Industrieanlagen-Resilienz direkt aus Infrastruktur-Daten mit IRMA und securiCAD

Mit IRMA® greifen Sie auf ein leistungsfähiges Industrie-Computersystem zurück, mit dem Infrastruktur-Informationen schnell identifiziert und korreliert werden. Ohne jegliche Aktivitäten im IT-Netz überwacht IRMA® kontinuierlich Ihre Produktionsanlagen und liefert wertvolle Informationen.

securiCAD® liefert, als Ergebnis der Angriffs-Simulation, die Eintrittswahrscheinlichkeit von Angriffen. Diese gibt an, wie lange ein potenzieller Angreifer statistisch gesehen benötigt, um die Produktions-Anlage, beispielsweise den letzten IP-Knotenpunkt der SPS-Anlage (selbstprogrammierbare Steuereinheit) zu kompromittieren.

Im Zusammenspiel sorgen die Systeme dafür, dass tagesaktuelle Informationen aus der Infrastruktur zu einem gemeinsamen Gesamtbild der Informationssicherheitslage überführt werden. Dieses gibt Aufschluss…

  • … über den Aufbau der Infrastruktur inkl. der Netztopologie und Datenflüsse innerhalb der Industrieanlage
  • … über das aktuelle Sicherheits-Risiko innerhalb der Systemlandschaft und damit das technische Risiko, das auf die Produktion wirkt.
  • … über Risiko-Minimierungs-Optionen und welchen Nutzen technische Verbesserungen oder Änderungen in der Systemlandschaft auf den Produktionsprozess haben.

Informationen direkt aus der Infrastruktur

Die IRMA® Appliance sammelt über den Mirror-Port ausschließlich passiv und damit rückwirkungsfrei Informationen über Systeme und Datenflüsse im Netzwerk und gibt so Aufschluss über die vernetzten Assets und Kommunikation in der Produktion.

IRMA1

IRMA® stellt einen securiCAD® Export zur Verfügung, mit dessen Hilfe alle Struktur-Informationen in ein logisches Netzwerk-Modell überführt werden.

IRMA2

Netzwerk-Modell

Im securiCAD® Netzwerk-Modell wird die Netzwerk-Topologie visualisiert.

Abhängig des jeweiligen Szenarios wird der Angreifer im Internet (extern) oder im Produktions-Netzwerk (intern) positioniert, um die Resilienz der Anlage aus verschiedenen Perspektiven zu untersuchen.

Damit dies möglich ist, werden weitere Informationen aus der Büro-Infrastruktur in das Simulations-Modell eingefügt.

Auch weitere Datenflüsse, beispielsweise für Fernzugriffe aus dem Internet auf die Industrie-Anlage können im Simulations-Modell berücksichtigt werden.

Netzwerk-Informationen

IRMA® liest ausschließlich passiv den am Switch gespiegelten Datenverkehr mit und ist dadurch in der Lage die Datenflüsse und Systeme den jeweiligen Netzen zuzuordnen. Nachfolgend sind exemplarisch zwei Netze im Detail dargestellt.

IRMA4

Die Modellierung der Infrastruktur wird auf Basis jederzeit aktueller Informationen durch IRMA® erstellt und für die Durchführung der Angriffs-Simulation zur Resilienz-Bestimmung mittels securiCAD® berücksichtigt.

Datenflüsse

Der Informations-Export aus IRMA® gibt über den Netzwerk-Aufbau hinaus auch Aufschluss über die Kommunikations-Verbindungen. Dadurch lässt sich identifizieren, welche Systeme miteinander kommunizieren und zeigt damit potentielle Angriffswege auf.

Die Visualisierung der Datenflüsse ermöglicht eine vollständige Übersicht über das OT-Netz und erleichtert die Dokumentation der aktuellen Infrastruktur.

Für die spätere Risiko-Ableitung ist die Kenntnis über die vollständigen Datenflüsse ein notwendiger Bestandteil, da sie darstellen, welche Systeme in Verbindung miteinander stehen. Diese Systeme tragen ggfs. zu einem höheren Gesamtrisiko bei, sofern eines der vernetzten Systeme durch einen Hacker-Angriff korrumpiert wird.

