Maßnahmen für mehr Sicherheit bei ICS-Systemen

Transkript

1 Maßnahmen für mehr Sicherheit bei ICS-Systemen Autor: Paul Ferguson, Advanced Threats Researcher bei Trend Micro Trend Micro Whitepaper Februar 2012

2 Inhaltsverzeichnis Einleitung...3 Diskussion...4 Wichtige Elemente der ICS-Sicherheitsarchitektur...5 Verkehrsfl uss: Zugangskontrolle...7 Schlussfolgerung...9 Trend Micro Whitepaper Maßnahmen für mehr Sicherheit bei ICS- Systemen Seite 2

3 EINLEITUNG ICS-Systeme (Industrial Control Systems) [1] werden als Netzwerke oder Sammlungen von Netzwerken definiert, die aus Elementen für die Bereitstellung und Kontrolle von Telemetriedaten zu elektromechanischen Komponenten wie Ventilen, Reglern, Switches oder anderen elektromechanischen Geräten bestehen. Sie werden vor allem in Industriezweigen wie der Öl- und Gasproduktion, in der Wasserwirtschaft, in Umgebungskontrollsystemen, Elektrizitätswerken, in der Fertigung, im Transportwesen und vielen anderen Industriekonfigurationen verwendet. Allen ICS-Umgebungen ist gemeinsam, dass sie nicht-traditionelle IT-Netzwerke darstellen und auch nicht als solche behandelt werden sollten. Durch ihre Einzigartigkeit haben sie die gleichen Sicherheitsanfor- derungen, die wegen der Interaktion der ICS-Elemente mit physischen Industriekomponenten noch verstärkt werden. Ist keine geeignete Kontrolle über diese Elemente vorhanden, kann es zu Unfällen mit katastrophalen Auswirkungen kommen. Deshalb werden viele dieser Industriesysteme auch als kritische Infrastruktur einge stuft, die einer speziellen Sicherheitsarchitektur bedarf. SCADA-Netzwerke [2] (SCADA = Supervisory Control and Data Acquisition) stellen die Netzwerkschicht dar, welche als direkte Schnittstelle zu den ICS-Netzwerken und den Host-Systemen fungiert, welche die ICS-Elemente über wachen und kontrollieren. Bislang lebten die ICS-/SCADA-Netzwerke in einer eigenen Welt proprie tärer Protokolle auf speziellen Plattformen und einer darauf zugeschnittenen Kommunikationsinfrastruktur. Sie waren von anderen Netzwerken einschließlich Internet vollkommen abgeschnitten. Doch nun wird immer häu figer Standard-Hard- und Software (beispielsweise Microsoft Windows) eingesetzt, und sie sind mit externen Netzwerken verbunden. Damit aber sind sie auch den aus der IT bekannten Gefahren ausgesetzt. Dieser Forschungsbericht stellt dar, welche Elemente in puncto Sicherheit in jedes ICS-Netzwerk integriert sein müs sen. Des Weiteren gibt der Autor Best-Practice-Empfehlungen für die Integration mit SCADA- und vorhandenen Netzwerken und er zeigt auf, warum jede Komponente in der vorgeschlage nen Architektur vorhanden sein muss, welche Bedeutung sie hat und was die Beweggründe dafür sind. [1] [2] Trend Micro Whitepaper Maßnahmen für mehr Sicherheit bei ICS- Systemen Seite 3

