/
Blog
/
Navigieren in der Cybersecurity-Landschaft von ICS und...
Navigieren in der Cybersicherheitslandschaft von ICS- und OT-Netzwerken: Einblicke und Lösungen
Von
OPSWAT
|
Zuletzt aktualisiert:
Jetzt teilen
Einführung
In der sich ständig weiterentwickelnden Welt der Cybersicherheit stellen Industrial (ICS) und Netzwerke der Betriebstechnik (OT) einen Bereich dar, der Anlass zu großer Sorge gibt. Diese Systeme sind nicht nur für die Aufrechterhaltung des Geschäftsbetriebs von entscheidender Bedeutung, sondern auch wesentliche Bestandteile der kritischen Infrastruktur eines Landes. Das MetaDefender (früher bekannt als Filescan Sandbox) OPSWAT hat die ICS/OT-Risiken sorgfältig überwacht und dabei anhaltende Aktivitäten mit potenziell schwerwiegenden Folgen beobachtet.
Die aktuelle Bedrohungslandschaft
Die jüngsten Muster bei den Bedrohungen der Cybersicherheit zeigen einen besorgniserregenden Trend bei den Angriffen: staatlich gesponserte Gruppen haben begonnen, sich auf ICS wie Sandworm (Russland) und Volt Typhoon (China) zu spezialisieren, während Cyberkriminelle sich der Schwere der Auswirkungen auf industrielle Systeme bewusst sind. Sicherheitskräfte aus allen Bereichen erkennen die Bedeutung dieser Bedrohungen für alle Industriesektoren, was zur Veröffentlichung gemeinsamer Berichte und Kampagnen zur Stärkung der ICS-Sicherheit geführt hat.
Fortbestehende Probleme und Empfehlungen
Eine der langjährigen Empfehlungen zur Minderung dieser Risiken ist die Verringerung der Gefährdung von Systemen. Die Häufigkeit ungeschützter Systeme ist jedoch nach wie vor ein beunruhigendes Problem in der Cybersicherheitslandschaft. Mit der zunehmenden Verbreitung von Aufklärungs- und Ausbeutungstechniken wird die Gefahr opportunistischer Angriffe immer größer, so dass Bedrohungsakteure mit weniger ausgefeilten Methoden kritische Systeme angreifen können. Ein Bericht vom September hat einen alarmierenden Trend aufgezeigt: Die Zahl der Cybersecurity-Vorfälle im Bereich OT/ICS hat in den letzten drei Jahren die von 1991 bis 2000 gemeldete Gesamtzahl übertroffen. Allein diese Statistik unterstreicht die zunehmenden Herausforderungen, denen sich die Verantwortlichen für die Sicherheit dieser Umgebungen gegenübersehen.
Verteidigung gegen die Bedrohung
Rahmenwerke und Aktualisierungen
Die MITRE Corporation hat erkannt, dass eine besondere Aufmerksamkeit erforderlich ist, und hat eine ICS-spezifische ATT&CK-Matrix entwickelt, um eine gemeinsame Sprache für die Kommunikation zwischen den Sektoren zu schaffen und unterrepräsentierten Sektoren die Möglichkeit zu geben, ihre Zuordnungen zu nutzen und eine sinnvolle Kommunikation über Risiken und Bedrohungen zu fördern. Die relativ neue Matrix wird weiterhin sorgfältig aktualisiert, wobei die neueste Version erst letzten Monat veröffentlicht wurde.
Die Verflechtung von IT und OT
Das OPSWAT MetaDefender verfolgt diese Entwicklungen zwar aufmerksam, betont jedoch die untrennbare Verbindung zwischen IT und OT, da IT-Ressourcen auf allen Ebenen des Purdue-Modells vorhanden sind und nicht nur an der Spitze.
Die Kompromittierung von IT führt zu einer Kompromittierung von OT. Die Befragten sind in erster Linie mit ICS-Vorfällen befasst, bei denen Malware-Bedrohungen oder Angreifer in das Unternehmensnetzwerk IT eingedrungen sind, und haben dies auch erlebt. Diese Einbrüche ermöglichen häufig den Zugang und das Eindringen in die ICS/OT-Umgebung. Kompromisse in IT Systemen, die zu Bedrohungen in OT/ICS-Netzwerken führen, stehen an erster Stelle, gefolgt von Kompromissen bei technischen Workstations und externen Remote-Diensten.
Der SANS 2023 ICS/OT Cybersecurity Bericht
gesponsert von OPSWAT
Der gemeinsame Nenner: Bösartige Dateien
Über das gesamte Spektrum der ICS-bezogenen Cyberangriffe hinweg ist das Vorhandensein bösartiger Dateien ein durchgängiger Faktor, unabhängig vom Angriffsvektor – sei es über IT- oder OT-Systeme. Hier kommen Lösungen wie MetaDefender ins Spiel. Solche Tools sind darauf ausgelegt, Dateien zu überprüfen, die die definierten Grenzen des Unternehmensnetzwerks passieren, und sind für optimale Leistung auf unterschiedliche Kontexte zugeschnitten, einschließlich in Air-Gapped-Umgebungen.
Sandbox Adaptive SandboxOPSWAT kombiniert verschiedene Sätze von Bedrohungsindikatoren unter Verwendung interner Analysetools und anderer weit verbreiteter Instrumente wie Yara-Regeln. Beide zuvor erwähnten Angriffe von Volt Typhoon und Sandworm stützten sich stark auf „Living-Off-the-Land“-Binärdateien (LOLBINS), für die MetaDefender zahlreiche Indikatoren implementiert. Der früheste Angriff stellt jedoch aufgrund der Verfügbarkeit von Proben ein gutes Beispiel für die Kombination von Indikatoren dar. Die erste gemeldete Payload ist ein Batch-Skript, das einen Base64-kodierten Powershell-Befehl enthält, der unter anderem zwei für diesen Fall interessante Indikatoren auslöst.
Abbildung 1 Analyse der Nutzlast von Volt Typhoon Report Link
Der Ursprung des zuvor gezeigten Indikators ist die Skript-Emulation, bei der auch andere relevante Indikatoren beobachtet werden können. Der folgende Screenshot zeigt einen anderen Indikator mit höherem Schweregrad, der durch den dekodierten base64-Inhalt des Skripts ausgelöst wird. Zusätzlich werden beide identifizierten Elemente entsprechend mit den entsprechenden MITRE ATT&CK-Techniken abgebildet.
Abbildung 2 Analyse der Nutzlast von Volt Typhoon Report Link
Zudem wurden bei diesem Angriff Fast-Reverse-Proxy-Beispiele verwendet, die MetaDefender trotz ihrer UPX-Komprimierung entpacken konnte, sodass mehrere zusätzliche Indikatoren mit der extrahierten Datei übereinstimmten und die Bedrohung identifiziert werden konnte.
Abbildung 3 Ausgepacktes FRP-Muster von Volt Typhoon Report Link
Abbildung 4 Yara identifiziert die unverpackte Probe als FRP Report Link
Schlussfolgerung
So wie sich die Bedrohungslage weiterentwickelt, müssen sich auch unsere Abwehrmaßnahmen weiterentwickeln. Das Engagement OPSWAT für die Sicherheit von ICS- und OT-Netzwerken ist ungebrochen, und das MetaDefender ist bestrebt, aktiv aktualisierte Lösungen bereitzustellen, die diesen neuen Herausforderungen gerecht werden. Bleiben Sie auf dem Laufenden, seien Sie vorbereitet und sorgen Sie für Ihre Sicherheit.
