Archiv der Kategorie: Internet der Dinge

Sicherheit bei Smart Manufacturing

In Zeiten von Industrie 4.0 setzen Unternehmen zunehmend auf intelligente Fertigungstechnologien (Smart Manufacturing). Dies bringt zahlreiche Vorteile mit sich, wie z.B. eine höhere Produktivität bei geringeren Kosten, aber damit gehen auch neue Angriffsvektoren einher, über die Bedrohungsakteure in intelligenten Fertigungsanlagen Fuss fassen oder sich lateral bewegen können. Im aktuellen Bericht „Attacks on Smart Manufacturing Systems: A Forward-looking Security Analysis“ analysiert das Trend Micro Forward-Looking Threat Research Team in Zusammenarbeit mit dem Politecnico di Milano (POLIMI) die Angriffsoberflächen für Industrie 4.0 sowie die Vielfalt spezifischer Angriffe auf heutige Roboter und die möglichen Folgen der Angriffe.

Smart Manufacturing beruht auf einer engen Integration zwischen IT- und Operational Technology (OT)-Systemen. Enterprise Resource Planning (ERP)-Software hat sich in Richtung Supply Chain Management (SCM) weiterentwickelt, das über Unternehmens- und Ländergrenzen hinweg alle Arten von Input sammelt und Endprodukte, Zahlungen und Funktionalität auf globaler Ebene liefert.

Supply Chain und Softwareentwicklung in Industrie 4.0

Jede Synergie erfüllt ein Geschäftsziel: Optimierung knapper Ressourcen über verschiedene Quellen hinweg; Minimierung der Herstellungs-, Liefer- und Lagerhaltungskosten über Regionen hinweg, Kontinuität des Betriebs durch Diversifizierung der Lieferanten oder Maximierung des Verkaufs über mehrere Lieferkanäle. Die Supply Chain beinhaltet nicht nur Rohmaterialien für die Fertigung, sondern auch Zulieferer von Komponenten, externe Mitarbeiter für nicht zum Kerngeschäft gehörende Funktionen, Open-Source-Software zur Optimierung der Entwicklungskosten und Subunternehmer für die Ausführung spezieller Konstruktions-, Montage-, Test- und Vertriebsaufgaben. Jedes Element der Supply Chain stellt eine Angriffsfläche dar.

Softwareentwicklung ist seit langem eine Teamleistung. Nicht nur die Designs müssen im gesamten Team klar sein, auch das Testen erfordert eine enge Zusammenarbeit zwischen Architekten, Designern, Entwicklern und der Produktion. Teams identifizieren Geschäftsanforderungen und stellen dann eine Lösung aus Komponenten zusammen, die aus öffentlich zugänglichen Bibliotheken stammen. Diese Bibliotheken können weitere Abhängigkeiten von Fremdcode unbekannter Herkunft enthalten. Vereinfachtes Testen hängt von der Qualität der gemeinsam genutzten Bibliotheken ab, aber gemeinsam genutzte Bibliotheksroutinen können nicht entdeckte (oder absichtlich versteckte) Fehler aufweisen, die erst in einer anfälligen Produktionsumgebung zum Vorschein kommen. Wer testet GitHub? Das Ausmass dieser Schwachstellen ist gewaltig.

Industrieroboter als Gefahr

Innerhalb des Herstellungsbetriebs legt die Verschmelzung von IT und OT zusätzliche Angriffsflächen frei. Industrieroboter liefern ein deutliches Beispiel. Diese Präzisionsmaschinen sind darauf programmiert, anspruchsvolle Aufgaben schnell und fehlerfrei auszuführen. Programmierbare Roboter können verschiedene Materialkonfigurationen ohne Unterbrechungen produzieren. Sie werden überall in der Fertigung, im Lager, in Distributionszentren, in der Landwirtschaft, im Bergbau und bald auch in Lieferfahrzeugen eingesetzt. Die Supply Chain ist automatisiert worden.

Die Protokolle, von denen Industrieroboter abhängen, gehen von der Annahme aus, dass die Umgebung isoliert ist, und ein Controller die Maschinen an einem Standort steuert. Da die Verbindung zwischen dem Controller und den gesteuerten Robotern fest verdrahtet war, war eine Identifizierung des Operators oder eine Überprüfung der Nachricht nicht erforderlich. Jedes Gerät ging davon aus, dass alle seine Verbindungen extern verifiziert wurden. Die Protokolle enthielten keine Sicherheits- oder Datenschutzkontrollen. Dann übernahm Industrie 4.0 die drahtlose Kommunikation.

Die Angriffe

Zu den möglichen Eintrittspunkten für einen Angriff auf ein Smart Manufacturing-System zählen Engineering Workstations (ein von Domänen-Usern gemeinsam genutztes System, das mit der Produktionshalle verbunden ist), kundenspezifische industrielle Internet-of-things (IIoT)-Geräte mit besserer Automatisierungsflexibilität als klassische Automatisierungshardware wie PLCs oder auch Manufacturing Execution System (MES)-Datenbanken mit kritischen Daten (die DB ist implizit für den Rest des Systems vertrauenswürdig).

Dieser Wechsel zur drahtlosen Kommunikation, der die Kosten für die Kabelverlegung in der Fabrik einsparte, öffnete die Netzwerke für alle Arten von Angriffen. Die Bedrohungsakteure fälschen Befehle, modifizieren Spezifikationen, ändern oder unterdrücken Fehleralarme, modifizieren Ausgabestatistiken und schreiben Logs neu. Die Folgen können gewaltig und doch nahezu unbemerkt sein.

Sicherheitsempfehlungen

Unternehmen müssen konkrete Schritte unternehmen, um ihre Systeme zu schützen:

  • Auf Netzwerkebene sollte Deep Packet Inspection eingesetzt werden, die die wichtigen, relevanten OT-Protokolle unterstützt, um verdächtige Payloads zu entdecken.
  • Auf den Endpunkten sollten regelmässige Integritätsüberprüfungen stattfinden, um bei jeder modifizierten Softwarekomponente Alerts zu erhalten.
  • Für IIoT-Geräte sind Code-Signaturen erforderlich. Sie sollten sich jedoch nicht nur auf die endgültige Firmware beschränken, sondern auch alle anderen Abhängigkeiten einschliessen, um sie vor Bibliotheken Dritter zu schützen, die bösartige Funktionen verbergen könnten.
  • Die Risikoanalyse für Automatisierungssoftware sollte je nach Bedarf massgeschneidert werden. In Systemen, in denen z.B. kollaborative Roboter Seite an Seite mit Menschen arbeiten, sollte die Sicherheit auf der Firmware-Ebene implementiert werden.

Darüber hinaus ist es empfehlenswert, dass Unternehmen sich nicht nur vor aktuellen, sondern auch vor möglichen künftigen Bedrohungen schützen, indem sie das gleiche Level für die Sicherheitsvorkehrungen wählen, wie auch bei den sicheren Coding-Praktiken und Abwehrmassnahmen für Nicht-OT-Software wie mobile Anwendungen, Webanwendungen und Cloud-Umgebungen.

