Unabhängige Prüfung ganzheitliche Optimierung

Transkript

1

2 Unabhängige Prüfung ganzheitliche Optimierung SCHUTZWERK ist Ihr Partner für die unabhängige Prüfung und ganzheitliche Optimierung aller Aspekte der Informations- und ITSicherheit in Ihrem Unternehmen. 2 /37

3 Inhalt 1 Einleitung 2 Vorgehensweise der Angreifer 3 Maßnahmen 4 Fazit 3 /37

4 Inhalt 1 Einleitung 2 Vorgehensweise der Angreifer 3 Maßnahmen 4 Fazit 4 /37

5 Einleitung Begriffsdefinition (1) Zielgerichteter Angriff > Engl. Targeted Attacks verfolgen grundsätzlich ein bestimmtes Ziel > Die Unterschiede zu einem gestreuten Angriff liegen im Wesentlichen in der Vorgehensweise sowie Auswahl der Zielsysteme Abgrenzung Gestreute Angriffe - automatisiert - großer Bereich an Zielsystemen - hohe Abdeckung Zielgerichtete Angriffe - weitestgehend manuell - dedizierte Zielsysteme - Sammlung von Informationen im Vorfeld über das Zielsystem - Spezifische Anpassung von z.b. Schadcode für das Zielsystem 5 /37

6 Einleitung Begriffsdefinition (2) Kritische IT-Infrastrukturen von Energieversorgern > Netzwerkbereiche zur Steuerung/Regelung von Anlagen (z.b. Kraftwerke, dezentrale Anlagen oder Stromnetze) ICS - Industrial Control Systems > DCS: Distributed Control System - Prozessleitsystem (PLS) für verfahrenstechnische Anlagen > SCADA: Supervisory Control and Data Acquisition - Steuern und Überwachen technischer Prozesse mittels eines Computer-Systems > PLC: Programmable Logical Controller - Speicherprogrammierbare Steuerung (SPS) für Maschinen und Anlagen

7 Einleitung Vergangenheit Abgeschottete Systeme und Netzbereiche > Proprietäre Technologien (z.b. Übertragungsprotokolle) > Kommunikation via Feldbusse gemäß IEC (z.b. PROFIBUS oder Modbus-TCP) > Keine Vernetzung mit Fremdsystemen und -netzen strikte 7 /37

8 Einleitung Heute Zunehmende Vernetzung mit der Bürowelt > Verstärkte Kommunikation mit Systemen und Netzbereichen aus der Bürowelt > Zunehmende Abhängigkeit zu anderen Systemen, Netzen oder Diensten > Vermehrter Einsatz von Office-Protokollen (z.b. TCP und UDP) > Anbindung an das Internet strikte 8 /37

9 Einleitung Neues Bedrohungs- und Gefahrenpotenzial Systeme im ICS-Netz sind zunehmend den gleichen Gefahren ausgesetzt, wie IT-Systeme innerhalb des Büronetzes Folgende Gefahren/Bedrohungen sind dabei besonders relevant: > Missbrauch von Fernwartungszugängen > Ausnutzung von Fehlkonfigurationen oder bekannten Schwachstellen > Infektion mit Schadsoftware z.b. über das Internet > Social Engineering > etc. 9 /37

10 Einleitung Die Anzahl der identifizierten Schwachstellen für ICS ist seit 2010 sehr stark angestiegen1 1 Grafik: - auf Basis der Open-Source Vulnerability Database (OSVDB) Stand Ende /37

11 Einleitung Zahlreiche ICS sind über das Internet erreichbar (1) SHINE (SHodan INtelligence Extraction)1 > Sammeln von Informationen zu allen im Internet verfügbaren SCADA und ICS Geräten > Zeitraum: April Januar 2014 > Es wurden insgesamt ca. 2,2 Millionen Geräte identifiziert > Top 11 Hersteller /37

