Zutritt streng verboten

Transkript

1 Zutritt streng verboten Überwachung der IT- in Prozessanlagen Markus Brändle, Thomas E. Koch, Martin Naedele, Rolf Vahldieck Elektronische Angriffe auf die Automatisierungssysteme von Industrie- und Energieversorgungsanlagen sind zwar selten, doch wenn sie stattfinden, können sie schwerwiegende Folgen haben. Die Strategien zum Schutz von Systemen wie Büronetzwerken lassen sich nicht immer direkt auf die besonderen Anforderungen von Industrie- und Energieversorgungsanlagen übertragen. Während der Daten verkehr in einem Büronetzwerk im Hinblick auf die Überwachung weitgehend willkürlich abläuft und sich die Erkennung von Angriffen oft auf das Scannen von Datenpaketen nach bestimmten Attributen beschränkt, lässt sich der Netzverkehr in einer Anlage normalerweise leicht mit bestimmten Systemaktivitäten in Verbindung bringen. Starke Abweichungen von gängigen Mustern können dann auf einen Angriff hinweisen. Diesen Umstand nutzt der ABB System 800xA Security Workplace, um die der Leitsysteme der System 800xA-Familie zu erhöhen. Da der Ansatz auf bewährten System 800xA-Konzepten basiert, kann das Tool auch von Benutzern ohne spezielle IT-skenntnisse effektiv genutzt werden. 71

2 Angesichts der kontinuierlich steigenden Leistungsfähigkeit von Computern und der vielfältigen Zugriffsmöglichkeiten (Netzwerkverbindungen, Modems, Speicherstifte, CDs, Laptops usw.) ist es nicht verwunderlich, dass ständig neue Schwachstellen entdeckt und ausgenutzt werden. Kein smechanismus bietet absoluten Schutz vor Angriffen und unerlaubten Zugriffen. Eine polyvalente sarchitektur beruht daher nicht nur auf präventiven Mechanismen wie Firewalls und Virenschutzprogrammen, sondern enthält auch Technologien und Prozesselemente zur Erkennung fortwährender Angriffe und ist in der Lage, sie abzuwehren. Eine Möglichkeit, eine solche Erkennung zu realisieren, besteht darin, ein Team von Menschen einzusetzen, die das System auf Angriffe hin überwachen und diese analysieren. Der Einsatz eines solchen Teams rund um die Uhr ist jedoch mit einem beträchtlichen Kostenaufwand verbunden, der sich nur schwer rechtfertigen lässt. Außerdem dürfte es schwierig sein, in einem Umfeld, das nur selten von tatsächlichen Angriffen heimgesucht wird, qualifizierte Mitarbeiter zu gewinnen und zu halten. Eine kostengünstige Alternative wäre es, die Dienste eines sanbieters in Anspruch zu nehmen, der mit zentraler Überwachungstechnik und hoch qualifiziertem Personal die Netzwerke mehrerer Kunden gleichzeitig überwacht. Dies ist zwar deutlich günstiger als ein eigenes Team, aber für Anlagen mit geringem Risiko möglicher- weise noch immer zu kostspielig. Hinzu kommen Bedenken im Hinblick auf die Betriebssicherheit (es müsste ein externer Zugang bereitgestellt werden) und die Arbeitssicherheit (Weiß das externe Unternehmen die Besonderheiten von Industrieanlagen und die damit verbundenen Gefahren richtig einzuschätzen?). Für solche Fälle bietet ABB eine dritte Alternative: die Integration einer IT- Sicher heitsüberwachung in die Prozessleitstruktur. süberwachung und Prozessführung Viele Unternehmen verfügen über technische Möglichkeiten zur Erkennung von Angriffen in Form von netzwerkbasierten oder hostbasierten Angriffserkennungssystemen (Intrusion Detection Systems, IDS) oder Scannern, die die Protokolle von Firewalls und Hostrechnern