4 DISKUSSION Als erstes steht das Konzept eines so genannten Air-Gap (Luftspalte oder Luftpolster) [3] zur Diskussion. Es bezeichnet die physische Trennung von Systemen oder Netzwerken, so dass jede mögliche Verbindung eines bestimmten Netzwerks mit jedem anderen (beispielsweise die ICS- und SCADA-Netzwerke) verhindert wird Dahinter steckt der Gedanke, es Angreifern durch die physische Isolierung eines Netzwerks unmöglich zu machen, auf diese Assets zuzugreifen beziehungsweise ihnen zumindest die meisten Möglichkeiten dazu zu rauben. Die Gefahr, die von innen heraus ausgeht, bleibt erhalten, beispielsweise, wenn ein Mitarbeiter oder ein anderer Insider absichtlich oder unabsichtlich einen Sicherheitsvorfall verursacht, etwa über ein USB-Laufwerk Malware einschleust oder einen Datendiebstahl begeht. Dennoch leistet der Aufbau eines solchen Luftpols ters einen bedeutenden Beitrag zur Vermeidung von Sicherheitsrisiken für ICS- und SCADA-Netzwerke. Vom praktischen und betrieblichen Standpunkt jedoch ist die physische Trennung der Netzwerke kaum realisierbar. Eric Byres [4] argumentiert, dass bestimmte betriebliche Funktionen und Luftpolster nicht umsetzbar sind, weil etwa Abrechnungssysteme, Fernmessungen oder organisatorische Funktionen darauf bauen, auf Daten und Systeme zugreifen zu können, die Schnittstellen zu ICS- und SCADA-Netzwerken haben. Daher gilt es auch hier, wie bei allen anderen Netzwerk- und Betriebssicherheitspraktiken, zu versuchen, die Risiken zu minimieren und ein konsistentes Monitoring aufzubauen. Darüber hinaus muss eine möglichst optimale ICS-Sicherheitsarchitektur [5] vorhanden sein. Auch sollte nicht vergessen werden, dass viele ICS-Netzwerke drahtlose Verbindungsmöglichkeiten zwischen den eingesetzten Peripheriekomponenten nutzen. Diese erleichtern erheblich den Einsatz von großen Strom- oder Gasverteilernetzwerken sowie auch von weiteren ICS- und verteilten Kontrollsystemkomponenten [6] Auf der ande ren Seite schwächen diese Fähigkeiten das Ziel der Luftpolsterelemente, denn die Sicherheit muss jede drahtlose Komponente als für die Öffentlichkeit zugänglich behandeln. Drahtlose Kommunikationssysteme sollten die höchst mögliche Verschlüsselung nutzen, damit das Abhören, die Manipulation der Daten unterwegs sowie bösartige Dateneinschleusung unterbunden wird. [3] [4] [5] [6] [7] [8] Trend Micro Whitepaper Maßnahmen für mehr Sicherheit bei ICS- Systemen Seite 4

5 WICHTIGE ELEMENTE DER ICS-SICHERHEITSARCHITEKTUR Striktes Patch-Management Netzwerksegmentierung Authentifi zierungsvielfalt Anwendungskontrolle oder Whitelisting Sicherheitsinformations- und Ereignismanagement mit Logs und Alerts (Security Information and Event Management SIEM) Intrusion-Detection-Systeme (IDS) Die strenge und zeitnahe Handhabung der Software-Patches für bekannte Sicherheitslücken ist von kritischer Bedeutung, denn die Zahl der Exploits für bestimmte ICS- und SCADA-Plattformen steigt stetig. Nicht nur das Betriebssystem, sondern jedes Softwarepaket, das auf einem Gerät läuft (einschließlich Netzwerkmanagement- Plattformen, Router, Switches, Firewalls, Intrusion-Detection-Systemen usw.), muss beim Patch-Management berücksichtigt werden. Cyberkriminelle nutzen auch die Sicherheitslücken in der Software von Drittanbietern immer häufi ger für ihre Angriffe. Deshalb müssen auch die Patches für diese Pakete schnell aufgebracht werden. Einer der wichtigsten Aspekte für die ICS-Sicherheit stellt die optimale Segmentierung der Netzwerke, Betriebsfunktionen und Einzelelemente dar. Eigentlich ist es der Grundpfeiler der Sicherheitsarchitektur. [7] Wird dieser Pfeiler entfernt, so fällt das Gebäude in sich zusammen, denn der Erfolg aller anderen Sicherheitselemente baut darauf auf. Weitere Elemente sind ebenfalls eng mit der Segmentierung verbunden, einschließlich Authentifi zierung, Log-Management und -Analyse, Anwendungskontrolle, Netzwerkzugangskontrolle und andere. Wichtig ist zudem die die Abgrenzung zwischen der ICS-Netzwerk-Cloud und der SCADA-Funktionalität, denn ihre funktionalen Rollen unterscheiden sich deutlich. Das ICS-Netzwerk besteht vor allem aus programmierbaren Logik-Controllern (PLC) [8] und weiteren DCS-Elementen (DCS = Distributed Control System). Das SCADA-Netzwerk wiederum bildet eine Brücke zwischen den ICS- sowie DCS-elektromechanischen Sensoren und den Managementsystemen, die für das Monitoring und die Kontrolle deren Betrieb erforderlich sind. Abbildung 1: Segmentierung: Trennung der Funktionalitäten Trend Micro Whitepaper Maßnahmen für mehr Sicherheit bei ICS- Systemen Seite 5