2019 blockiert Trend Micro 52 Milliarden Bedrohungen: Hacker erweitern ihr Repertoire

von Trend Micro

Abwechslung ist in den meisten Lebensbereichen willkommen, doch nicht in der Bedrohungslandschaft. Leider müssen sich Sicherheitsexperten heutzutage aber genau damit auseinandersetzen. Der Jahresbericht 2019 von Trend Micro zeigt, dass Hackern mittlerweile eine beispiellose Vielfalt an Tools, Techniken und Verfahren zur Verfügung steht. Bei 52 Milliarden einzigartigen Bedrohungen, die allein von den Trend Micro-Filtern erkannt wurden, könnte dies zu einer übermächtigen Herausforderung für viele IT-Sicherheitsabteilungen werden. Als Reaktion darauf überprüfen zu Recht viele CISOs ihren Ansatz für die Bedrohungsabwehr. Bei vielen von ihnen setzt sich die Erkenntnis durch, dass es sinnvoller ist, sich auf einen Anbieter zu konzentrieren, der den gesamten Schutz liefern kann, statt durch Investitionen in Best-of-Breed-Lösungen unter Umständen Sicherheitslücken zu schaffen und Budgetengpässe zu riskieren.

Zustandsaufnahme

Der Bericht liefert ein alarmierendes Bild einer von Volatilität und Chaos geprägten Bedrohungslandschaft. Finanziell motivierte Cyberkriminelle kooperieren und konkurrieren miteinander, um aus Attacken Profit zu schlagen. Leider gibt es eine Menge Betroffener, denn aufgrund gestiegener Investitionen in Cloud- und digitale Plattformen hat sich die Angriffsfläche im Unternehmen erheblich vergrößert.

Der Bericht hebt vor allem drei Trends hervor:

Ransomware ist auf dem Vormarsch: Obzwar die Anzahl der neuen Familien zurückgegangen ist,  ist die Zahl der entdeckten Ransomware-Komponenten im Laufe der Jahres um 10% auf 61 Millionen gestiegen. Im letzten Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Eine aktuelle Umfrage des TÜV-Verbands zeigte, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Dabei spielte der Bankentrojaner Emotet häufig eine unrühmliche Rolle.

Phishing entwickelt sich weiterWie immer entfielen die meisten Bedrohungen (91%), die Trend Micro im vergangenen Jahr blockierte, auf Email-Angriffe, und ab 2018 stieg das Volumen um 15%. Das bedeutet, dass Phishing nach wie vor der Hauptvektor bei Angriffen auf Unternehmen ist. Obwohl insgesamt ein Rückgang der Gesamtzahl der Versuche, Phishing-Websites zu besuchen, zu verzeichnen war, gab es einige Spitzenwerte. Betrüger scheinen Office 365 im Visier zu haben und versuchen, Sicherheitsfilter zu umgehen. Die Zahl der eindeutigen Phishing-URLs, die die Microsoft-Cloud-Plattform fälschten, ist im Vergleich zum Vorjahr um 100% gestiegen. Die BEC-Angriffe, die nach Angaben des FBI im vergangenen Jahr höhere Kosten als jede andere Art von Cyberkriminalität verursachten, nahmen um 5% zu.

Die Supply Chain ist in Gefahr: Die digitale Supply Chain hat sich in den letzten Jahren rapide erweitert und setzt damit mehr Unternehmen einem Risiko aus. Besonders deutlich wurde dies im Bereich des elektronischen Handels im vergangenen Jahr, als es der Magecart Hacking-Gruppe gelang, schätzungsweise zwei Millionen Websites zu kompromittieren. Viele dieser Attacken konzentrierten sich auf Partner der Supply Chain. Auch beobachteten die Sicherheitsforscher einen Anstieg bei Angriffen, die sich auf die Kompromittierung von DevOps-Tools und -Deployments konzentrieren, wie z.B. fehlkonfigurierte Versionen der Docker Engine und ungesicherte Docker-Hosts.

Fazit

Dies ist aber nur die Spitze des Eisbergs. Die Forscher von Trend Micro stellten auch einen Anstieg bei mobiler Malware (6%), IoT-Anmeldungen über Brute-Force (189%) und vieles mehr fest. Um angesichts einer so breit gefächerten Palette von Bedrohungen die Kontrolle zu behalten, sollten CISOs den Ansatz der „Connected Threat Defense“ in Erwägung ziehen. Diese Strategie konsolidiert den Schutz über Gateways, Netzwerke, Server und Endpunkte hinweg auf einen einzigen Anbieter, der die Verteidigung auf jeder Ebene mit einem Fundament aus intelligentem Bedrohungswissen optimiert.

Die folgende Checkliste ist eine Überlegung wert:

  • Netzwerksegmentierung, regelmäßige Backups und kontinuierliche Netzwerküberwachung zur Bekämpfung von Ransomware,
  • Verbesserte Programme für das Sicherheitsverständnis, hilft Nutzern BEC- und Phishing-Versuche besser zu erkennen,
  • Monitoring von Schwachstellen und falschen Konfigurationen der Systeme der Supply Chain-Partner als Schutz vor Magecart-Angriffen,
  • Scannen von Container Images auf Malware und Sicherheitslücken während Build und Laufzeit,
  • Systeme und Software immer auf aktuellem Stand halten sowie
  • Richtlinien für Zweifaktor-Authentifizierung und dem Prinzip der geringsten Privilegien verhindern den Missbrauch von Tools, die über Admin-Logins zugänglich sind, etwa RDP und Entwickler-Tools.

Der gesamte 2019-Sicherheitsbericht steht online zur Verfügung.

IT-Security 2020 – das Wettrennen geht weiter

Von Richard Werner, Business Consultant bei Trend Micro

Das Jahr 2020 ist kaum zwei Monate alt und schon wieder häufen sich die Nachrichten zu Cybervorfällen. Auf der einen Seite gehen Daten im Internet „verloren“, auf der anderen gibt es die üblichen Cyberattacken, bei denen Unternehmen oder Behörden angegriffen werden – oftmals mit schwerwiegenden Folgen. Dabei kommt oftmals modernste Technologie zum Einsatz. Was wir im Cyberbereich erleben, ist im Grunde die Fortsetzung des jahrhundertealten Wettlaufs von Angriff und Verteidigung, nur mit digitalen Mitteln.

Den Zyklus kennen

Eine der wichtigsten Motivationen für die menschliche Weiterentwicklung war schon immer der Wunsch, einen Gegner zu übertrumpfen. So arbeiten auch in der digitalen Welt im Prinzip zwei gegnerische Parteien daran, sich beständig zu optimieren. Auf Seiten der Verteidigung stehen IT-Sicherheitsabteilungen von Unternehmen, die Security-Branche und diverse staatliche Organe wie beispielsweise das BSI. Diese Seite versucht Angriffe und Angriffsmethoden frühzeitig zu erkennen, zu bewerten und abzuwehren. Dies geschieht durch Forschung, Technologieentwicklung sowie Aufklärung und den Einsatz von Abwehrmaßnahmen.