analysieren. Allerdings werden diese technischen Möglichkeiten häufig nicht richtig genutzt, da es an Personal fehlt, das die Ergebnisse der Tools rund um die Uhr auswertet. Zwar ist die Realisierung von IT- für Automatisierungssysteme mit einigen Herausforderungen verbunden, die sich zum Teil von denen in Büroumgebungen unterscheiden [1], doch sie bietet auch gewisse Vorteile. So ist häufig ein Bediener anwesend, der das Verhalten des Systems ständig überwachen und in puncto IT- als Ersthelfer fungieren kann. Dagegen spricht jedoch, dass ein solcher Ersthelfer über entsprechende IT- und IT-skenntnisse verfügen müsste, was bei Prozessbedie- nern häufig nicht der Fall ist. Dieses fehlende Know-how wird durch eine verstärkte Automatisierung der Erkennung und Analyse mithilfe komplexer Regelbasen kompensiert [2]. Der Verzicht auf den unwissenden Menschen ermöglicht schnelle und deterministische Entscheidungen, die klare Antworten auf klare Situationen liefern. Doch leider sind viele Situationen in Wirklichkeit alles andere als klar. Für eine feste Regelbasis zur Angriffserkennung ist das Umfeld meist zu dynamisch, und für eine dynamische Aktualisierung wären wieder ständig verfügbare Experten erforderlich. Der Ansatz von ABB hingegen nutzt die Tatsache, dass Prozessbediener dank ihrer Ausbildung und täglichen Erfahrung in der Überwachung von Hunderten Prozessindikatoren sehr gut Anomalien in Werten und ihren Beziehungen zueinander erkennen können. Sie können ihren gesunden Menschenverstand nutzen, um zu entscheiden, ob es eine unkritische Erklärung für diese Anomalien gibt sei es bei Regelparametern oder in sicherheitsrelevanten Bereichen. Ein Beispiel: Eine Visualisierung der Hostrechner im Automatisierungsnetzwerk zeigt die Anzahl der angemeldeten Benutzer. Aufgrund seiner Erfahrung der letzten Wochen weiß der Prozessbediener, dass diese Zahl konstant ist. Dabei muss er nicht wissen, dass sich der tatsächliche Wert aus den (an einigen Hostrechnern) angemeldeten menschlichen Benutzern und den Service-Accounts für bestimmte Anwendungen zusammensetzt. Plötzlich stellt er fest, dass an einem Hostrechner ein Benutzer mehr angemeldet ist als 1 Datenfluss für den System 800xA Security Workplace. Netzwerkverkehrsdaten werden von verschiedenen Knoten erfasst und auf ungewöhnliches Verhalten hin analysiert. 2 Übersicht über die Architektur des 800xA-Servers mit Security Workplace 800xA-Serverknoten 800xA-Serverknoten Aspect-Server ABB OPC-Server (PNSM) WMI SSH SNMP SNMP SSH Windows-Knoten Netzwerk-Knoten Unix-Knoten Windows- Eventlog WMI SSH-Client zu Eventlog Eine detailliertere Ansicht des Serverknotens ist in 2 dargestellt. WMI SNMP SSH 72

3 üblich. Dies wäre normalerweise ein kritisches Anzeichen für einen Eindringling, der sich Zugang zu einem Benutzerkonto verschafft hat. In diesem speziellen Fall ist der Prozessbediener jedoch in der Lage, das Auf tauchen des zusätzlichen Benutzers in seinem Über wachungssystem sofort mit der Tatsache in Verbindung zu bringen, dass kurz zuvor ein Techniker die Leitwarte betreten hat, um Wartungsarbeiten durchzuführen. Diese Art der Plausibilitätsprüfung lässt sich unmöglich in einem vollautomatischen System codieren, und die daraus resultierenden Fehlalarme sind einer der Hauptgründe für den schlechten Ruf automatischer IDS [3]. Die Vision von ABB besteht darin, dem Bedienpersonal Werkzeuge und