Wir verwenden künstliche Intelligenz für Website-Übersetzungen, und obwohl wir uns um Genauigkeit bemühen, kann es sein, dass sie nicht immer 100%ig präzise sind. Wir danken Ihnen für Ihr Verständnis.
Startseite/
Blog
/
Navigieren in der Cybersecurity-Landschaft von ICS und...
Navigieren in der Cybersicherheitslandschaft von ICS- und OT-Netzwerken: Einblicke und Lösungen
von
OPSWAT
Jetzt teilen
Einführung
In the ever-evolving world of cybersecurity, Industrial Control Systems (ICS) and Operational Technology (OT) networks represent a significant area of concern. These systems are not only vital to the continuity of business operations but are also integral components of a nation's critical infrastructure. OPSWAT's MetaDefender Aether (previously known as Filescan Sandbox) team has been diligently monitoring ICS/OT risks and has observed persistent and potentially high-impact activities.
Die aktuelle Bedrohungslandschaft
Die jüngsten Muster bei den Bedrohungen der Cybersicherheit zeigen einen besorgniserregenden Trend bei den Angriffen: staatlich gesponserte Gruppen haben begonnen, sich auf ICS wie Sandworm (Russland) und Volt Typhoon (China) zu spezialisieren, während Cyberkriminelle sich der Schwere der Auswirkungen auf industrielle Systeme bewusst sind. Sicherheitskräfte aus allen Bereichen erkennen die Bedeutung dieser Bedrohungen für alle Industriesektoren, was zur Veröffentlichung gemeinsamer Berichte und Kampagnen zur Stärkung der ICS-Sicherheit geführt hat.
Fortbestehende Probleme und Empfehlungen
Eine der langjährigen Empfehlungen zur Minderung dieser Risiken ist die Verringerung der Gefährdung von Systemen. Die Häufigkeit ungeschützter Systeme ist jedoch nach wie vor ein beunruhigendes Problem in der Cybersicherheitslandschaft. Mit der zunehmenden Verbreitung von Aufklärungs- und Ausbeutungstechniken wird die Gefahr opportunistischer Angriffe immer größer, so dass Bedrohungsakteure mit weniger ausgefeilten Methoden kritische Systeme angreifen können. Ein Bericht vom September hat einen alarmierenden Trend aufgezeigt: Die Zahl der Cybersecurity-Vorfälle im Bereich OT/ICS hat in den letzten drei Jahren die von 1991 bis 2000 gemeldete Gesamtzahl übertroffen. Allein diese Statistik unterstreicht die zunehmenden Herausforderungen, denen sich die Verantwortlichen für die Sicherheit dieser Umgebungen gegenübersehen.
Verteidigung gegen die Bedrohung
Rahmenwerke und Aktualisierungen
Die MITRE Corporation hat erkannt, dass eine besondere Aufmerksamkeit erforderlich ist, und hat eine ICS-spezifische ATT&CK-Matrix entwickelt, um eine gemeinsame Sprache für die Kommunikation zwischen den Sektoren zu schaffen und unterrepräsentierten Sektoren die Möglichkeit zu geben, ihre Zuordnungen zu nutzen und eine sinnvolle Kommunikation über Risiken und Bedrohungen zu fördern. Die relativ neue Matrix wird weiterhin sorgfältig aktualisiert, wobei die neueste Version erst letzten Monat veröffentlicht wurde.
Die Verflechtung von IT und OT
The OPSWAT MetaDefender Aether team, while keeping abreast of these updates, emphasizes the intrinsic connection between IT and OT, since IT assets are present across all the levels of the Purdue Model, and not only at the top.
Die Kompromittierung von IT führt zu einer Kompromittierung von OT. Die Befragten sind in erster Linie mit ICS-Vorfällen befasst, bei denen Malware-Bedrohungen oder Angreifer in das Unternehmensnetzwerk IT eingedrungen sind, und haben dies auch erlebt. Diese Einbrüche ermöglichen häufig den Zugang und das Eindringen in die ICS/OT-Umgebung. Kompromisse in IT Systemen, die zu Bedrohungen in OT/ICS-Netzwerken führen, stehen an erster Stelle, gefolgt von Kompromissen bei technischen Workstations und externen Remote-Diensten.
Der SANS 2023 ICS/OT Cybersecurity Bericht
gesponsert von OPSWAT
Der gemeinsame Nenner: Bösartige Dateien
Across the spectrum of ICS-related cyberattacks, the presence of malicious files is a consistent factor, regardless of the vector of entry—be it IT or OT systems. This is where solutions like the MetaDefender Aether come into play. Such tools are designed to scrutinize files traversing the defined perimeters of an organization's network, tailored to different contexts for optimal performance, including within air-gapped environments.
OPSWAT's Adaptive Sandbox combines different sets of threat indicators using in-house analyzers and other widely known such as Yara rules. Both attacks previously referenced from Volt Typhoon and Sandworm heavily relied on Living-Off-the-Land binaries (LOLBINS) for which MetaDefender Aether implements many indicators. However, the earliest attack poses a good example of the combination of indicators due to the availability of samples. The first reported payload is a batch script containing a base64 encoded Powershell command which triggers two interesting indicators for this case, among others.
Abbildung 1 Analyse der Nutzlast von Volt Typhoon Report Link
Der Ursprung des zuvor gezeigten Indikators ist die Skript-Emulation, bei der auch andere relevante Indikatoren beobachtet werden können. Der folgende Screenshot zeigt einen anderen Indikator mit höherem Schweregrad, der durch den dekodierten base64-Inhalt des Skripts ausgelöst wird. Zusätzlich werden beide identifizierten Elemente entsprechend mit den entsprechenden MITRE ATT&CK-Techniken abgebildet.
Abbildung 2 Analyse der Nutzlast von Volt Typhoon Report Link
Additionally, this same attack involved the usage of Fast Reverse Proxy samples which, despite being UPX packed, MetaDefender Aether was able to unpack allowing several additional indicators to match on the extracted file and identify the threat.
Abbildung 3 Ausgepacktes FRP-Muster von Volt Typhoon Report Link
Abbildung 4 Yara identifiziert die unverpackte Probe als FRP Report Link
Schlussfolgerung
As the threat landscape evolves, so must our defenses. OPSWAT's commitment to the security of ICS and OT networks remains steadfast, and the MetaDefender Aether team is dedicated to providing actively updated solutions that address these emerging challenges. Stay informed, stay prepared, and stay secure.
