Suchen

Security Fünf Anforderungen zur Absicherung industrieller Infrastrukturen

Autor / Redakteur: Mati Epstein* / Dipl. -Ing. Ines Stotz

Um Industriekontroll-Systeme (ICS) abzusichern, ist es wichtig, eine ganzheitliche Sichtweise zu bewahren und jeden Teil des Netzwerks, sowohl den IT- als auch den OT-Teil, zu betrachten. Der Beitrag gibt Empfehlungen und formuliert fünf Anforderungen zur Absicherung von ICS.

Firmen zum Thema

Systeme und Prozesse müssen in jeder Zone der IT/OT-Umgebung untersucht werden, um die Angriffsvektoren und das Risiko zu analysieren sowie empfohlene Sicherheitskontrollen durchzuführen.
Systeme und Prozesse müssen in jeder Zone der IT/OT-Umgebung untersucht werden, um die Angriffsvektoren und das Risiko zu analysieren sowie empfohlene Sicherheitskontrollen durchzuführen.
(Bild: gemeinfrei / CC0 )

Zur Bewertung der Schwachstellen in Industriekontroll-Systemen (ICS) kann das Purdue Modell verwendet werden. Dieses lässt sich aus dem Purdue Enterprise Reference Architecture (PERA) Modell von ISA-99 übernehmen und als Konzeptmodell für Computer Integrated Manufacturing (CIM) verwenden. Dabei handelt es sich um ein branchenübliches Referenzmodell, das die Zusammenhänge und Interdependenzen aller Hauptkomponenten eines typischen industriellen Steuerungssystems aufzeigt, die ICS-Architektur in drei Zonen und diese in sechs Ebenen unterteilt.

Die Anwendung von IT-Security auf das ICS sollte die sechs unterschiedlichen Purdue-Schichten analysieren und aufzeigen, wie sie auf verschiedene Bereiche im Netzwerk abgebildet werden. Die Idee ist, die Kommunikationsflüsse zwischen den verschiedenen Ebenen im Purdue Modell zu erklären und aufzuzeigen, wie sie abgesichert werden können.

Darstellung einer typischen IT/OT-Umgebung.
Darstellung einer typischen IT/OT-Umgebung.
(Bild: Check Point Software 2019)

Die Graphik zeigt die Darstellung einer typischen IT/OT-Umgebung. Die Verbindung zwischen den Ebenen 2 und 3 kann jedoch je nach Unternehmenstyp variieren:

  • Produktionsstätte (typischerweise ein Standort, der sowohl OT als auch IT kombiniert)
  • Versorgungs- und Energieversorgung wie Gas, Wasser und Strom (typischerweise verteilte Umgebungen mit vielen abgelegenen Standorten, die mit einer zentralen Einrichtung verbunden sind). Bandbreitenbeschränkungen können sich hier auf die vorgeschlagene Architektur auswirken.

Ebene 5 und 4: Das Unternehmensnetzwerk und Business-Logistiksysteme

Empfohlene Sicherheitskontrollen: Da dies das IT-Netzwerk ist, in dem sich die Benutzer und der Internet-Ausgangspunkt befinden, wird empfohlen, die vollständige Funktionalität der Threat Extraction auf der Netzwerkebene zu aktivieren:

  • Firewall
  • IPS
  • Antivirus
  • Antibot
  • SandBlast (Sandboxen)
  • Anwendungskontrolle
  • URL-Filterung
  • SSL-Inspektion

Es empfiehlt sich, die vollständige Endpoint-Suite auf den Computern der Benutzer zu installieren. Nicht zuletzt ist es auch sehr wichtig, (öffentliche) Cloud-Dienste zu sichern, da diese in der Regel auch mit Unternehmensressourcen und damit ebenfalls mit einem potenziellen Angriffsvektor verbunden sind.

Die Aktivierung der Netzwerk- und Endgerätesicherheit kann die Angriffe verhindern und beseitigen, bevor die ICS-Geräte beschädigt werden. Das Smart Center dient als Verwaltungsstation für alle in diesem Plan genannten Sicherheitsgateways.