Verfahren an die Hand zu geben, die es ihm ermöglichen, IT-sprobleme ähnlich wie Prozessabweichungen zu behandeln [4]. Dies erfordert folgende Vor aussetzungen: Informationen zur IT- müssen dem Bediener im Rahmen seiner normalen prozessbezogenen Arbeitsumgebung dargestellt werden. Die Informationen müssen auf die gleiche Weise dargestellt werden, wie es der Bediener von der Prozessüberwachung her gewohnt ist. Dazu gehören Prozessgrafiken, Farben, Symbole, Zahlen und Trend anzeigen. Meldungen in kryptischer Hacker- Terminologie sollten vermieden werden. Der Prozessbediener sollte keine speziellen Kenntnisse über IT oder 3 Übersicht über das IT-Netzwerk in 800xA Security Workplace IT- benötigen, um einen Angriff zu erkennen und sinnvoll darauf zu reagieren. Mögliche Reaktionen wären die Trennung des Automatisierungssystems von externen Verbindungen, die Aktivierung vordefinierter Netzwerkinseln innerhalb des Automatisierungssystems, das Einleiten einer Schwachstellenprüfung, das Sammeln zusätzlicher Daten gemäß vordefinierter Verfahrensweisen oder das Anfordern der Hilfe von Fachleuten. Ausgehend von diesen Anforderungen hat ABB eine Lösung zur Überwachung und Visualisierung der und des Zustands von Prozessleitsystemen auf der Basis des System 800xA-Frameworks entwickelt: den System 800xA Security Workplace. System 800xA Security Workplace Die Systemarchitektur des System 800xA Security Workplace besteht aus mehreren Faceplates und Skripts, die im laufenden Betrieb in das System 800xA geladen werden. Der Security Workplace nutzt somit die Basisbibliotheken und das Framework des System 800xA. Dies zeigt, wie die hohe Flexibilität und Integrationsfähigkeit der System 800xA-Architektur auch für solch spezielle Zwecke wie die süberwachung genutzt werden kann. Der 800xA Security Workplace nutzt Daten aus verschiedenen Quellen, auf die mit unterschiedlichen Technologien zugegriffen wird. 1 zeigt einen Überblick über die beteiligten Systeme und die Datenflüsse zwischen ihnen. Beim aktuellen Prototyp werden Daten von Windows-Knoten mithilfe von -Meldungen der Windows- Verwaltungsinstrumentierung (Windows Manage ment Instrumenta tion, WMI) erfasst. Der Zugriff auf die Daten von Netzwerkknoten (Firewalls, Switches oder Router) erfolgt über das Simple Network Management Protocol (SNMP) und -Meldungen. Die aktuelle Produkterweiterung beinhaltet keine Unix-Knoten, jedoch können diese einfach über SNMP, SSH oder - Meldungen abgefragt werden. Die Architektur des für den Zugriff auf die Daten von den verschiedenen Quellen erforderlichen 800xA-Serverknotens ist in 2 dargestellt. Der Zugriff erfolgt mithilfe von System 800xA Skrip- 4 Darstellung des Status eines Computersystems innerhalb des Netzwerks (aus 3 ) System: Zeigt die Art (Client oder Server) und den Gesamtstatus des Systems. Ein rotes Symbol bedeutet, dass ein kritischer Wert (z. B. der Status der Antivirus-Software) vom gewünschten Zustand abweicht. Netzwerkauslastung: Zeigt die Auslastung der Netzwerkschnittstelle. Dateiintegrität: Zeigt den Integritätsstatus bestimmter Dateien, d. h. ob sie verändert wurden. Antivirus-Status: Zeigt, ob der Antivirus- Prozess läuft und die On-Access-Scanfunktion aktiviert ist. Speicher- und CPU-Auslastung: Zeigt den Verlauf der Auslastung von CPU und Arbeitsspeicher. 73

