Industrielle Steuerungssysteme (ICS) bleiben auf Grund von schlechter Cyberhygiene weiterhin Ziele für Angriffe. [...]
Eine neue Studie zeigt was falsch läuft und Möglichkeiten diese Probleme zu beheben.
40 % aller Unternehmensseiten haben zumindest eine direkte Verbindung zum öffentlichen Internet
Abstände bleiben bei kritischen Systemen eine effektive Möglichkeit um die Chancen auf einen Angriff zu reduzieren. Keine Verbindung zum Internet bedeutet, dass Angreifer physisch anwesend sein müssen um Schaden zuzufügen. Trotzdem scheitern viele Unternehmen daran Ihre Systeme korrekt zu schützen. Mindestens ein Drittel aller Unternehmensseiten haben mindestens einen Zugang zum Internet. Suchwerkzeuge wie Shodan helfen un- oder schlecht gesicherte Geräte zu finden, zeigen den Weg hinein ins Industrienetzwerk und ein einziger Versuch reicht für einen erfolgreichen Angriff.
16 % Seiten haben zumindest einen kabellosen Zugriffspunkt. 84 % einen eher abgelegenen Zugangspunkt. Beides ermöglicht Angreifern Zugriff zu erlangen.
52 % der Seiten haben veraltete Windows Systeme
Unternehmen nutzen oft Systeme die hart zu reparieren sind, oder dessen Betriebssystem einfach geändert werden kann. Ein aktuelles und upgedatetes Windows bedeutet allerdings keine ständigen Reparaturen auf Grund von neuen Angriffspunkten, was große Löcher in Ihrem Sicherheitssystem hinterlassen kann. Über die Hälfte aller Unternehmensseiten, die von CyberX überprüft wurden, liefen auf veralteten und nicht mehr unterstützten Windows Betriebssystemen.
Windows Vista erhält keine Unterstützung mehr seit 2017, XP sogar seit 2014. Windows 8 wurde 2016 endgültig still gelegt (8.1 hat noch ein paar Atemzüge über), und Windows 7 findet im Jahr 2020 sein Ende. Während Firmen einen erweiterten Support für ihre Windowssysteme anfordern können, ist dies sehr kostspielig und keine Dauerlösung.
69 % der Seiten haben Klartext Passwörter im ICS
Klartext Passwörter sind (eigentlich) seit ihrer Erfindung eine schlechte Idee. Sie geben allen, die Ihr Netzwerk aufspüren freien Zugriff auf alles worauf sie es abgezielt haben. Egal ob sie andere Sicherheitsmechanismen installiert haben oder nicht. Leider hindert dies Unternehmensorganisationen nicht diesen gefährlichen Fehler weiterhin zu begehen. CyberX fand heraus, dass 69 % aller ICS heute noch Klartext als Passwort verwendet.
Laut Studie handelt es sich dabei typischerweise um Altgeräte, wie SNMP v3 oder SFTP, die moderne Sicherheitsprotokolle nicht unterstützen.
57 % der Seiten nutzen keine Antivirus Programme die Signaturen automatisch updaten
In der ersten Hälfte des Jahres 2018 entdeckte Kaspersky 19.000 verschiedene schadhafte Programme von 2.800 unterschiedlichen Quellen. Da Malware sich ständig verändert und auftaucht, wäre es nur logisch, dass das Antivirus Programm einer Organisation Signaturen automatisch erneuert. Allerdings haben über die Hälfte aller ICS keine automatisch updatende Antivirus Systeme, was die Chance eines erfolgreichen Angriffs dramatisch steigert.
ICS Security steht still
Das ICS unsicher sind ist die eine Sache. Noch beunruhigender ist allerdings die Tatsache, des langsamen bis kaum vorhandenen Fortschritts in diesem Bereich. Laut der Studie hat sich die Industrie im vergangenen Jahr kaum verändert. Die einzigen Zahlen die bedeutsame Veränderungen zeigen, betreffen die der Nutzung veralteter Windows Systeme. Diese fiel von 76 % im Jahr 2017 auf 53 % im Jahr 2018.
Alte OT Protokolle machen Sichtbarkeit schwierig
Industriesysteme brauchen oft lange um sich zu verändern. Da es schwierig und teuer ist sie zu ersetzen, kann es passieren, dass sie für einige Jahre unangetastet bleiben. CyberX fand heraus, das das am häufigsten genutzte Protokoll in der Studie Modbus war, ein Serien Kommunikationsprotokoll welches 1979 von Modicon (heute Schneider Electric) veröffentlicht wurde.
Das schafft Aufzeichnungsprobleme, da traditionelle Aufzeichnungstools, die dafür kreiert wurden um IT Netzwerke im Industrie Sektor zu überwachen, blind für OT-spezifische Protokolle wie Modbus TCP sind. Das bedeutet, dass Organisationen wenig bis gar keinen Einblick in ihre OT Netzwerk Aktivität haben. Eine Umfrage von Kaspersky zeigt, dass fast die Hälfte aller Industriefirmen keine Möglichkeit haben um Angriffe auf ihre ICS Geräte zu erkennen.
6 Praktiken für bessere ICS Sicherheit
- Identifizieren Sie kritische Vorgänge: Identifizieren Sie welche Prozesse die Firma am ehesten beeinträchtigen würden und lenken Sie Ihren Fokus darauf diese zu sichern
- Kennen Sie Ihr Netzwerk: Um etwas erfolgreich zu verteidigen, müssen Sie wissen WAS Sie verteidigen müssen. Tragen Sie alle Informationen Ihres ICS zusammen (Modell, Typ, OS, Firmware Daten, etc.), schauen wie diese miteinander verbunden sind, wie Informationen im Netzwerk weitergegeben werden und wie sowohl interne als auch externe Parteien damit verbunden sind.
- Identifizieren Sie mögliche Angriffspunkte: Versuchen Sie herauszufinden, wo Ihre Systeme am angreifbarsten sind. Diese Infos können helfen Sicherheitsvorkehrungen gezielt einzusetzen.
- Praktizieren Sie Cyberhygiene: Reduzieren Sie die Verbindungen zum Internet, nutzen Sie Zwei-Faktor-Authentifizierung, keine Klartext Passwörter, beheben Sie Probleme regelmäßig und erlauben Sie keine unautorisierten externen Geräte in ihr ICS Netzwerk.
- Schaffen Sie einen machbaren OS Upgrade Plan: Industrielle Systeme auf dem neuesten Stand zu halten ist schwer, aber wichtig um sich vor möglichen Angriffen zu schützen. Planen sie Updates deswegen ein und finden einen Weg mit dem IT Team um Ihre Systeme möglichst störungsfrei für den Firmenablauf auf dem neuesten Stand zu halten. Systeme die nicht upgedatet werden können, müssen besonders im Auge behalten werden.
- Entfernen Sie Speicher zwischen OT und IT: Integrieren Sie OT Personal in der Abteilung die für die Sicherheit zuständig ist und lassen Sie das IT Sicherheitsteam in der OT Organisation arbeiten um einen ständigen Austauschen zwischen den Beiden Seiten zu gewährleisten.
*Dan Swinhoe schreibt für CSO.
Be the first to comment