Ebene 3.5: Die industrielle DMZ

Empfohlene Sicherheitskontrollen: Um eine maximale Verfügbarkeit des Remote Access Gateways zu gewährleisten – dass es Dritten ermöglicht, die OT-Geräte aus der Ferne zu verwalten und zu überwachen – ist es wichtig, das Gateway mit einer Anti-DDoS-Lösung zu schützen (vorzugsweise vor Ort und Cloud-basiert). In dieser Blaupause befindet sich ein Jump-Server in der industriellen DMZ. Die VPN RAS-Sitzungen werden auf dem Perimeter-Gateway in Ebene 5 beendet. Das Gateway beendet den VPN-Verkehr, scannt ihn auf Malware und lässt nur RDP-Verkehr zum Jump-Host zu. Über den Sprunghost wird dann die Verbindung zu den Bedienplätzen der Ebene 2 für Fernwartungsarbeiten hergestellt.

Dieser Ansatz ist viel sicherer als die Zulassung eingehender L3-VPN-Verbindungen aus dem Internet direkt in die Ebene 2 und reduziert das Risiko einer Infektion des OT-Netzwerks aufgrund von unsicheren RAS-Verbindungen von Drittanbietern erheblich. Der Jump-Server selbst ist durch das Gateway geschützt, das nur eingehende RDPs zulässt und über die notwendigen Sicherheitskontrollen wie IPS, Anti-Bot und Anwendungskontrolle verfügt.

Buchtipp

Cybersicherheit ist nicht nur sinnvoll, sie ist die absolute Grundvoraussetzung für eine erfolgreiche Digitalisierung. Das Fachbuch Cybersicherheit erläutert die Relevanz von IT-Sicherheit in Industrieunternehmen und gibt die nötige Unterstützung, diese im eigenen Unternehmen umzusetzen.

Ebene 3: Fertigungsbetriebssysteme

Empfohlene Sicherheitskontrollen: Zunächst geht es darum eine Anomalie- und Asset-Erkennung durchzuführen, um Sichtbarkeit zu gewinnen. Dann sollten Anti-Bot-Maßnahmen ergriffen werden. Als weiterer Schritt empfiehlt es sich IPS-Mechanismen darüber laufen zu lassen, typischerweise als virtueller Patch zum Schutz der Überwachungspunkte. Mit Sandboxing-Technologien lassen sich Zero-Day-Angriffe verhindern.

Außerdem sollte eine Sicherheitsrichtlinie für die Anwendungssteuerung implementiert werden, die es lediglich erlaubt, bestimmte autorisierte Befehle vom Bedienerarbeitsplatz an die SPS zu senden.

Die Verwendung von Identity Awareness kann der Richtlinie eine zusätzliche Sicherheitsebene hinzufügen, indem sie nur authentifizierten Benutzern (d.h. Operatoren) erlaubt, bestimmte Befehle an Geräte in Level 2 zu senden. Zusätzlich sollte der Kontrollverkehr zwischen Operatoren in L3 und SPSen in L2 unter Verwendung von IPsec verschlüsselt werden, um Abhör- und Wiederholungsangriffe zu verhindern. Außerdem muss ein Endgeräteschutz einschließlich Portschutz vorhanden sein.

Stufe 2 und 1: Sicherung der Kommunikation zwischen den Ebenen

Empfohlene Sicherheitskontrollen: Es empfiehlt sich Gateways mit IPS einzusetzen, um anfällige Systeme als virtuellen Patch zu schützen, anstatt die aktuellen Systeme zu patchen, was zu Ausfallzeiten führt. Die Kommunikation zwischen Level 2 und 3 kann mit IPsec verschlüsselt werden, um vor Schnüffel- und Replay-Angriffen zu schützen. Ein Sicherheitsgateway kann mit einem Mirror (SPAN)-Port auf einem Switch in dieser Ebene verbunden werden, der als Sensor fungiert und Informationen über die Anlagenerkennung und Anomalie-Erkennung an das AAD übermittelt.

Kunden, die bereit sind, Inline-Sicherheitsgateways der Stufe 1 in Betracht zu ziehen, könnten lokale Bedienerarbeitsplätze und HMI's von SPSen und RTU's trennen, so dass keine unbefugten Befehle an sie gesendet werden können. Wird ein Gateway verwendet, das mit einem Mirror-Port verbunden ist, kann dies ebenfalls erkannt, aber nicht verhindert werden.