4 nung ähnelt der Security Workplace einem gängigen 800xA-Arbeitsplatz mit Standardelementen wie Faceplates, Trendanzeigen oder Alarmlisten. Die nahtlose Integration in die vertraute Arbeits umgebung fördert die Akzeptanz der Bediener, statt mit einer neuen Benutzer oberfläche zu verwirren, wie es bei Überwachungssoftware von externen Anbietern häufig der Fall ist. 3 zeigt den Security Workplace für ein Demonstrationssystem, das aus einem Prozesssteuerungsnetzwerk (Process Control Network, PCN), einer entmilitarisierten Zone (De-Militarized Zone, DMZ) und einem externen, unsicheren Netzwerk (z. B. das Internet oder ein Unternehmensnetzwerk) besteht. Die einzelnen Zonen sind durch Firewalls voneinander getrennt, und das PCN und die DMZ verfügen über verwaltete Switches (Managed Switches) zur Anbindung der verschiedenen Knoten. Die DMZ enthält einen Proxyserver, der das PCN mit der Außenwelt verbindet. Das PCN beinhaltet vier verschiedene Windows-Systeme, einen 800xA Aspect Server, einen 800xA Aspect Optimization Server, einen Windows Domain Server und einen 800xA-Bedienerarbeitsplatz (Operator Workplace). Die Darstellung des IT-Systems innerhalb des Security Workplace gleicht dem tatsächlichen Aufbau, um dem Bediener die Orientierung zu erleichtern. Bei größeren Systemen, die nicht auf einen einzigen Bildschirm passen, kann das Netzwerk wie bei komplexen Prozessdarstellungen üblich mit unterschiedlicher Detaillierung auf verschiedenen Displays angezeigt werden. Für Systeme auf Microsoft Windows- Basis wird in der Übersicht des 800xA Security Workplace eine Zusammenfassung des Systemzustands angezeigt. Ein Beispiel für eine solche Systemdarstellung mit Erläuterungen der wichtigsten Informationen ist in 4 dargestellt. Darüber hinaus werden in der Übersicht des 800xA Security Workplace sämtliche Netzwerkgeräte mit grundlegenden Inten (PC, Network and Software Monitoring), die als Schnittstellen zu den verschiedenen Datenquellen fungieren 1). PNSM umfasst eine Reihe von Funktionen zur Überwachung der Hostrechner und Netzwerkelemente in einem Automatisierungsnetzwerk und fungiert als Rückgrat des Security Workplace. Die Software enthält eine vorkonfigurierte Bibliothek von IT-Assets für häufig verwendete industrielle Geräte und System prozesse. Über PNSM können Daten aus dem gesamten IT-System (von Netzwerkgeräten wie Firewalls und Switches, von Netzwerkabschnitten und von mit dem Netzwerk verbundenen Computersystemen) in den Security Workplace eingebunden werden. Bei den erfassten Daten handelt es sich um allgemeine IT-Daten wie die CPU-Last und sicherheitsspezifische Daten wie Informationen zur Installation von Viren schutzprogrammen. Einige dieser eher sicherheitsbezogenen IT-Assets und Informationsquellen wurden eigens für den Security Workplace hinzugefügt. Die einfache Integration von Informationsquellen und das zunehmend autonome Verhalten einzelner Komponenten wird über kurz oder lang zur Implementierung eines vollständig automatisierten und gesicherten Anlagenmanagements führen [5]. Bedienerperspektive Der Security Workplace wurde für die Benutzung durch normale 800xA-Bediener ausgelegt, d. h. für Personen, die nicht notwendigerweise über tiefgehende Kenntnisse in IT-, -Netzwerken und -Systemen verfügen. Da die angezeigten Daten auch ohne Fachwissen interpretierbar sein sollten, ist es die Aufgabe des Security Workplace, Anzeichen für mögliche Angriffe entsprechend hervorzuheben. Eine genaue Bestimmung der Art des Angriffs oder eine Reaktion auf mögliche Angriffe aus dem Framework des Security Workplace heraus ist dabei nicht vorgesehen. In seinem Aussehen und in der Bedie- formationen zu den einzelnen Geräten (Art des Geräts, IP-Adresse, Name und Status der Ports) angezeigt. 