12 Einleitung Zahlreiche ICS sind über das Internet erreichbar (2) 1 Überblick von ICS über die ICSMap von Shodan /37

13 Einleitung Gezielte Angriffskampagnen gegen Energieversorgungsunternehmen Kampagnen im Zeitstrahl Stuxnet Night Dragon2 & Black Energy Dragonfly/ HAVEX/ Energetic Bear4 Sandworm5 & Variant of Black Energy Dragonfly_Threat_Against_Western_Energy_Suppliers.pdf /37

14 Einleitung Motivation zur Durchführung eines Zielgerichteten Angriffs Politisch & Finanziell > Schädigung/Lahmlegung von Regierungsorganisationen und Firmen > Industrie-/Wirtschaftsspionage > Schattenwirtschaft > Schädigung von Konkurrenzunternehmen > etc. 14 /37

15 Einleitung Angreifer Die zielgerichteten Angriffe gehen häufig aus von > ausländischen Nachrichtendiensten1, > Militäreinheiten2, > Hackergruppen (mit Regierungsauftrag3) oder > hochorganisierten Internet-Kriminellen 15 /37

16 Inhalt 1 Einleitung 2 Vorgehensweise der Angreifer 3 Maßnahmen 4 Fazit 16 /37

17 Vorgehensweise der Angreifer Die drei verschiedenen Phasen eines zielgerichteten Angriffs 17 /37

18 Vorgehensweise der Angreifer Phase 1: Vorbereitung Sammeln von Informationen (Information Gathering) 1 > Öffentlich verfügbare Informationsquellen Internet Websites des Unternehmens (Personen) Suchmaschine Schlüsselserver Social Media Online-Footprinting Auswertung von Metadaten > 18 /37

19 Vorgehensweise der Angreifer Phase 1: Vorbereitung Ausnutzen von menschlichen Eigenschaften/Verhaltensweisen zur Informationsgewinnung (Social Engineering) 1 > Abgrenzung menschlich / persönlich technisch - Ausgeben als Mitarbeiter oder autorisierter Benutzer (Impersonating) - Anruf beim technischen Support - Über die Schulter schauen (Shoulder Surfing) - An Mitarbeiter anhängen (Tailgating) - Anhänge ( Attachments) Gefälschte Webseiten (Fake Websites) Phishing Angriffe via Scam Angriffe via > Tools Social Engineering Toolkit (SET) 1 Praxisbeispiel /37

20 Vorgehensweise der Angreifer Phase 2: Initialer Angriff Perspektiven und Angriffsszenarien 2 > Intern Mutwillige Sabotage durch eigene Mitarbeiter etc. > Extern Physischer Zugriff auf geschützte Bereiche des Firmennetzwerks durch z.b. Social Engineering Angriff von ICS die direkt über das Internet erreichbar sind Einschleusen von Schadsoftware in das Firmennetzwerk über das Internet (z.b. Spear Fishing Angriffe) Zugriff über Fernwartungszugänge etc. 20 /37

21 Vorgehensweise der Angreifer Phase 2: Initialer Angriff Mit die häufigste initiale Angriffsvariante ist Spear Fishing 2 > Dragonfly - 1. Angriffswelle durch s mit manipulierter PDF-Datei > Sandworm - -Kampagne mit manipulierten PowerPoint-Dateien > Night Dragon - U.a. wurden s mit einer URL zu einem kompromittierten Webserver verschickt der den Schadcode verteilt Über den in der enthaltenen Schadcode wird versucht bekannte Schwachstellen beim Opfer auszunutzen > Dragonfly: Verschiedene Java und IE Exploits (z.b. CVE oder > > 21 /37

22 Vorgehensweise der Angreifer Phase 2: Initialer Angriff Eindringen in das Firmennetzwerk über das Einschleusen von Schadcode (Live Demonstration) 2 > Einbettung von schadhaftem Code in einer vertrauenswürdig aussehenden PDF-Datei und Versand per an das Opfer > Bereitstellung eines vertrauenswürdig aussehenden Links (z.b. via ), der das Opfer im Hintergrund auf die Webseite des Angreifers leitet > Folgende Herausforderungen stellen sich dabei dem Angreifer: Umgehung des Virenscanners auf -Server, Zielsystem etc. Finden von geöffneten Diensten vom Unternehmensnetzwerk ins Internet Identifikation der installierten Softwareversionsstände auf dem Zielsystem 22 /37