Auf der anderen Seite stehen verschiedene Angreifer. Es handelt sich zum überwiegenden Teil um Cyberkriminelle, jedoch leider finden sich hier auch staatliche Organisationen, die den jeweiligen Feind zu beeinträchtigen suchen. Die Angreifer arbeiten gezielt daran, Sicherheitstechnologien zu umgehen, Angriffe zu verstecken und Schwachstellen in der Architektur und in den Prozessen ihrer Opfer zu finden.

Die Betrachtung der beiden Seiten im Allgemeinen ergibt, dass es im Schnitt eine Art Gleichgewicht der Mächte gibt. Bei genauerer Analyse treten aber Spitzen zutage, wo der Angriff erfolgreicher ist und Schlagzeilen vom Untergang der IT sprechen. Und andererseits gibt es Zeiten, in denen alles ruhig bleibt und IT-Sicherheit nicht mehr im Fokus steht. Dieser Zyklus scheint etwa alle drei bis vier Jahre durchlaufen zu werden und richtet sich tatsächlich danach, in wie weit es den Verteidigern gelingt, erfolgreiche Techniken zu implementieren und damit die Angriffsmodelle zu torpedieren.

Bild 1: Angriffs- und Verteidigungszyklus in der IT-Security

Da es schwierig ist, die Schritte der Gegenseite vorherzusehen, sollte der Zyklus gewissermaßen zweigeteilt betrachtet werden. Beide Teile haben eines gemeinsam: Die Maßnahmen starten in der Regel klein und werden dann immer umfassender. Ein Beispiel der Security-Seite: Besonders innovative Firmen entwickeln eine neue Technik, mit der Angriffe erkannt und verhindert werden können, einige „Early Adopter“ testen diese Technologie, wobei sich ein mehr oder weniger großer Nutzen herausstellt. Natürlich ist dies das Zeichen für die gesamte Branche, die Funktion nachzubauen und zu verbessern oder anzupassen. Zudem setzt in der Regel ein entsprechender Marketing-Hype ein, sodass Nutzer über die neue Technologie bei den Analysten lesen können und auch viele Hersteller gefragt oder ungefragt über die eigene Technologie erzählen. Dann gibt es noch die Newcomer, die nach eigener Meinung genau diese Technologie als Einzige wirklich beherrschen und damit alles andere überflüssig machen. Der Begriff „Next Generation“ ist in diesem Zusammenhang bereits häufig gebraucht worden.

Der positive Effekt dabei: Security-Fachleute und erste Anwender sprechen viel über die neue Technik, sodass immer mehr Unternehmen sich dafür entscheiden (zusätzlich zu bestehender Technik) und dann auch tatsächlich geschützt sind. Als Folge aber stellen Angreifer vermehrt fest, dass ihre bisherigen Methoden nicht mehr wirken und sogar hoch spezialisierte, ausgeklügelte Angriffe fehlschlagen, weil plötzlich die Verteidiger in der Lage sind, diese zu identifizieren.

Schwenk auf die „dunkle Seite“…

Auch unter den Angreifer gibt es Technologieexperten und in einigen Bereichen ein organisiertes Vorgehen. Diese arbeiten dann mit Hochdruck daran, Methoden zu finden, um neue Verteidigungsmechanismen zu umgehen oder die noch ungeschützten Opfer zu identifizieren. Manchen Angreifern stehen dabei nahezu unbegrenzte finanzielle und personelle Mittel zur Verfügung. Die Bösen erarbeiten zunächst neue Angriffsschemen und testen diese vereinzelt, um Mängel auszumerzen und die Qualität zu verbessern. Anschließend starten die ersten Angriffswellen, und in der Regel finden sich recht schnell Nachahmer, oder die Technik wird sogar verkauft und verbreitet. Neben der Möglichkeit, damit Geld zu verdienen, ist es auch taktisch interessant, wenn viele Angreifer gleichzeitig agieren. Dies kann die Verteidiger überlasten und dafür sorgen, dass hochgradig gezielte Taten sozusagen im Strom untergehen und unerkannt bleiben.

Den Kreislauf durchbrechen oder verzögern

Verteidiger müssen sich über ihre Ziele im Klaren sein: Geht es darum, durch den Einsatz von Schutztechnologie alle Angriffe zu verhindern, so müssen sie immer die „Cutting Edge“ Security-Technologie identifizieren und einsetzen. Das ist äußerst aufwändig und teuer, und es besteht trotzdem noch immer die Möglichkeit, dass die Technologie etwas übersieht.

Die zweite Alternative ist sich bewusst zu machen, dass fast unweigerlich manche Angriffe erfolgreich sein werden. In der Risikobetrachtung jedes Unternehmens sollte dieses Szenario bereits berücksichtigt und Maßnahmen zur Minimierung eines eventuellen Schadens definiert sein. Die Herausforderung besteht darin, dass sowohl die Eintrittswahrscheinlichkeit als auch das Schadenspotenzial eines Cyberangriffs selten neu berechnet wird, da sie im Laufe der Zeit tatsächlich stark schwanken. In Compliance-Anforderungen aber auch durch Versicherungen wird jedoch zunehmend Druck ausgeübt, sich in dieser Hinsicht vorzubereiten — zum einen, weil bei Datenverlust nicht nur die betroffene Firma, sondern auch viele andere Individuen oder Organisationen Schaden erleiden, zum anderen, weil durch die Digitalisierung in Unternehmen die relative Anzahl der Vorfälle stetig zunimmt und auch Versicherungen Fahrlässigkeit nicht belohnen wollen.

Technische Optionen

Bleibt die Frage, wie sich technisch mit der Tatsache umgehen lässt, dass immer mehr Angriffe erfolgreich sind. Die Antwort der Analysten auf diese Frage lautete den letzten zwei Jahren: „Detection & Response“.

Eine logische Abfolge: Versagt der Schutz, wollen Betroffene schnell darüber Bescheid wissen und dann entsprechende Gegenmaßnahmen in die Wege leiten. Doch was einfach klingt, ist in der Realität vieler Unternehmen wesentlich komplexer. Der Einsatz unterschiedlicher Security-Tools und -Teams will koordiniert und abgestimmt sein, die schiere Masse an Einzel-Events interpretiert und bewertet werden. Detection & Response ist deshalb nicht nur eine Ergänzung zu einem bestehenden Konzept, es ist ein neues Konzept, in dem bestehende Strukturen weitergeführt werden können, wenn sie dazu passen.

Lange galt die Devise, je komplexer die Verteidigung eines Unternehmens, desto schwerer haben es die Angreifer. Leider ist mittlerweile das Gegenteil der Fall. Denn hohe Komplexität erschwert es vor allem Verteidigern, Zusammenhänge zu erkennen. Angreifern hingegen reicht ein einzelner Schwachpunkt, der fast immer irgendwo zu finden ist. Für erfolgreiche Detection & Response ist es deshalb wichtig, alle vorhandenen Informationen zu einem Vorfall zu koordinieren, sowohl um zu erkennen, dass es tatsächlich einen Vorfall gegeben hat, als auch zur Durchführung von Gegenmaßnahmen. Je mehr Security-Tools in der Lage sind zusammenzuarbeiten, desto schneller und effektiver kann auf Vorfälle reagiert werden, lassen sich Angriffe eindämmen und zukünftige Attacken verhindern.