6 Abbildung 1 zeigt, dass die Architektur die Funktionalität in getrennten logischen Einheiten vorhalten sollte. Die unternehmensweite organisatorische Cloud hat idealerweise nie direkte Schnittstellen zu SCADA-Netzwerkelementen. Dafür empfiehlt sich ein separates umgrenzendes Netzwerk, etwa ein DMZ-Management-Netzwerk [9] als zusätzliche Segmentierungsschicht. Deren zusätzliche Sicherheitsfunktionen können die Angriffsfläche bedeutend verkleinern. Genauso wie in realen militärischen Konfliktzonen dient eine demilitarisierte Zone (DMZ) in der IT als Puffer zwischen feindlichen Umgebungen und den Gegenkräften. Ähnlich im DMZ-Management-Netzwerk, wo bestimmte Dienste gehostet werden und zwar weder im organisatorischen Unternehmensnetzwerk noch vollständig dem Internet ausgesetzt, doch von beiden aus zugänglich. Ziel eines solchen Netzwerks wie in der Abbildung 1 ist die Einführung einer Schicht in die Netzwerkarchitektur, die es ermöglicht, verschiedene Sicherheitsmechanismen anzubringen. Diese Mechanismen sollen Angriffe von außen, unabsichtliche interne Netzwerkeinbrüche oder die Kompromittierung eines Netzwerks vereiteln und Adminis tratoren kurzfristig benachrichtigen, wenn es Versuche gibt, die Schutzmechanismen, die an verschiedenen Orten in der Architektur angebracht sind, zu umgehen. Auch können die Administratoren den Verkehrsfluss kontrollieren, wobei bestimmte Funktionen in einer festgelegten Reihenfolge das Handling und die Verarbeitung übernehmen. Abbildung 2: Anordnung der Netzwerkelemente [9] [10] Trend Micro Whitepaper Maßnahmen für mehr Sicherheit bei ICS- Systemen Seite 6