23 Vorgehensweise der Angreifer Phase 3: Weiterführende Angriffe innerhalb des Firmennetzwerks 3 Überblick über die Umgebung verschaffen > Wo befinde ich mich als Angreifer? > Was befindet sich um mich herum? 23 /37

24 Vorgehensweise der Angreifer Phase 3: Weiterführende Angriffe innerhalb des Firmennetzwerks 3 Identifikation interessanter Assets > Interessante Assets im Bereich des Büro-Netzes sind z.b.: Zentrale Systeme (DC, File Server, DB, Telefonanlage etc.) die Schwachstellen aufweisen oder Systeme deren Schwachstellen ohne großen Aufwand auszunutzen sind (z.b. MS08-067) > Interessante Assets im Bereich des ICS-Netzes sind z.b.: Zentrale Netzwerkkomponenten wie z.b. Firewalls und Router Steuerungs- und Regelungssystem die z.b. über Industrial Ethernet angesprochen werden verwenden bekannte Protokolle wie z.b.: 24 /37

25 Vorgehensweise der Angreifer Phase 3: Weiterführende Angriffe innerhalb des Firmennetzwerks 3 Zunehmende Anbindung von ICS-Netzen an Fremdnetze (z.b. BüroNetz) Dadurch lassen sich bekannte Schwachstellen in ICS-Netzen ausnutzen > Auslesen von Zugangsdaten > Unautorisierter/Unberechtigter Zugriff 25 /37

26 Vorgehensweise der Angreifer Phase 3: Weiterführende Angriffe innerhalb des Firmennetzwerks 3 Praxisbeispiel 1: Ausnutzung einer Schwachstelle in einem Ethernet TCP/IP Modul von Schneider Electric (140NOE77101)1 > Ethernet-Anbindung einer PLC > Backdoor mit Zugangsdaten für z.b. Telnet oder FTP > Über FTP ist es dadurch möglich das Passwort für die Web-GUI (HTTP) auszulesen > Dadurch erhält ein Angreifer Zugriff z.b. auf die Administrationsoberfläche 26 /37

27 Vorgehensweise der Angreifer Phase 3: Weiterführende Angriffe innerhalb des Firmennetzwerks 3 Praxisbeispiel 2: Ausnutzung einer Fehlkonfiguration eines im Internet verfügbaren Steuerungsmoduls für EEG-Anlagen > Firewall inaktiv aufgrund eines Fehlers beim Firmware-Update > Dienste wie z.b. HTTP und SSH waren im Internet frei erreichbar > Verwendung von Standardzugangsdaten möglich > Zugriff auf die Administrationsoberfläche der EEG Anlagensteuerung 27 /37

28 Inhalt 1 Einleitung 2 Vorgehensweise der Angreifer 3 Maßnahmen 4 Fazit 28 /37

29 Maßnahmen Gründe für die Verwundbarkeit von Systemen im ICS-Netz Aktualisierungen wie z.b. der Firmware sind wesentlich aufwändiger aufgrund der hohen Verfügbarkeit Aufgrund der längeren Lebensdauer entstehen weitreichendere Anforderungen an den Update-Support mit dem Hersteller Zusätzliche Softwarekomponenten zum Schutz der Systeme (z.b. Antivirus) sind häufig nicht möglich oder müssen durch den Hersteller explizit freigegeben werden 29 /37