Ansatz von Trend Micro

Als Security-Anbieter mit über 30-jähriger Erfahrung ist Trend Micro das Konzept der raschen Reaktion auch auf erfolgreiche Angriffe bekannt. Vor knapp zehn Jahren wurde dazu die „Connected Threat Defense“ (CTD)-Strategie definiert, mit der es gelang, erfolgreiche Angriffe zu erkennen und aufzuhalten. Wie in der IT-Security üblich, entwickelt sich die Technik rasant weiter und so ändern sich auch die Erfordernisse. Die vormals netzwerkzentrierte CTD muss heute vor allem Endpoints genauer überwachen, da vielfach das Kabel als Medium schlicht wegfällt und im Zusammenspiel zwischen Client und Server eine immer geringere Rolle spielt.

In der Industrie ist das Konzept der Detection & Response zum viel zitierten Schlagwort geworden und wegen des aktuell größten Bedrohungspotenzials eng mit dem Begriff Endpoint verknüpft. Trend Micro erwartet, dass auch Angreifer sich darauf einstellen werden und deshalb andere Bereiche eines Unternehmens für ihre Zwecke ausnutzen können. Hierzu zählen beispielsweise ungeschützte und nicht beachtete IoT-Geräte wie Smart TVs oder Drucker sowie bei einigen Unternehmen auch vernetzte Produktionsanlagen. Auch moderne Workloads wie Container und Serverless Computing werden früher oder später mit einzurechnen sein.

Detection & Response wird sich deshalb dahingehend wandeln, dass auch diese Bereiche bzw. solche, die wir heute noch nicht sehen, zu analysieren sind. Dies wird eng mit der Entwicklung der IT in Unternehmen und den zur Verfügung stehenden Werkzeugen zusammenhängen. Betrachten wir deshalb die obige Schleife aus dem Blickwinkel der aktuellen Security-Landschaft unter Berücksichtigung der in Trend Micros Bedrohungsvorhersagen diskutierten Angreiferaktivitäten:

Bild 2: Neue Angriffsvektoren erfordern flächendeckende Verteidigungsmaßnahmen

XDR

Es lässt sich unschwer feststellen, dass 2020 neue Angriffsvektoren eine Rolle spielen werden, die über ein reines EDR-Szenario nicht abzudecken sind. Die Verteidigungswerkzeuge stehen zwar schon zur Verfügung, es wird jedoch noch dauern, bis sie flächendeckend eingesetzt werden. Trend Micro ist hier einen Schritt voraus und will alle Bereiche möglichst umfassend integrieren. Wir verwenden dafür den Begriff XDR, wobei das X für „Cross“, also bereichsübergreifende Detection & Response-Maßnahmen steht, ebenso wie als Platzhalter für Maßnahmen in allen Bereichen, nicht nur am Endpunkt. Darunter fällt beispielsweise auch Email als aktuell häufigster Angriffsvektor.

Managed Security Services

Klar ist auch, dass Unternehmen trotz aller Technik menschliche Expertise benötigen, um Angriffe zu analysieren und die Effizienz der Technik ständig zu verbessern. Dazu bietet Trend Micro die direkte Unterstützung durch seinen Dienst „Managed XDR“ an. Kunden erhalten dadurch Zugriff auf Spezialisten, die in der Lage sind, Vorfälle zu erkennen und zu bewerten. Im Ernstfall beraten diese Experten Kunden über Gegenmaßnahmen.

Nicht zuletzt gilt, was bereits eingangs genannt wurde: Auch wenn durch XDR momentan ein Vorsprung erzeugt werden kann, so wird es vermutlich auch der anderen Seite gelingen, früher oder später dieses Konzept zu umgehen. Durch den Einsatz von Forschungsteams und die Zusammenarbeit mit anderen Verteidigern versucht Trend Micro, diese Entwicklungen rechtzeitig zu erkennen und Gegenmaßnahmen zu entwickeln. Wir klären darüber in unseren Blogs und Forschungsergebnissen auf, bieten Kunden aber auch die Möglichkeit proaktiv auf die eigenen Bedürfnisse abgestimmte Beratung zu erhalten.

Zwei Mirai-Varianten zielen auf Videoüberwachungs-Speichersysteme

Sicherheitsforscher von Trend Micro haben zwei Varianten der Internet of Things (IoT)-Malware, Mirai, gefunden. Die beiden Varianten, SORA (IoT.Linux.MIRAI.DLEU) und UNSTABLE (IoT.Linux.MIRAI.DLEV) nutzen neue Verbreitungsmethoden und verschaffen sich Zugang über die Schwachstelle CVE-2020-6756 in Rasilient PixelStor5000-Videoüberwachungs-Speichersystemen.

Mirai ist eine Malware, die aktiv nach IoT-Geräten mit Schwachstellen sucht, sie infiziert und in Bots umwandelt. Die Bots wiederum finden dann weitere Geräte, die sie infizieren können. Im Laufe der Jahre gab es bereits einige Varianten, etwa solche, die Router und Smart TVs infizierten. Die Mirai-Botnets lassen sich für Distributed Denial of Service (DDoS)-Angriffe einsetzen, die von vielen Cyberkriminellen als Dienstleistung angeboten werden. Dafür benötigen sie eine Vielzahl von Bots, und deshalb müssen sie ihre Botnets immer weiter vergrößern.

Die gerade entdeckten Varianten nutzen die Schwachstelle (CVE-2020-6756) in Videoüberwachungs-Speichersystemgeräten. Darüber können sie Code aus der Ferne ausführen. Ähnlich wie bei früheren Varianten laden die Angreifer ein Shell Script vom Command-and-Control (C&C)-Server herunter und führen dies aus. Das Shell Script wiederum lädt die Payload, die SORA oder UNSTABLE enthält, herunter und führt sie aus. Technische Einzelheiten zu den entsprechenden Angriffen beinhaltet der Originaleintrag.

Sicherheit für IoT-Geräte

Die Ausnutzung der neuen Schwachstelle verdeutlicht, wie Cyberkriminelle ständig nach unsicheren und angreifbaren IoT-Systemen suchen. Anwender können ihre IoT-Geräte schützen, wenn sie unter anderem folgende Best Practices beachten:

  • Ändern des Standard-Passworts auf Routern und anderen IoT-Geräten,
  • Sicherheitseinstellungen korrekt aufsetzen und nicht genutzte Funktionen des Geräts deaktivieren,
  • Netzwerkverkehr auf zunehmende Verbindungsversuche zu unbekannten Domänen streng überwachen,
  • Patches und Updates ausrollen, um Schwachstellen zu schließen und einen Schutz vor alten und neuen Bedrohungen aufzubauen.