5 zeigt die Darstellungen einer Firewall (links) und eines Routers mit Firewall-Funktionalität (rechts). Die Firewall verfügt über zwei Ports, die beide verbunden sind. Der Router verfügt über einen Port für das externe und sechs Ports für das interne Netzwerk, von denen drei verbunden sind. Verschiedene Farben geben den Status der Ports an: grün = korrekt verbunden, grau = korrekt getrennt, rot = falsch konfiguriert, d. h. fälschlicherweise verbunden oder getrennt. Darüber hinaus liefert der Security Workplace Informationen über die Netzwerkauslastung an verschiedenen Verbindungen. Anhand kleiner Trendanzeigen wird z. B. die Menge der von einem Netzwerkgerät empfangenen und gesendeten Daten bzw. die Anzahl der verworfenen Datenpakete angezeigt 6. Alle in der Übersicht angezeigten Symbole sind mit Faceplates verknüpft, die weitere Informationen enthalten. Im Fall von Netzwerkgeräten werden hier zum Beispiel die Netzwerkauslastung an allen Schnittstellen sowie die Anzahl der empfangenen, gesendeten, verworfenen oder fehlerhaften Pakete in Form von Trendanzeigen dargestellt. Bei Micro soft Windows-Systemen enthalten diese Faceplates detaillierte Informationen über das Betriebssystem (z. B. Version, installiertes Service Pack), die aktiven Sitzungen, den Status der laufenden Threads sowie Trendanzeigen der CPU- Auslastung, Speicherauslastung und Thread aktivität. Fußnote 1) Die verschiedenen Datenzugriffsmethoden sind in der technischen Dokumentation genauer beschrieben. 6 Darstellungen der Netzwerkauslastung (grün: empfangene Daten, gelb: gesendete Daten) 5 Darstellungen der Firewalls und deren Status in der Netzwerkübersicht 3 a b 74

5 Erkennung einer Unregelmäßigkeit Wie bereits erwähnt, wurde der Security Workplace dazu konzipiert, Anzeichen für Angriffe zu erkennen und den Bediener zu alarmieren. Ein wichtiger Teil der Angriffserkennung ist die Definition des normalen Systemzustands. Dazu ermöglicht der Security Workplace die Festlegung verschiedener Schwellwerte, bei deren Überschreiten ein Alarm ausgelöst wird ganz so wie bei der normalen Prozessüberwachung. Im Gegensatz zu anderen IDS sind diese Grenzwerte jedoch nicht vorgegeben, sodass der Bediener selbst entscheiden kann, was normal ist und was nicht. So wird die Netzwerkauslastung zum Beispiel kontinuierlich überwacht und 7 Möglicher Angriff auf eine Firewall 8 Darstellung eines Switches mit einer unerlaubten Portnutzung (rot) 9 Darstellung eines Windows-Systems mit deaktiviertem Virenschutz bei einem plötzlichen Anstieg des Daten verkehrs ein Alarm ausgelöst. Abweichungen von der normalen Netzwerkauslastung können auf ein sproblem hindeuten, z. B. ein Scannen des Netzwerks oder den Versuch eines Malware-Programms, Daten zu senden. 