Über diese Netzwerk-Informationen, werden insbesondere auch die Industrie-Kommunikations-Protokolle identifizieren und analysiert.

Der Informations-Export aus IRMA® in das securiCAD® Modell stellt sicher, dass alle relevanten Informationen zur Risiko-Einschätzung betrachtet werden. Durch die Möglichkeit, den aktuellen Zustand der Infrastruktur auf Knopfdruck zu exportieren, wird ein dauerhaftes, zyklisches Risiko-Management ermöglicht, das auf tagesaktuelle Daten zugreift. Die Datenübernahme lässt sich somit in einen dauerhaften Risikoprozess einbetten.

IRMA5

Aus der obigen Darstellung lässt sich der aktuelle Netzwerkaufbau entnehmen und visualisiert damit, welche Wege der Angreifer zu seinem Ziel, beispielsweise das SCADA-System zu korrumpieren, nehmen kann.

Risikoableitung

Die Risikoableitung geht für das obige Modell so vor, dass ein Angreifer aus dem internen Netz mit maximalem Angriffspotenzial versucht, die SCADA-Systeme zu korrumpieren. securiCAD® quantifiziert alle potenziell möglichen Eintrittswege zu den Zielsystemen und die Wahrscheinlichkeit für diese Wege. Zusätzlich beschreibt die Korrumpierungswahrscheinlichkeit, wo das aktuelle Sicherheits-Niveau liegt.

Das aktuelle Risiko der SCADA-Systeme liegt bei 76% mit einem Angreifer von innen. Da alle SCADA-Systeme im gleichen Netzwerk betrieben werden sowie identisch konfiguriert sind, weisen alle Systeme ein identisches Sicherheits-Niveau auf.

In der Risikomatrix werden zwei Informationen dargestellt. Auf der X-Achse die Relevanz der Systeme. Aktuell sind alle Systeme gleich relevant. Und auf der Y-Achse die Eintrittswahrscheinlichkeit für potenzielle Hack-Angriffe auf die Systeme. Diese Daten können direkt in das Risiko-Management, beispielsweise in ein Informations-Sicherheits-Management-System überführt werden.

IRMA6

Der Angreifer hat verschiedene Möglichkeiten die SCADA Systeme zu übernehmen. Dabei wird nachfolgend dargestellt, welche Wege wie attraktiv für den Angreifer sind. Es gilt: je breiter der Weg, desto höher die Wahrscheinlichkeit, dass ein Angreifer diesen Weg für den Angriff nutzt. Die Assets zwischen Angreifer und den SCADA-Zielsystemen sind einer Risiko-Kategorie zugeordnet. Dabei gilt, je stärker die Assets rot gefärbt sind, desto risikobehafteter sind diese Infrastruktur-Assets.

Die Engstellen der Angriffswege zeigen, dass das Netz 100 besonders risikobehaftet ist. In diesem Netzwerk werden die SCADA Systeme betrieben. Weiterhin ist Netz 13 risikobehaftet. Aus diesem Netzwerk agiert der Angreifer im aktuellen Modell.

IRMA7

Verbesserung des Sicherheits-Niveaus

Um das aktuelle Sicherheits-Niveau zu verbessern, empfiehlt securiCAD® verschiedene Maßnahmen auf Basis der wahrscheinlichsten Angriffs-Wege. Zusätzlich erhalten wir über die Informationen der Engstellen wichtige Anknüpfungspunkte. Die beiden risikobehafteten Netze sind Internet und das Netz 100.

Daraus abgeleitet ergeben sind zwei wesentliche Angriffsszenarien:

1. Infektion von außen bzw. dem Office Netz

Als erstes Szenario ist ein kompromittiertes System im Büro-Netzwerk als „Außen“-Angreifer zu berücksichtigen. Ein möglicher Ansatzpunkt kann deshalb die Verbesserung der Sicherheit an den Übergängen Büro-Netzwerk und OT-Netzwerk sein. Um diese Betrachtung zu untersuchen, wurde ein alternatives Modell erstellt, welches die bestehenden Netzwerk-Übergänge durch verbesserte Netzwerksegmentierung erweitert. Diese Segmentierung erfolgt durch Konfigurationsänderungen der Router (NAC, VLAN) oder durch den Einsatz zusätzlicher Firewalls an den Übergängen der Segmente. Des Weiteren ergänzen Funktionen wie Intrusion Detection / Intrusion Prevention System (IDS / IPS). Bemerkung: Es ist darauf zu achten, dass die eingesetzten Systeme (FW, IDS, IPS,…) die genutzten Protokolle verstehen.
Das zusätzliche Monitoringsystem mit Anomalieerkennung IRMA® alarmiert bereits mit Installation für die OT-Netzwerkerkennung bei außergewöhnlichen Veränderungen im Netzwerk oder unterbricht diese entsprechende Verbindung (Kopplung Monitoringsystem zu Firewall/Routern). Des Weiteren können durch die automatisierte Alarmierung umgehend entsprechende Gegenmaßnahme etabliert werden.

Durch diese Maßnahmen verändert sich das gemessene Risiko, also die Eintrittswahrscheinlichkeit für einen Hacker-Angriff deutlich. Linksstehende Risikomatrix zeigt, dass sich die Eintrittswahrscheinlichkeit von ursprünglich 62% auf aktuell 18% verändert hat. Die Priorität der SCADA Systeme hat sich durch diese Maßnahme nicht verändert.

Diese deutliche Verbesserung resultiert aus der Tatsache heraus, dass der Angreifer nun gezwungen ist, deutlich mehr Aufwand zu investieren, um das Firewall-System zu umgehen und eine Verbindung auf die Industrie-Anlage aufzubauen. Dies betrifft zwei Firewall-Systeme, die im Office-Bereich und die innerhalb der Industrie-Anlage.

Durch die Änderungen an den Firewall-Systemen verändern sich über das Risiko hinaus auch die Wege, die ein Angreifer wahrscheinlich nutzt.

Die Verbesserung der Firewall-Systeme hat dazu geführt, dass die Router weniger interessant für Hack-Angriffe geworden sind. Die Kritikalität der Netze ist jedoch gleichgeblieben, da sich am Aufbau der Infrastruktur nichts verändert hat und die Anbindung an das Internet nach wie vor hoch risikobehaftet ist.

Parallel ist der Betrieb des Netzes 100 nach wie vor hoch riskant, da sich alle SCADA Systeme im gleichen Netzwerk befinden. Dies führt dazu, dass ein erfolgreicher Angriff auf das erste SCADA System einen potenziell ebenfalls erfolgreichen Angriff auf weitere SCADA Systeme bedeutet.

Eine sinnvolle Erweiterung der System-Sicherheit sollte deshalb eine Netzwerk-Segmentierung im Bereich der SCADA und Steuer-Systeme sein, um redundante Netzwerke aufzubauen, sofern die Produktions-Umgebung dies erlaubt.

IRMA9

2. Infektion / Angreifer im OT-Netzwerk

Im zweiten Szenario entsteht die Gefährdung durch den Anschluss einer infizierten Engineering Workstation (EWS), eines Laptops eines Dienstleisters, eines USB-Speichersticks, über die Fernwartungszugänge der Maschinenlieferanten oder vergleichbar. Zur Schadensbegrenzung dient hier eine weitergehende Netzwerksegmentierung der einzelnen Netzwerke (vgl. Beispiel SCADA-Netz 100 zu Steuereungs-Netz 22). Zum Einsatz kommen auch hier mögliche Konfigurationsänderungen der Router (NAC, VLAN) oder zusätzliche Firewalls an den Übergängen der Segmente. Für die ergänzende Funktionen wie Intrusion Detection / Intrusion Prevention System (IDS / IPS) ist darauf zu achten, dass die eingesetzten Systeme (FW, IDS, IPS,…) die genutzten IT-/OT-Protokolle vollumfänglich verstehen.
Ein spezialisiertes passives OT-Monitoringsystem mit Anomalieerkennung mit IRMA®, alarmiert auch hier bei außergewöhnlichen Veränderungen im Netzwerk. Der Einsatz einer zusätzlichen IPS-Funktionalität ist zunächst in der Risikoanalyse abzuwägen, welche Auswirkungen auf den Produktionsprozess bei sog. false positives toleriert werden können. Durch eine rückwirkungsfreie Angriffsdetektion können aber schon durch die automatisierte Alarmierung umgehend geeignete Gegenmaßnahme ergriffen wird.