Trend Micro™ Home Network Security unterstützt das Monitoring von Internetverkehr zwischen dem Router und den vernetzten Geräten. Die Lösung bietet über die folgenden Regeln Schutz für einige Schwachstellen, die Mirai ausnutzt:

  • 1134610 – WEB Dasan GPON Routers Command Injection -1.1 (CVE-2018-10561)
  • 1134611 – WEB Dasan GPON Routers Command Injection -1.2 (CVE-2018-10561)
  • 1134891 – WEB Dasan GPON Routers Command Injection -1.3 (CVE-2018-10561)
  • 1134892 – WEB Dasan GPON Routers Command Injection -1.4 (CVE-2018-10561)
  • 1134287 – WEB Huawei Home Gateway SOAP Command Execution (CVE-2017-17215)
  • 1135215 – WEB ThinkPHP Remote Code Execution

Für den Schutz von Endpoints können Nutzer Trend Micro™ Security und Trend Micro™ Internet Security einsetzen. Trend Micro™ Deep Discovery™ Inspector kann Unternehmen vor gezielten Angriffen schützen, denn die Lösung überwachst Ports und Netzwerkprotokollen, um fortgeschrittene Bedrohungen zu erkennen.

Eine Reise durch die IoT-Bedrohungslandschaft

Die offensichtlichen Vorteile von Internet of Things (IoT)-Geräten für Unternehmen und Verbraucher sowie deren Erschwinglichkeit haben dazu geführt, dass ihre Beliebtheit stark steigt. Viele sind für Plug-and-Play ausgelegt, vollständig kompatibel mit anderen Maschinen und lassen sich leicht von gängigen Anwendungen aus verwalten. Doch mit der zunehmenden Integration des IoT in Unternehmen und Privathaushalte vergrößert sich auch die damit zusammenhängende Bedrohungslandschaft. Trend Micro gibt einen Überblick über die wichtigsten Bedrohungen und Schwachstellen für IoT-Geräte am Rand oder innerhalb des Netzwerks und in der Cloud. Der Beitrag liefert auch Einblicke in den cyberkriminellen Untergrund.

Geräte am Rand des Netzwerks

Die Interaktion mit IoT-Geräten ist nicht mehr zu vermeiden. Abgesehen von Smartphones und Laptops statten Unternehmen ihre Büros mit Geräten aus, die die Sicherheit und Effizienz fördern, von intelligenten Leuchten bis hin zu Sicherheitskameras und vernetzten Druckern. Viele Devices halten auch Einzug in Wohnräume, so etwa vernetzte Kühlschränke bis hin zu intelligenten Thermostaten. Mit zunehmender Abhängigkeit von diesen Geräten muss deren Absicherung von höchster Bedeutung sein. Ein erster Schritt dahin besteht darin, ein Bewusstsein für mögliche Schwachstellen und Bedrohungen zu schaffen.

Home-Umgebungen

Smart Home-Geräte sind bekanntermaßen anfällig und Hacker nutzen dies natürlich aus. Wenn immer komplexere IoT-Umgebungen entstehen, so können Angreifer die Devices als Tor zum Netzwerk eines Nutzers missbrauchen. Dazu gehören smarte Glühbirnen, Schlösser, Fernseher und vieles mehr. Die Vernetzung öffnet Wohnungen für Eindringlinge, Informationsdiebstahl und das Ausspionieren.

Unternehmensumgebungen

Unternehmen sind sich der Bedrohungen für Laptops, Tablets oder Smartphones, mit denen ihre Mitarbeiter arbeiten, bewusst und haben Sicherheitsteams, die für den Schutz der Endpunkte im Netzwerk und des Netzes selbst zuständig sind. Doch bringen die Mitarbeiter auch eigene IoT-Geräte mit, die sie mit dem Unternehmensnetzwerk verbinden. Unternehmen müssen sich also auch mit Risiken und Bedrohungen auseinandersetzen – von gezielten Angriffen bis hin zu Hacking und Datenverstößen.

Bild 1. Persönliche IoT-Geräte in BYOD-Umgebungen stellen ein ernstes Risiko dar

Angreifer suchen ein exponiertes IoT-Gerät aus, das sie dann dafür benutzen, um auf das damit verbundene System zuzugreifen und so einen gezielten Angriffe zu starten. Selbst einfache Online-Recherchen können ihnen genügend Informationen liefern, um Schwachstellen im System eines Unternehmens zu finden und Schäden am Netzwerk und an den Vermögenswerten des Ziels zu verursachen.

Nicht gepatchte Geräte stellen häufig ein Risiko dar, weil Angreifer bekannte Schwachstellen ausnutzen können, um einzudringen und sich dann privilegierten Zugriff auf Unternehmensnetzwerke zu verschaffen. Es kann zu Dateneinbrüchen oder zu exponierten Daten kommen, Manipulation anderer Assets, Zugriff auf Server und Systeme, Einschleusen von Malware oder gar zur physischen Unterbrechung des Betriebs.

Hacker könnten auch angreifbare Geräte in ein Botnet integrieren. Botnets stellen ein großes Problem dar: Daten aus dem Trend Micro™ Smart Home Network von 2018 bis 2019 zeigen einen Anstieg von 180% bei Brute Force-Anmeldeversuchen. Diese Arten von Angriffen stehen  mit Botnets in Verbindung, da Cyberkriminelle diese Taktik nutzen, um mit einer Vielzahl aufeinanderfolgender Versuche ein Passwort zu erraten.

Netzwerke

Cyberkriminelle, die ein Unternehmenssystem kompromittieren, den Betrieb unterbrechen, Informationen stehlen oder auf vertrauliche Daten zugreifen wollen, nehmen typischerweise mit öffentlichen Netzwerken verbundene IoT-Geräte ins Visier. Darum ist es für die Sicherheit entscheidend, häufig verwendete Funktionalität und typische Devices in Unternehmen und zu Hause zu schützen.

  • Network Attached Storage (NAS). Diese Geräte waren schon immer angreifbar und damit beliebtes Ziel für Hacker. Die Ausnutzung bestimmter Schwachstellen ermöglicht es Angreifern, die Authentifizierung zu umgehen, Code auf dem Gerät auszuführen und Nutzerdaten herunterzuladen oder zu manipulieren. Sie werden auch von Ransomware oder anderer Schadsoftware angegriffen, um DDoS-Attacken zu starten oder Krypto-Mining auszuführen.
  • Universal Plug-and-Play (UPnP). Viele IoT-Geräte, wie Kameras, Spielekonsolen und Router umfassen ein Universal Plug-and-Play (UPnP)-Feature, über das die vernetzten Geräte kommunizieren, Daten austauschen oder Funktionen koordinieren. Nutzen Hacker nun Lücken in den UPnP-Funktionen aus, so können sie Maschinen kompromittieren oder gar die Kontrolle darüber übernehmen. Router und andere können zu Proxys umgewandelt werden, um die Herkunft von Botnets zu verschleiern, für DDoS-Angriffe (Distributed Denial of Service) eingesetzt oder gar zum Versenden von Spam genutzt werden.
  • Internet Protocol (IP). IP-Geräte lassen sich einfach installieren, sie skalieren gut und bieten Analytics. Leider sind sie auch für Sicherheitslücken anfällig. Sie werden mit den Standardeinstellungen und -anmeldedaten genutzt, sodass Hacker ein leichtes Spiel haben. Viele Malware-Autoren erstellen Schadsoftware für IP-Devices, so etwa TheMoon (eine der ältesten Familien dieser Gruppe) und Persirai.
  • Unsichere ältere Technologie. Häufig ist es ältere Technologie, die in einem Netzwerk oder in vernetzten Systemen eingesetzt wird, die Unternehmen einem bestimmten Risiko aussetzt. So beinhaltete die Faxploit-Sicherheitslücke Stack Overflow-Fehler in der Implementierung des Fax-Protokolls in bestimmten Druckern. Mit einer speziellen Faxnummer konnte ein Angreifer das Netzwerk und die damit verbundenen Systeme kapern, Geräte mit Malware infizieren oder Daten stehlen.

