Archiv der Kategorie: Internet der Dinge

Smart Factory Honeypot zeigt mögliche ICS-Angriffe

Originalbeitrag von Ian Heritage

Die Welt wird immer smarter, und dazu gehören auch Fabriken und Industrieanlagen, die mit Internet-of-Things (IoT)-Systemen vernetzt werden, um so die Geschäftsprozesse zu verschlanken und die Produktivität zu steigern. Aber dieses Rennen um Innovation hat seinen Preis. Infolge der Konvergenz der Betriebstechnik (Operational Technology, OT) mit der IT entstehen Bedrohungen durch veraltete Kommunikationsprotokolle, IT-Silos und Hardware, die nicht für regelmäßiges Patching ausgelegt ist. Geht es um Bedrohungen der Industrie 4.0, so spricht man oft von ausgeklügelten, von Nationalstaaten unterstützten Versuchen, die Stromversorgung zu unterbrechen oder Produktionslinien zu sabotieren. Doch in der Praxis sind „alltägliche“ Angriffe ein größeres, unmittelbares Problem. Doch neben den Schutzmaßnahmen dagegen sollten Unternehmen den defensiven Maßnahmen Vorrang einräumen. Trend Micro hat mithilfe eines Honeypots die Bedrohungen für Smart Factories untersucht.

Honeypots stellen für Sicherheitsforscher eine bewährte Methode dar, um entscheidend wichtige Erkenntnisse über die Gegner zu erhalten. Doch auch die Angreifer sind zu solchen Taktiken fähig, und die White Hats müssen sich besonders anstrengen, um ihre Systeme so zu tarnen, dass sie legitim wirken. Trend Micro präsentierte sich in dem Projekt als kleine industrielle Prototyping-„Boutique“-Beratung, mit sensiblen Projekten für hochspezialisierte Kunden. Zu diesem Zweck erstellten die Forscher eine komplette Website und Social-Media-Profile für die „Mitarbeiter“ der Firma.

Um den Honeypot authentischer erscheinen zu lassen, verwendete das Forscherteam reelle Industrial Control System (ICS)-Hardware und eine Mischung aus physischen Hosts und VMs. Mehrere Programmable Logic Controller (PLCs), Human Machine Interfaces (HMIs), getrennte Roboter- und Engineering-Arbeitsplätze sowie ein Dateiserver vervollständigten die Installation. Als Köder für die Angreifer wurden bestimmte Ports ohne Passwörter offen gelassen, um Dienste wie VNC zu ermöglichen, und Informationen wurden in Pastebin veröffentlicht, um die gefälschte Firma leichter aufzufinden.

Ergebnisse

Der Honeypot wurde in einem Kryptojacking-Angriff kompromittiert, zwei separate Ransomware-Läufe zielten darauf, und der Honeypot wurde für Betrugstricks genutzt – vor allem für das Upgrading von Handykonten der Opfer für den Kauf neuer iPhones und Einlösen von Flugmeilen für Geschenkkarten. Dies gibt einige interessante Einblicke in die Sicherheit der Smart Factory.

Erstens geht es nicht nur um ausgeklügelte, mehrstufige Versuche, Prozesse zu stören und/oder hochsensible Unternehmensinformationen zu stehlen. Diese Angriffe waren ziemlich banal, aber immer noch ausreichend, um vor allem kleineren Organisationen einige bedeutende Probleme zu bereiten.

Zweitens ist klar, dass bewährte Sicherheitsmaßnahmen funktionieren. Selbst die grundlegendsten Sicherheitsmaßnahmen, die die Forscher eingerichtet hatten, hielten Angreifer zunächst davon ab, den Honeypot zu infiltrieren. Erst als sie etwa den VNC-Port öffneten, wurde er mit Kryptowährungs-Malware infiziert.

Daher sind IT-Sicherheitsleiter, die Smart Factory-Umgebungen zu managen haben, gut beraten sicherzustellen, dass sie die Anzahl der von ihnen geöffneten Ports begrenzen und strenge Zugangskontrollrichtlinien nach dem „Prinzip der geringsten Privilegien“ befolgen.

Doch dies ist lediglich der Anfang. Diese Richtlinien sollten mithilfe zuverlässiger Sicherheitslösungen, die speziell für diese Art von Umgebungen entwickelt wurden, verbessert werden. Diese Lösungen schützen vor der Ausnutzung von Schwachstellen und ungesicherter Kommunikationskanäle und bieten zudem Einsichten in OT-Ressourcen.

Erste Schritte zur effizienten IoT-Gerätesicherheit

Städte, Büros und Häuser werden immer smarter. Eine neue Studie von Gartner schätzt, dass 2020 5,8 Mrd. Endpunkte in Unternehmens- und Automotive-IoT im Einsatz sein werden. Dank solcher Geräte sind tagtägliche Aufgaben und die Produktion zweifellos einfacher geworden. Doch welche Risiken gehen mit den neuen Technologien einher? Denn die Geräte werden an kritische Infrastrukturen angeschlossen, in wichtige betriebliche Aufgaben einbezogen, und enthalten auch kritische Daten. Gleichzeitig müssen sie gesichert werden.