Die Endgerätesicherheit kann auf Computern mit unterstützten Betriebssystemen berücksichtigt werden. Darüber hinaus sollte eine angemessene L2-Sicherheit an den Switches implementiert werden. Es bietet sich die Verwendung eines Out-of-Band-Netzwerks an, das ausschließlich für die Verwaltung des Datenverkehrs, Signatur-Updates und Firmware-Updates von Geräten in dieser Ebene verwendet wird.

In Level 1 sollten nur SCADA-Protokolle zu sehen sein. Wenn Techniker aus der Ferne nicht direkt mit dem Level-1-Netzwerk verbinden, sollte die Verwendung eines Jump-Hosts in der DMZ in Level 3.5 verwendet werden. Wenn sich nicht verwaltete Assets mit diesem Netzwerk verbinden, ist die Sicherheitslage unbekannt und kann daher nicht vertrauenswürdig sein.

Ebene 0: Physikalische Prozesse

Empfohlene Sicherheitskontrollen: Es wird empfohlen, Punkt zu Punkt Verbindungen zwischen den intelligenten Geräten der Ebene 1 und den Feldgeräten der Ebene 0 zu verwenden. Wenn die Kommunikation zwischen Level 1 und Level 0 über IP erfolgt, sind Punkt zu Punkt Verbindungen zu bevorzugen.

Wenn Punkt-zu-Punkt-Verbindungen nicht möglich sind und Ethernet-Switches in Level 0 verwendet werden, sollte man sicherstellen, dass die entsprechende L2-Sicherheit durchgesetzt wird: Verwaltung aller ungenutzten Switch-Ports, MAC-Authentifizierung an den verwendeten Switch-Ports, Überlegung zur Verwendung zusätzlicher Sicherheitsgateways zwischen Level 1 und Level 0. Die Verwendung einer vertrauenswürdigen Basisrichtlinie mit dem Application Control Blade kann einen Administrator warnen, wenn ein unbekannter Befehl an ein Feldgerät gesendet wird.

Ergänzendes zum Thema
Daraus abgeleitet – fünf Anforderungen:
  • 1. Sicherzustellen ist das Vorhandensein einer korrekten Segmentierung. Es sollte daran gedacht werden, dass es hier nicht darum geht, viele verschiedene VLAN's und / oder Subnetze zu haben und dann nur das Routing zwischen ihnen zu aktivieren. Es geht darum, die richtigen Sicherheitskontrollen zwischen den Segmenten einzurichten und zu aktivieren. Um es kurz zusammenzufassen: Sandboxing-Technologien und das komplette NGTX-Bundle am Perimeter (Level 5), einschließlich SSL/TLS-Inspektion. In den internen Segmenten (Ebene 4 und darunter) sollten Firewall, IPS, Identitätsbewusstsein und Anwendungskontrolle das Minimum sein. Sandboxing ist unerlässlich, um sich vor Zero-Day-Angriffen abzusichern, einem gemeinsamen Angriffsvektor, der von Hackern verwendet wird, um kritische Infrastrukturen zu schützen.
  • 2. Die Prävention von Bedrohungen ist von entscheidender Bedeutung. Bei Erkennung wird nur informiert, wenn der Schaden bereits eingetreten ist.
  • 3. Das IPS-Signal enthält mehrere Signaturen, die speziell auf die Sicherung von ICS-Umgebungen ausgerichtet sind. Man sollte, wo immer möglich, IPS im Präventionsmodus aktivieren und darauf achten, dass Warnmeldungen für diese Signaturen gezielt überwacht werden.
  • 4. Die Application Control Blade unterstützt mehrere SCADA-Protokolle bis hin zur Befehls- und sogar Parameterebene. Dies ermöglicht die Erstellung einer Sicherheitsrichtlinie, die es erlaubt, nur bestimmte Befehle an die SPS zu senden und alles andere zu verweigern.
  • 5. Sichtbarkeit ist der Schlüssel zur Sicherheit. Es sollte sichergestellt werden, dass genügend Personal zur Verfügung steht, um die Umgebung zu überwachen. Tools wie Smart Event, AAD und ein dediziertes SIEM können viele Informationen preisgeben, die sonst unbemerkt bleiben könnten.

* Mati Epstein, Head of ICS Sales & Security Solution bei Check Point Software

(ID:46487283)