Bild 2. Typischer Angriffsablauf im Zusammenhang mit IP-Kameras

Cloud-Lösungen

Organisationen und sogar gewöhnliche Benutzer verwenden mittlerweile Cloud Computing und Cloud-basierte IoT-Lösungen für eine einfachere Geräteverwaltung und Datenspeicherung. Damit ergeben sich mehrere potenzielle Angriffsvektoren:

  • API-Gateways fungieren als Türöffner zur Cloud und begrenzen den Verkehr von IoT-Geräten. Und aufgrund der Art und Weise, wie sie genutzt werden, könnten falsch konfigurierte Gateways Geräte oder Dienste zu Sicherheitsbelastungen machen. Bedrohungsakteure können die Gateways für böswillige Aktivitäten wie das Fälschen einer Befehlssequenz nutzen, indem sie die Logik zwischen den APIs ändern und dadurch mehr Schwachstellen in den Prozess einbringen. Weitere mögliche Aktivitäten sind Benutzer-Spoofing, Man-in-the-Middle (MiTM)-Angriffe und Replays von Sitzungen.
  • Entwickler passen die Regeln und Richtlinien für IoT-Geräte, die mit Cloud-Servern verbunden sind, für das Identitäts- und Zugriffsmanagement (IAM) an. Fehlkonfigurationen innerhalb von Authentifizierungsrollen, Richtlinien oder zugewiesenen Schlüsseln beispielsweise können schwerwiegende Probleme verursachen. Hacker wären in der Lage, den Datenverkehr und den Zugriff zu kontrollieren, den Server zu beschädigen, komplexere Angriffe durchzuführen, den Cloud-Service zu kontrollieren oder einen Gast oder einen legitimen Gerätebenutzer zu fälschen.
  • Auch Fehlkonfigurationen in anderen Geräten, Cloud-Gateways und Infrastrukturen weisen Schwächen in der Sicherheit des Datenverkehrs oder des Pfades auf und setzen das Gerät oder den Cloud-Server Angriffen aus.

Cyberkrimineller Untergrund

Die Recherche zu cyberkriminellen Undergrundforen und Sites zeigt das steigende Interesse am Hacking von IoT-Geräten. Es gibt dort viele Angebote für entsprechende Services und sogar Anleitungen für den Missbrauch von Schwachstellen und das Hacken von Devices. Die angebotenen Dienste reichten vom Zugriff auf kompromittierte Geräte und die Nutzung von Botnets bis hin zu DDoS-Diensten und privaten IoT-basierten VPNs. Die Offerten gibt es in englischen Foren und Diskussionen, sowie auf russischen, portugiesischen, arabischen und spanischen Sites.

Weitere Forschungsergebnisse zu IoT-Bedrohungen finden Sie unter:

The IoT Attack Surface: Threats and Security Solutions

IoT Devices in the Workplace: Security Risks and Threats to BYOD Environments

From Homes to the Office: Revisiting Network Security in the Age of the IoT

Outlaw greift mit aktualisiertem Kit ältere Miner und mehr Systeme an

Originalbeitrag von Jindrich Karasek, Threat Researcher

Hört man eine Weile nichts von einer cyberkriminellen Gruppe, so bedeutet das nicht unbedingt Inaktivität. So geschehen bei der Hacker-Gruppe Outlaw, die während der letzten Monate anscheinend in Ruhe ihr Toolkit weiter entwickelt hat. Ende letzten Jahres nun stellten die Sicherheitsforscher von Trend Micro über einen Honeypot einen Anstieg in deren Aktivitäten fest. Die Fähigkeiten der Kits im Vergleich waren im Vergleich zu den letzten Angriffen aktualisiert worden. Dazu gehören erweiterte Scanner-Parameter und Ziele, die Ausführung von Dateien in Schleifen durch Fehlermeldungen, verbesserte Vermeidungstechniken für Scan-Aktivitäten und mehr Mining-Gewinn durch Ausschalten sowohl der Konkurrenz als auch der eigenen vorher genutzten Miner.

Die Forscher analysierten die Kits, deren Design auf Informationsdiebstahl in der Automotive- und Finanzbranche, den Start weiterer Angriffe auf bereits kompromittierten Systemen und den möglichen Verkauf der gestohlenen Informationen zugeschnitten sind. Der Vergleich mit den früheren Angriffen der Gruppe lässt die Forscher annehmen, dass Outlaw plant, in den USA und in Europa Unternehmen ins Visier zu nehmen, die ihre Systeme noch nicht upgedatet haben oder auch solche mit Internet-orientierten Systemen und schwacher bis keiner Überwachung des Verkehrs und der Aktivitäten. Neben alten Zielen sind sie auch auf neue Ziele aus, um ihre Updates in der Praxis zu testen. Die Experten gehen glauben, dass die Gruppe in den nächsten Monaten aktiver vorgehen wird.

Routinen

Die neuen Samples zielen auf Linux- und Unix-basierte Betriebssysteme, angreifbare Server sowie Internet-of-Things (IoT)-Geräte und nutzen für die Angriffe bekannte Schwachstellen mit vorhandenen Exploits. Als Angriffsvektoren setzt die Gruppe auf nicht gepatchte Systeme, die für CVE-2016-8655 und Dirty COW-Exploit (CVE-2016-5195) anfällig sind. Auch Dateien mit einfachen PHP-basierten Web Shells kamen zum Einsatz bei Systemen mit schwachen SSH- und Telnet-Zugangsdaten. Die Forscher fanden in der aktuellen Kampagne zwar keine Phishing- oder Social Engineering-Routinen, doch gab es mehrere „laute“ Angriffe über das Netzwerk. Beteiligt waren groß angelegte Scanning-Aktivitäten über IPs, die vom C&C-Server gestartet wurden. Die technischen Einzelheiten finden Sie im Originalbeitrag.

Fazit

Seit ihrer Entdeckung 2018 verwendet Outlaw immer wieder Skripts, Codes und Befehle, die sie schon zuvor eingesetzt hatten. Diese Routinen sind bezeichnend für das Ziel der Gruppe, über verschiedene cyberkriminelle Profitflüsse hohe Erträge zu erzielen.