7 VERKEHRSFLUSS: ZUGANGSKONTROLLE In Abbildung 2 sind verschiedene Elemente hinzugekommen, obwohl es allein um das Gerät zwischen den SCADA- und DMZ-Management-Netzwerken geht. Wie bereits erwähnt, empfi ehlt sich ein separates umgrenzendes Netzwerk, etwa ein DMZ-Management-Netzwerk [9] als zusätzliche Segmentierungsschicht. Besagtes Gerät dient als spezialisierte Firewall, die den Verkehr lediglich in eine Richtung durchlässt, auch als digitale Diode oder unidirektionale Firewall bekannt. Eine digitale Diode ist ein Spezialgerät, das die Ausbreitung optischen Lichts lediglich in einer Richtung erlaubt. Diese Geräte erfreuen sich dank dieser spezialisierten Funktionalität einer gewissen Beliebtheit in der ICS-Netzwerk-Gemeinde, stellt Dale Peterson in seinem Blog [10] fest. Die Diskussion um charakteristische Elemente in einer ICS-Architektur und die Verkehrskontrolleigenschaften einer digitalen Diode ist auch deshalb wichtig, weil es keines weiteren Kontrollgeräts darin bedarf. Firewalls können anderswo im Unternehmensnetzwerk vorhanden sein, doch sollte kein weiteres Gerät existieren, das den Informationsfl uss im ICS-Netzwerk behindert. Eine Firewall könnte auch als Ersatz für eine digitale Diode dienen, falls bidirektionaler Verkehr gewünscht oder gefordert wird. Der Grund dafür ist einfach der, dass die Behinderung des Verkehrsfl usses in einer ICS-Umgebung schlimmere Auswirkungen haben kann als ein von außen kommender Sicherheitsvorfall. ICS-Elemente benötigen sofortige Verkehrsverbindungen, sodass jeder Versuch diesen Verkehr zu behindern, ein Sicherheitsrisiko darstellt und somit kontraproduktiv ist. Eine unerlässliche Anforderung für die Kontrolle des Verkehrsfl usses ist es, den Verkehr nur zwischen Geräten zuzulassen, die tatsächlich miteinander kommunizieren müssen. Das heißt, die unidirektionale Firewall sollte so aufgesetzt sein, dass sie den Verkehrsfl uss von Geräten erlaubt, die dazu autorisiert sind, während alle anderen dafür gesperrt werden. Auch bedarf es einer Firewall zwischen den DMZ-Management- und den Unternehmens-Organisationsnetzwerken. Damit lässt sich der Zugang von autorisiertem Verkehr zu den ICS-Komponenten in der Architektur kontrollieren. Eine weitere Schlüsselkomponente für die Sicherheit ist die Authentifi zierung. Hier ist es von kritischer Bedeutung, eine Trennung der Authentifi zierungsinfrastruktur zwischen den Systemen in den organisatorischen Netzwerken des Unternehmens und denen, die Verbindung zu SCADA oder ICS-Netzwerken haben, zu bewerkstelligen. Der Grund: Ist ein Konto im organisatorischen Netzwerk kompromittiert, so können sich die Angreifer mit den infi zierten Zugangsdaten einen nicht autorisierten Zugriff auf die Ressourcen im SCADA- oder ICS-Netzwerk verschaffen. Werden jedoch die Zugangsdaten in unterschiedlichen Datenbanken vorgehalten, so kann ein kompromittiertes Konto in einer Datenbank keinen Einfl uss auf die Konten in einer anderen Datenbank haben. Dies setzt natürlich voraus, dass es entsprechende Kennwortregeln und komplexe Policies gibt. Um sehr robuste Sicherheit für ein ICS-Netzwerk zu erhalten, käme auch ein vollständig separates und verteiltes Authentifi zierungssystem in Betracht. Dieses umfasst im Idealfall die Nutzung von Mehrfaktor-Authentifi zierung. Auch kritische Operationen profi tieren von der Aufstellung von Anforderungen für eine Mehrfaktor-Authentifi zierung. Das Anwendungs-Whitelisting stellt einen weiteren Kontrollmechanismus dar, der für spezielle Plattformen wie HMI-Stationen (HMI = Human Management Interface) überlegt sein will. Whitelisting-Softwareprogramme für Anwendungen sind darauf zugeschnitten, lediglich die Ausführung von vorautorisierten Programmen zu erlauben. Trend Micro Whitepaper Maßnahmen für mehr Sicherheit bei ICS- Systemen Seite 7