IoT Hacks und Schwachstellen 2019

Es ist ungleich schwieriger, IoT-Geräte zu sichern als Laptops oder ein Mobiltelefon, denn viele dieser Geräte sind bei ihrer Entwicklung nicht auf Sicherheit ausgerichtet worden. Doch im Zuge der steigenden Bedrohungen wächst auch der Druck auf die Hersteller, ihre Produkte mit Sicherheitsmechanismen auszustatten. Trotz des breiten industriellen Einsatzes sind viele der Geräte mit veralteteten Systemen versehen, haben nicht gepatchte Schwachstellen und speichern ungesicherte Daten. In typischen Unternehmensumgebungen stellt die zunehmende Vernetzung weit verbreiteter operativer Netzwerke (einschließlich Geräte, Kommunikationskanäle und Anwendungen) eine vielfältige Angriffsfläche für Hacker dar.

IoT-Bedrohungen verbreiten sich immer weiter. Allein in diesem Jahr gab es mehrere kritische Sicherheitsvorfälle in verschiedenen Branchen, von denen Millionen von Geräten betroffen waren.

Weitere Informationen zu den einzelnen Sicherheitsvorfällen liefert der Originalbeitrag.

Fünf Schritte zur IoT-Sicherheit

Im Allgemeinen sind IoT-Geräte sehr unterschiedlich, und die Sicherung hängt auch vom jeweiligen Typ und Modell ab. In einem Bürogebäude kommt eine intelligente Glühbirne von einem anderen Hersteller als der intelligente Drucker, und das gesamte Steuerungssystem, das das Büro umfasst, verfügt über ein eigenes Betriebssystem. Um all diese unterschiedlichen IoT-Geräte effektiv zu sichern, sind ein übergreifender mehrschichtiger Sicherheitsplan und eine ständige Wartung erforderlich.

Beim Aufsetzen von IoT-Geräten bedarf es fünf erster Sicherheitsschritte:

  • Ändern der standardmäßig gesetzten Passwörter und das Anpassen von Sicherheitseinstellungen den jeweiligen Bedürfnissen entsprechend,
  • Deaktivieren aller Fähigkeiten, die nicht benötigt werden,
  • Für Geräte, die Anwendungen von Drittanbietern nutzen, nur legitime von vertrauenswürdigen Anbietern einsetzen,
  • Update der Geräte-Firmware und -anwendungen, damit das Gerät gegen bekannte Sicherheitslücken geschützt ist,
  • Beim Aufsetzen von Anwendungen auf Geräten sollten die erforderlichen Berechtigungen überprüft werden und der Zugriff darauf eingeschränkt werden.

Fünf Schritte zur Absicherung von Netzwerken und Router

In IoT-aktivierten Umgebungen können auch Netzgeräte und Router zum Risiko werden. Ein kompromittiertes IoT-Gerät kann möglicherweise dazu verwendet werden, um Malware auf weitere Geräte in demselben Netzwerk zu verbreiten. Beispielsweise kann ein smarter Drucker dazu verwendet werden, um Bürocomputer und andere smarte Geräte zu infizieren. Auch kompromittierter Router ist in der Lage, Malware an alle damit verbundenen Geräte zu verteilen.

Die folgenden Maßnahmen sind bei der Absicherung von Netzwerken und Routern hilfreich:

  • Mappen und Überwachen aller vernetzten Geräte. Einstellungen, Zugangsdaten, Firmware-Versionen sowie neue Patches sollten einbezogen werden. Dieser Schritt kann helfen zu beurteilen, welche Sicherheitsmaßnahmen zu ergreifen sind und welche Geräte möglicherweise ausgetauscht oder aktualisiert werden müssen.
  • Anwenden von Netzwerksegmentierung. Netzwerksegmentierung kann das Ausbreiten eines Angriffs verhindern und möglicherweise problematische Geräte, die nicht sofort vom Netz genommen werden können, isolieren.
  • Sicherstellen, dass die Netzwerkarchitektur sicher ist. Router sollten mit VLAN oder einer DMZ aufgesetzt sein – Segmentierungs- und Isolationsmechanismen, die eine zusätzliche Sicherheitsschicht für Netze bilden.
  • Befolgen von Best Practices für Router. Aktivieren der Router Firewall, WPS deaktivieren und das WPA2-Sicherheitsprotokoll aktivieren, starke Passwörter für den WLAN-Zugriff sind nur einige davon.
  • Deaktivieren von nicht benötigten Services wie Universal Plug and Play (UPnP). Schlecht konfigurierte Router mit aktivem UPnP sind kürzlich angegriffen worden. Dies zeigt deutlich, dass es wichtig ist, nicht benötigte Fähigkeiten und Services abzuschalten.

Für einen vollständigeren und mehrschichtigen Verteidigungsansatz, können Nutzer den umfassende Schutz etwa von Trend Micro™ Security und Trend Micro™ Internet Security wählen. Diese Lösungen bieten effiziente Schutzmaßnahmen vor Bedrohungen für IoT-Geräte, denn sie können Malware auf Endpoint-Ebene erkennen. Vernetzte Geräte lassen sich auch durch Lösungen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN) schützen, die den Internetverkehr zwischen dem Router und allen vernetzten Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector-Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle auf fortgeschrittene Bedrohungen überwachen.