30 Maßnahmen Grundsätzliche technische Maßnahmen zum Schutz von ICSs (1) Regelmäßig Aktualisierung der innerhalb von ICSs verwendeten Soft- und Firmware Änderung von Standardpasswörtern auf Basis einer vorab definierten Passwortrichtlinie (Passwortkomplexität, Passwortumgang etc.) Härtung der Systeme Einsatz von Antiviren-Software am Perimeter oder wichtigen Übergabepunkten (Netzschnittstellen) Rechtevergabe auf Basis des Least Privilege -Prinzips (ausschließlich notwendige Rechte) 30 /37

31 Maßnahmen Grundsätzliche technische Maßnahmen zum Schutz von ICSs (2) Wo möglich, Absicherung der Kommunikationswege durch z.b. Verschlüsselung des Datenverkehrs Fernzugriffe sind ausschließlich bei Bedarf freizuschalten Maximale Trennung zwischen ICS- und Fremdnetzen (z.b. Büro-LAN) Kontinuierliches Monitoring des ICS-Netzes auf z.b. ungewöhnliche Verbindungen Strikte Trennung zwischen Office-Tätigkeiten und Bedienertätigkeiten für Anlagensteuerungen (z.b. physikalisch getrennte Komponenten) etc. 31 /37

32 Maßnahmen Nachhaltige Sicherheit vor zielgerichteten Angriffen bedingt......eine Mehrstufigkeit der Sicherheitskonzepte......ausgehend von den Werten (Daten) und kritischen Geschäftsprozessen des Unternehmens... unter Einbeziehung des Menschen......in Verbindung mit Prozessen Fundament bildet der Informationssicherheitsmanagement-Prozess (auf Basis IT-Grundschutz bzw. ISO/IEC 27001) 32 /37

33 Maßnahmen Mehrstufigkeit der Sicherheitskonzepte (1) Daten / kritische Geschäftsprozesse des Unternehmens Sicher konzipierte und betriebene IT-Systeme (Härtung, Patchmm. etc.) Technische Sicherheitsvorkehrungen (Virenschutz, Firewall, Backup, RZSicherheit etc.) 2 Ebenen der IT-Sicherheit 1 Organisatorische Maßnahmen in der IT (Dokumentationsrichtlinien, Notfallplanung, Incident Management etc.) Übergreifende, organisatorische Maßnahmen (Arbeitsanweisungen für Mitarbeiter, Schulungen, Datenschutz etc.) Informationssicherheitsmanagement / Compliance / Revision 33 /37

34 Maßnahmen Mehrstufigkeit der Sicherheitskonzepte (2) 1 = Zu schützender Wert (Anforderung: Vertraulichkeit, Integrität und Verfügbarkeit Daten / Geschäftsprozesse als Kern der Informations- & IT-Sicherheit) = Technische und konzeptionelle Ebenen = Menschliche (personelle) und konzeptionelle Ebenen ( tragende Rolle der menschlichen Sicherheitsaspekte) 6 = Steuerungs- und Prüfungsebene (Informationssicherheitsmanagement als prozessbasiertes Fundament der Informationsund IT-Sicherheit) 34 /37

35 Inhalt 1 Einleitung 2 Vorgehensweise der Angreifer 3 Maßnahmen 4 Fazit 35 /37

36 Fazit In den letzten Jahren hat sich gezeigt, dass Energieversorger und deren Anlagensteuerung/-Regelungen (ICSs) vermehrt Angriffen ausgesetzt sind Ein häufiges Ziel der Angreifer sind Client-PCs, als Brückenkopf ins interne Netzwerk, um von dort aus weiter bis in ICS-Netze vorzudringen Durch die Kombination von verschiedenen Methoden (z.b. Trojanische Pferde in Kombination mit Social Engineering) kann ein Erfolg der Angriffe nie vollständig ausgeschlossen werden Fällt die erste Verteidigungslinie, ist die Qualität weiterer Sicherheitsmaßnahmen von entscheidender Bedeutung Nachhaltige Informations- und IT-Sicherheit im Unternehmensnetzwerk kann daher nur durch > eine Mehrstufigkeit der Sicherheitskonzepte > in Verbindung mit entsprechenden Prozessen (Organisation und Mensch) gewährleistet werden 36 /37

37