Angesicht der vielen erforderlichen Ressourcen, um alle notwendigen Patches im Unternehmen zu installieren (z.B. Qualitätstests und Betriebsausrichtung), und kostspieligen Ausfallzeiten für den Betrieb, zögern viele Organisationen Patches sofort aufzuspielen. So kann Outlaw jedes Mal, wenn ein Patch veröffentlicht wird und auf das Ausrollen wartet, noch mehr Ziele und Opfer für ihre aktualisierten Botnets finden.

Inzwischen verwendet die Gruppe eine breite Palette von IP-Adressen als Input für Scan-Aktivitäten, die nach Ländern gruppiert sind und es ihnen ermöglicht, bestimmte Regionen oder Gebiete innerhalb bestimmter Zeiträume des Jahres anzugreifen. Durch die Ausrichtung des Angriffs kann die Gruppe möglicherweise Nischen im Untergrund schaffen, die den spezifischen Bedürfnissen ihrer Kunden entsprechen. Auch sind sie sich der bestehenden Gesetze in Europa bewusst und können sich in bestimmten Ländern der Strafverfolgung entziehen, solange sie dort nicht angreifen.

Unternehmen sollten ihre Systeme daher regelmäßig aktualisieren und Anwender von Altsystemen die virtuellen Patches ihrer Anbieter nutzen. Auch sind Unternehmen gut beraten, nicht genutzte Ports zu schließen und Internet-orientierte Geräte, die Systemadministratoren unterstützen, entsprechend zu sichern. Schutz bietet auch eine mehrschichtige Sicherheitslösung, die Systeme vom Gateway bis zum Endpunkt schützt und bösartige URLs blockieren kann.

Trend Micro-Lösungen

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Pwn2Own: Deutsche erfolgreich beim Hacken industrieller Kontrollsysteme

Beim ersten Pwn2Own in Miami ging es um das Hacking von ausschließlich Industrial Control Systems (ICS). Der Wettbewerb, veranstaltet von der Zero Day initiative (ZDI) von Trend Micro, umfasste acht zu testende Ziele in fünf Kategorien (Control Server, OPC Unified Architecture (OPC UA) Server, DNP3 Gateway, Human Machine Interface (HMI)/Operator Workstation und Engineering Workstation Software). Mehr als 250.000 $ an Preisgeldern wurden bereitgestellt. Die deutschen Teilnehmer Tobias Scharnowski, Niklas Breitfeld und Ali Abbasi aus Bochum konnten sich den zweiten Platz in der Endwertung gegen starke Konkurrenz sichern.

Dem Team vom Horst Görtz Institut für IT-Sicherheit an der Ruhr-Universität Bochum gelang es zuerst in der HMI-Kategorie, mit einem Out-of-Bounds (OOB) Zugriffs-Exploit Code auszuführen auf Rockwell Automation FactoryTalk View SE. Auch in der Control Server-Kategorie waren sie erfolgreich Schließlich gelang ihnen auch die Ausführung von Code auf dem Triangle Microworks SCADA Data Gateway. Diese Lösungsansätze brachten dem Team 87,5 Punkte für den zweiten Platz mit insgesamt 75.000 Dollar Preisgeld.

Den ersten Platz belegte das Incite Team von Steven Seeley und Chris Anastasio. Ihnen gelang in der DNP3-Gateway-Kategorie über einen Stack-basierten Overflow ein DoS auf dem Triangle Microworks SCADA Data Gateway sowie in der Control Server-Kategorie die Code-Ausführung aus der Ferne auf Systemebene auf der Inductive Automation Ignition. Auch in der EWS-Kategorie konnten sie einen Erfolg verbuchen. Nach weiteren zwei gelungenen Hacking-Tests stand das Incite Team mit 92,5 Punkten und 80.000 $ Preisgeld als Sieger fest.

Weitere Einzelheiten zum Hacking-Wettbewerb umfasst der Blog des ZDI.

Smart Factory Honeypot zeigt mögliche ICS-Angriffe

Originalbeitrag von Ian Heritage

Die Welt wird immer smarter, und dazu gehören auch Fabriken und Industrieanlagen, die mit Internet-of-Things (IoT)-Systemen vernetzt werden, um so die Geschäftsprozesse zu verschlanken und die Produktivität zu steigern. Aber dieses Rennen um Innovation hat seinen Preis. Infolge der Konvergenz der Betriebstechnik (Operational Technology, OT) mit der IT entstehen Bedrohungen durch veraltete Kommunikationsprotokolle, IT-Silos und Hardware, die nicht für regelmäßiges Patching ausgelegt ist. Geht es um Bedrohungen der Industrie 4.0, so spricht man oft von ausgeklügelten, von Nationalstaaten unterstützten Versuchen, die Stromversorgung zu unterbrechen oder Produktionslinien zu sabotieren. Doch in der Praxis sind „alltägliche“ Angriffe ein größeres, unmittelbares Problem. Doch neben den Schutzmaßnahmen dagegen sollten Unternehmen den defensiven Maßnahmen Vorrang einräumen. Trend Micro hat mithilfe eines Honeypots die Bedrohungen für Smart Factories untersucht.

Honeypots stellen für Sicherheitsforscher eine bewährte Methode dar, um entscheidend wichtige Erkenntnisse über die Gegner zu erhalten. Doch auch die Angreifer sind zu solchen Taktiken fähig, und die White Hats müssen sich besonders anstrengen, um ihre Systeme so zu tarnen, dass sie legitim wirken. Trend Micro präsentierte sich in dem Projekt als kleine industrielle Prototyping-„Boutique“-Beratung, mit sensiblen Projekten für hochspezialisierte Kunden. Zu diesem Zweck erstellten die Forscher eine komplette Website und Social-Media-Profile für die „Mitarbeiter“ der Firma.

Um den Honeypot authentischer erscheinen zu lassen, verwendete das Forscherteam reelle Industrial Control System (ICS)-Hardware und eine Mischung aus physischen Hosts und VMs. Mehrere Programmable Logic Controller (PLCs), Human Machine Interfaces (HMIs), getrennte Roboter- und Engineering-Arbeitsplätze sowie ein Dateiserver vervollständigten die Installation. Als Köder für die Angreifer wurden bestimmte Ports ohne Passwörter offen gelassen, um Dienste wie VNC zu ermöglichen, und Informationen wurden in Pastebin veröffentlicht, um die gefälschte Firma leichter aufzufinden.

Ergebnisse

Der Honeypot wurde in einem Kryptojacking-Angriff kompromittiert, zwei separate Ransomware-Läufe zielten darauf, und der Honeypot wurde für Betrugstricks genutzt – vor allem für das Upgrading von Handykonten der Opfer für den Kauf neuer iPhones und Einlösen von Flugmeilen für Geschenkkarten. Dies gibt einige interessante Einblicke in die Sicherheit der Smart Factory.

Erstens geht es nicht nur um ausgeklügelte, mehrstufige Versuche, Prozesse zu stören und/oder hochsensible Unternehmensinformationen zu stehlen. Diese Angriffe waren ziemlich banal, aber immer noch ausreichend, um vor allem kleineren Organisationen einige bedeutende Probleme zu bereiten.