7 zeigt ein Beispiel für einen unnormalen und einseitigen Datenverkehr an einer Firewall, d. h. es fließen nur Daten zur Firewall hin und nicht von ihr weg. Zusätzlich hat die Netzwerkauslastung den Schwellwert überschritten (erkennbar am Ausrufezeichen), und einige Datenpakete waren fehlerhaft (erkennbar an der roten Linie im Diagramm). Die Tatsache, dass an beiden Schnittstellen fast keine Daten von der Firewall gesendet werden, deutet darauf hin, dass entweder die Firewall gescannt wird oder jemand versucht, Daten an das PCN zu senden, die von der Firewall blockiert werden. Beides wären eindeutige Zeichen für einen Angriff. Es ist jedoch auch möglich, dass ein Techniker eine Datei (z. B. eine neue Firmware) auf die Firewall lädt und somit den abnormalen Datenverkehr hervorruft, was allerdings angesichts der hohen Zahl fehlerhafter Pakete eher unwahrscheinlich ist. Während die in 7 gezeigten Informationen Aufschluss über die Art des Angriffs geben, ist der Ursprung des Angriffs weiter unklar. Diese Information kann an einer anderen Stelle des Security Workplace entnommen werden: 8 zeigt den Netzwerk-Switch innerhalb der DMZ, der auch mit der externen Schnittstelle der Firewall verbunden ist. Kurz vor dem Angriff begann der rechte äußere Port in der Abbildung, rot zu blinken. Das bedeutet, dass ein Gerät (z. B. ein Laptop) mit diesem Port verbunden wurde, obwohl dort nichts angeschlossen sein sollte. Diese Information in Verbindung mit dem Wissen, dass zurzeit ein Techniker Arbeiten am DMZ-Netzwerk ausführt, bringt den Bediener zu dem Schluss, dass die Unregelmäßigkeit vom Laptop des Technikers hervorgerufen wird. Dies kann bedeuten, dass der Techniker tatsächlich die Firmware der Firewall aktualisiert oder dass der Laptop des Technikers z. B. mit einem Wurm infiziert ist, der nun versucht, sich durch die Firewall hindurch zu verbreiten. 9 zeigt ein anderes Szenario. Das überwachte Windows-System arbeitet mit abgeschaltetem Virenschutz, und die CPU-Last ist sehr hoch. Bei aktiviertem Virenschutz wäre sofort ein Alarm ausgelöst worden. Ähnlich wie beim vorherigen Szenario weiß der Bediener möglicherweise mehr über die Situation (z. B. dass jemand an diesem Gerät ein Softwareupdate durchführt) und ist somit in der Lage, das Ereignis zu beurteilen. Allerdings sollte die Virenschutzsoftware normalerweise niemals deaktiviert werden, womit dieses Szenario unabhängig von den Umständen grundsätzlich als svorfall einzu stufen ist. Der System 800xA Security Workplace und die entsprechenden Integrationsdienste sind über ABB Consault IT Security Consulting Services erhältlich. Bitte wenden Sie sich an Rolf Vahldieck (rolf.vahldieck@ch.abb.com) oder die anderen Autoren dieses Artikels. Markus Brändle Thomas E. Koch Martin Naedele ABB Corporate Research Baden-Dättwil, Schweiz markus.braendle@ch.abb.com thomas.koch@ch.abb.com martin.naedele@ch.abb.com Rolf Vahldieck ABB Automation GmbH Minden, Deutschland rolf.vahldieck@de.abb.com Literaturhinweise [1] Naedele, M.: Addressing IT Security for Critical Control Systems, 40 th Hawaii International Conference on System Sciences (HICSS-40), Hawaii, Januar 2007 [2] (November 2007) [3] IDS is dead, Gartner, 2003 [4] Naedele, M., Biderbost, O.: Human-Assisted Intrusion Detection for Process Control Systems, 2 nd International Conference on Applied Cryptography and Network Security (ACNS), Tunxi/Huangshan, China, Juni 2004 [5] Koch, T. E., Gelle, E., Ungar, R., Hårsta, J., Tingle, L.: Autonome Automatisierungssysteme, ABB Technik 1/2005, S Weiterführende Literatur Naedele, M., Dzung, D., Vahldieck, R., Oyen, D.: von industriellen Informationssystemen (Tutorial in drei Teilen), Teil 1: ABB Technik 2/2005, S , Teil 2: 3/2005, S , Teil 3: 4/2005, S