8 Im Falle einer Kompromittierung sollte das Whitelisting die Ausführung von bösartiger Software, von Malware oder Trojanern, welche die Sicherheit eines Systems auszuhebeln versuchen, unterbinden. Whitelisting verhindert auch, dass böswilliges oder unaufmerksames Nutzerverhalten Systeme zur Zielscheibe von Angriffen macht, indem nicht autorisierte Programme oder sonstige Software, die Malware einschleusen könnte, eingeführt wird. Andererseits kompliziert oder erschwert Anwendungs-Whitelisting möglicherweise das Patch Management oder den Prozess des Aufbringens von Patches. Dies sollten Unternehmen berücksichtigen. SIEM-Lösungen bestehen aus einer Kombination aus den ehedem getrennten Produktkategorien Security Information Management (SIM) und Security Event Management (SEM). Die Technik liefert Echtzeit-Analysen von Sicherheits-Alerts, welche die Netzwerk-Hardware und die Anwendungen generiert haben. SIEM-Lösungen gibt es als Softwareprogramme, Appliances oder Managed Services, und sie werden dazu genutzt, um Sicherheitsdaten zu loggen und Reports für Compliance-Zwecke zu generieren. [11] Dabei werden Logs und Alerts von praktisch allen Plattformen und Geräten auf eine einzige Plattform exportiert, wo die Software sie in Echtzeit analysiert. Das Ziel ist, verdächtiges Verhalten im Netzwerk aufzuspüren und besser zu verstehen. Dazu gehören Authentifi zierungsfehler, Verstöße gegen die Firewall-Regeln, Zugriffs-Logs, IDS-Logs oder jede andere Art von Informationen, die dazu beitragen, ein umfassendes Bild von Netzwerkereignissen, Verkehrsfl usskontrolle, Zugangsübertretungen usw. zu erhalten. SIEM-Analysen innerhalb der Grenzen des ICS- oder SCADA-Netzwerks sollten sehr gradlinig oder sogar einfacher als in herkömmlichen Netzwerken gehalten sein, weil die Verkehrsmuster bekannt und nicht so chaotisch sind wie in einem traditionellen Netzwerk. Diese bekannten Muster sollten im Voraus feststehen, denn normaler Verkehr in dem ICS-Netzwerk weicht nur selten davon ab. Jede Abweichung aber zeigt schnell nicht normales Verhalten oder nicht autorisierten Verkehr beziehungsweise Ereignisse. Ein IDS-System (Intrusion Detection System) [12] ist ein integraler und manchen Experten zufolge verpflichtender Bestandteil jeder guten Netzwerksicherheit. Damit kann ein Netzwerkadministrator vorkonfigurierte Muster verwenden, um bösartige Verkehrsmuster aufzuspüren und Alerts zu erzeugen, die Übertretungen der Konfigurationsrichtlinie anzeigen. Diese Übertretungen, der entdeckte bösartige Verkehr und weitere Alerts können auch in die SIEM-Plattform exportiert werden, um hier weiter verarbeitet zu werden. Die Zahl und die Anordnung von IDS-Netzwerken hängen sehr stark vom gewünschten Sicherheitsniveau ab. Zumindest sollte eines an der Grenze zwischen dem Organisationsnetzwerk des Unternehmens und dem DMZ- Management-Netzwerk verwendet werden. Zusätzlich lassen sich weitere IDS-Netzwerke mit jeweils entsprechenden Regeln und spezifi schen ICS-Signaturen an weiteren Grenzen in der Architektur aufsetzen. [11] [12] Trend Micro Whitepaper Maßnahmen für mehr Sicherheit bei ICS- Systemen Seite 8

9 SCHLUSSFOLGERUNG Der Einsatz einer Antivirus-Software ist in diesen Ausführungen nicht erwähnt worden. Die Entscheidung darüber muss jede einzelne Organisation selbst treffen, und in den meisten Fällen ist eine solche Schutzmaßnahme Pfl icht und wird durch weitere Richtlinien geregelt. Den Verantwortlichen sollte auch bewusst sein, dass Antivirus-Software und Anwendungs-Whitelisting einander unter Umständen gegenseitig behindern und dass in der Praxis die korrekte Implementierung von Anwendungs-Whitelisting den Einsatz einer Antivirus-Software überfl üssig machen kann. Wie bereits erwähnt, ist die komplette Isolierung, also keine Verbindung zu externen Netzwerken, die ideale Situation für jedes ICS-Netzwerk. Doch der alltägliche Geschäftsbetrieb erlaubt diesen Luxus meist nicht. Die Architektur der Zusammenarbeit von ICS-Netzwerken mit den anderen Komponenten des Unternehmensnetzwerks ist der Schlüssel zur Sicherheit. Für den Schutz sensibler ICS-Netzwerke bedarf es einer geeigneten Segmentierung des Verkehrsfl usses, der restriktiven Zugangskontrolle und Authentifi zierung, der Analyse von Verkehrs- und Alert-Logs sowie der Benachrichtigungen. Keine dieser Komponenten stellt allein eine Wunderwaffe dar. Doch zusammen können diese Schritte einen substanziellen Beitrag für eine verbesserte Sicherheit jedes ICS-Netzwerks leisten. Trend Micro Whitepaper Maßnahmen für mehr Sicherheit bei ICS- Systemen Seite 9

10 Über Trend Micro Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet- Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing- Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an. Weitere Informationen zu Trend Micro sind verfügbar unter Ihr kostenfreier Kontakt zu Trend Micro: D: oder AT: oder CH: oder TREND MICRO Deutschland GmbH Central & Eastern Europe Zeppelinstraße Hallbergmoos Tel: Fax: Trend Micro (Schweiz) GmbH Schaffhauserstrasse 104 CH-8152 Glattbrugg Tel: Fax: Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer. Trend Micro Whitepaper Maßnahmen für mehr Sicherheit bei ICS- Systemen