Zweitens ist klar, dass bewährte Sicherheitsmaßnahmen funktionieren. Selbst die grundlegendsten Sicherheitsmaßnahmen, die die Forscher eingerichtet hatten, hielten Angreifer zunächst davon ab, den Honeypot zu infiltrieren. Erst als sie etwa den VNC-Port öffneten, wurde er mit Kryptowährungs-Malware infiziert.

Daher sind IT-Sicherheitsleiter, die Smart Factory-Umgebungen zu managen haben, gut beraten sicherzustellen, dass sie die Anzahl der von ihnen geöffneten Ports begrenzen und strenge Zugangskontrollrichtlinien nach dem „Prinzip der geringsten Privilegien“ befolgen.

Doch dies ist lediglich der Anfang. Diese Richtlinien sollten mithilfe zuverlässiger Sicherheitslösungen, die speziell für diese Art von Umgebungen entwickelt wurden, verbessert werden. Diese Lösungen schützen vor der Ausnutzung von Schwachstellen und ungesicherter Kommunikationskanäle und bieten zudem Einsichten in OT-Ressourcen.

Erste Schritte zur effizienten IoT-Gerätesicherheit

Städte, Büros und Häuser werden immer smarter. Eine neue Studie von Gartner schätzt, dass 2020 5,8 Mrd. Endpunkte in Unternehmens- und Automotive-IoT im Einsatz sein werden. Dank solcher Geräte sind tagtägliche Aufgaben und die Produktion zweifellos einfacher geworden. Doch welche Risiken gehen mit den neuen Technologien einher? Denn die Geräte werden an kritische Infrastrukturen angeschlossen, in wichtige betriebliche Aufgaben einbezogen, und enthalten auch kritische Daten. Gleichzeitig müssen sie gesichert werden.

IoT Hacks und Schwachstellen 2019

Es ist ungleich schwieriger, IoT-Geräte zu sichern als Laptops oder ein Mobiltelefon, denn viele dieser Geräte sind bei ihrer Entwicklung nicht auf Sicherheit ausgerichtet worden. Doch im Zuge der steigenden Bedrohungen wächst auch der Druck auf die Hersteller, ihre Produkte mit Sicherheitsmechanismen auszustatten. Trotz des breiten industriellen Einsatzes sind viele der Geräte mit veralteteten Systemen versehen, haben nicht gepatchte Schwachstellen und speichern ungesicherte Daten. In typischen Unternehmensumgebungen stellt die zunehmende Vernetzung weit verbreiteter operativer Netzwerke (einschließlich Geräte, Kommunikationskanäle und Anwendungen) eine vielfältige Angriffsfläche für Hacker dar.

IoT-Bedrohungen verbreiten sich immer weiter. Allein in diesem Jahr gab es mehrere kritische Sicherheitsvorfälle in verschiedenen Branchen, von denen Millionen von Geräten betroffen waren.

Weitere Informationen zu den einzelnen Sicherheitsvorfällen liefert der Originalbeitrag.

Fünf Schritte zur IoT-Sicherheit

Im Allgemeinen sind IoT-Geräte sehr unterschiedlich, und die Sicherung hängt auch vom jeweiligen Typ und Modell ab. In einem Bürogebäude kommt eine intelligente Glühbirne von einem anderen Hersteller als der intelligente Drucker, und das gesamte Steuerungssystem, das das Büro umfasst, verfügt über ein eigenes Betriebssystem. Um all diese unterschiedlichen IoT-Geräte effektiv zu sichern, sind ein übergreifender mehrschichtiger Sicherheitsplan und eine ständige Wartung erforderlich.

Beim Aufsetzen von IoT-Geräten bedarf es fünf erster Sicherheitsschritte:

  • Ändern der standardmäßig gesetzten Passwörter und das Anpassen von Sicherheitseinstellungen den jeweiligen Bedürfnissen entsprechend,
  • Deaktivieren aller Fähigkeiten, die nicht benötigt werden,
  • Für Geräte, die Anwendungen von Drittanbietern nutzen, nur legitime von vertrauenswürdigen Anbietern einsetzen,
  • Update der Geräte-Firmware und -anwendungen, damit das Gerät gegen bekannte Sicherheitslücken geschützt ist,
  • Beim Aufsetzen von Anwendungen auf Geräten sollten die erforderlichen Berechtigungen überprüft werden und der Zugriff darauf eingeschränkt werden.

Fünf Schritte zur Absicherung von Netzwerken und Router

In IoT-aktivierten Umgebungen können auch Netzgeräte und Router zum Risiko werden. Ein kompromittiertes IoT-Gerät kann möglicherweise dazu verwendet werden, um Malware auf weitere Geräte in demselben Netzwerk zu verbreiten. Beispielsweise kann ein smarter Drucker dazu verwendet werden, um Bürocomputer und andere smarte Geräte zu infizieren. Auch kompromittierter Router ist in der Lage, Malware an alle damit verbundenen Geräte zu verteilen.

Die folgenden Maßnahmen sind bei der Absicherung von Netzwerken und Routern hilfreich:

  • Mappen und Überwachen aller vernetzten Geräte. Einstellungen, Zugangsdaten, Firmware-Versionen sowie neue Patches sollten einbezogen werden. Dieser Schritt kann helfen zu beurteilen, welche Sicherheitsmaßnahmen zu ergreifen sind und welche Geräte möglicherweise ausgetauscht oder aktualisiert werden müssen.
  • Anwenden von Netzwerksegmentierung. Netzwerksegmentierung kann das Ausbreiten eines Angriffs verhindern und möglicherweise problematische Geräte, die nicht sofort vom Netz genommen werden können, isolieren.
  • Sicherstellen, dass die Netzwerkarchitektur sicher ist. Router sollten mit VLAN oder einer DMZ aufgesetzt sein – Segmentierungs- und Isolationsmechanismen, die eine zusätzliche Sicherheitsschicht für Netze bilden.
  • Befolgen von Best Practices für Router. Aktivieren der Router Firewall, WPS deaktivieren und das WPA2-Sicherheitsprotokoll aktivieren, starke Passwörter für den WLAN-Zugriff sind nur einige davon.
  • Deaktivieren von nicht benötigten Services wie Universal Plug and Play (UPnP). Schlecht konfigurierte Router mit aktivem UPnP sind kürzlich angegriffen worden. Dies zeigt deutlich, dass es wichtig ist, nicht benötigte Fähigkeiten und Services abzuschalten.

Für einen vollständigeren und mehrschichtigen Verteidigungsansatz, können Nutzer den umfassende Schutz etwa von Trend Micro™ Security und Trend Micro™ Internet Security wählen. Diese Lösungen bieten effiziente Schutzmaßnahmen vor Bedrohungen für IoT-Geräte, denn sie können Malware auf Endpoint-Ebene erkennen. Vernetzte Geräte lassen sich auch durch Lösungen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN) schützen, die den Internetverkehr zwischen dem Router und allen vernetzten Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector-Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle auf fortgeschrittene Bedrohungen überwachen.