IRMA10

Durch diese Maßnahmen verändert sich das gemessene Risiko, also die Eintrittswahrscheinlichkeit für einen Hacker-Angriff von ursprünglich 76% auf aktuell 31%. Die Priorität der SCADA Systeme hat sich durch diese Maßnahme nicht verändert.

Diese deutliche Verbesserung resultiert aus der Tatsache heraus, dass der Angreifer nun gezwungen ist, deutlich mehr Aufwand zu investieren, da der Angreifer sich in der Produktions-Anlage nicht mehr frei bewegen kann.

Ein Hack-Angriff auf das Büro-Netzwerk hat keinen unmittelbaren Einfluss mehr auf die Produktion.

IRMA11

Trotz dieser nennenswerten Verbesserungen gibt es weitere Risiken, die durch Verbesserungen mitigiert werden können, um die Gesamtinfrastruktur sicherer zu machen.

Durch die Segmentierung verändern sich über das Risiko hinaus auch die Wege, die ein Angreifer ausnutzen kann. Diese haben die Kritikalität von wichtigen Produktionsnetzen gemildert.

Die neu eingeführte Netzwerk-Segmentierung ist unmittelbar Teil der aktuellen Angriffs-Vektoren. Beim Design neuer Abwehr-Mechanismen ist deshalb darauf zu achten, dass die neu eingeführten Maßnahmen nicht nur risikominimieren sind. Sie müssen potentiellen Gefahren auch möglichst lange standhalten.

IRMA12

Mit Hilfe von alternativen Infrastruktur-Modellen ermöglicht securiCAD® den Vergleich von Maßnahmen bereits vor der technischen Umsetzung. Anhand der Eintrittswahrscheinlichkeit, lässt sich quantitativ belegen, welchen Mehrwert die Maßnahme für die aktuelle Infrastruktur bringt.

Entscheidungen lassen sich auf Basis der Risiko-Minimierung treffen und dokumentieren.

Entscheidungsvorlage

Um die bestmögliche Entscheidung bzgl. Verbesserung der Infrastruktur zu treffen, werden die verschiedenen Modell-Szenarien miteinander verglichen.

1. Infektion von außen bzw. dem Office Netz
Beim externen Szenario gibt es zwei Modelle. Das Modell der aktuellen Infrastruktur und die Erweiterung der Infrastruktur durch eine Firewall direkt am Übergang. Der Vergleich zeigt die Änderung der Risikowerte an.

IRMA13

2. Infektion / Angreifer im OT-Netzwerk

Im zweiten Szenario kommt der Angreifer aus einem inneren Netz.

Der Risikovergleich zeigt die aktuelle Infrastruktur mit dem Risiko eines internen Angreifers und die Veränderung durch die Netzwerk-Segmentierung innerhalb der Produktions-Einheiten.

 

IRMA14

Sicherheit! Dauerhaft!

IRMA® überwacht kontinuierlich sämtliche Produktionsanlagen, liefert Informationen zu Cyberangriffen und ermöglicht die Analyse und intelligente Alarmierung mittels einer übersichtlichen Management-Konsole. So können verzögerungsfrei Aktionen gestartet werden, um den Angriff zu stoppen oder seine Folgen wirkungsvoll zu entschärfen.

securiCAD® sorgt mit der Messmethodik dafür, dass stets der gleiche Weg zur Quantifizierung des System-Risikos benutzt wird. Dieser Weg lässt sich beispielsweise auch in einem Audit oder einer bevorstehenden Zertifizierung darlegen.

In der Kombination liefern die Daten eine Entscheidungsvorlage zur Beschreibung des aktuellen Risikos und zur Identifikation der effektivsten Maßnahmen zur Risiko-Minimierung. Mit Hilfe dieses dauerhaften Risiko-Managements lässt sich die Verfügbarkeit der Produktions-Anlage erhöhen und die Anfälligkeit gegenüber technischen Risiken verringern.

Sie haben Fragen zu diesem Artikel?

Sprechen Sie uns an!

Kontakt

Dieser Artikel steht im Download-Bereich als PDF-Version zur Verfügung.

Menü