Recommended For You
Sie verfügen über ein starkes Industrial Security-Programm. Mit einer guten Cyberhygiene haben Sie Ihre Systeme bereinigt und durch den Einsatz von Angriffserkennungssystemen (Intrusion Detection Systems, IDS) können Sie künftige Angriffe vermeiden. In der komplexen Welt der Cybersicherheit ist es damit jedoch noch nicht getan.
Trotz all Ihrer Bemühungen besteht weiterhin die Gefahr von sogenannten Advanced Persistent Threats (APT). Diese suchen unablässig nach Schwachstellen in Ihrem Sicherheitssystem, um Daten auszuschleusen und Ihren Betrieb ins Stocken zu bringen. Ein Angriffserkennungssystem kann diese Aktivitäten nicht aufhalten.
Zeit für Threat Hunting
Threat Hunting ist einer der nächsten logischen Schritte in Ihrem Cybersicherheits-Programm. Es geht dabei schlicht und ergreifend darum, dass Sie das Netzwerk nach externen Bedrohungen oder Eingriffen durchsuchen, die von automatisierten Sicherheitssystemen nicht entdeckt wurden. Bei dem äußerst skalierbaren Verfahren können unterschiedliche Automatisierungsgrade zur Anwendung kommen oder es kann ganz auf Automatisierung verzichtet werden.
Mit Threat Hunting lassen sich nicht nur Ihre unternehmensinternen Rezepturen und Informationen absichern, sondern auch Verbesserungen der Betriebseffizienz erzielen. In der IT bereits geläufig, hält diese Praxis nun auch in OT-Umgebungen Einzug. Hier kann auch die Lebensmittel- und Getränkeproduktion entscheidend profitieren.
Threat Hunting ist ein aktiver Prozess, dem ein anderer Betrachtungswinkel als bei den bereits eingesetzten Scanning-Tools, digitalen Fallen und zukunftsorientierten Infrastrukturen zugrunde liegt. Im Technologiezeitalter werden mittels grauer Masse bösartige Aktivitäten und Eingriffe aufgedeckt, die bereits Monate oder sogar Jahre in Ihrem Netzwerk gelauert haben können. Und nicht nur das: Es lassen sich Korrelationen zwischen Netzwerkaktivität und Produktionsineffizienzen ermitteln, die ansonsten nicht feststellbar sind.
Angriffe können sich ganz unerwartet bemerkbar machen
Ihr Mischer spielt verrückt? Ihre Bedienerschnittstellen sind ausgefallen? Die Etikettendrucker geben Fehlermeldungen aus?
All dies kann damit beginnen, dass ein Bediener sein ungeschütztes Handy an einem offenen USB-Anschluss am Netzwerk auflädt. Monate später macht Ihr Ofen plötzlich Theater und behält die eingestellten Parameter nicht bei, obwohl mit der Mechanik alles in Ordnung ist.
Bei der sorgfältigen Überprüfung der Netzwerkprotokolle stellt sich heraus, dass immer dann, wenn der Ofen streikt, Signale an eine externe IP-Adresse geleitet werden. Dieser Zusammenhang ist ansonsten nicht feststellbar, was den menschlichen Faktor an dieser Stelle so wesentlich und das Threat Hunting so wertvoll macht.
Einmal wurde ich zu einer Anlage gerufen, bei der es in einer bestimmten Schicht immer wieder zur Verlangsamung der Netzwerkverbindung kam. Durch proaktives Hunting konnte festgestellt werden, dass auf der Workstation eines Mitarbeiters BitTorrent ausgeführt wurde, ohne dass irgendjemand davon wusste. Jeden Tag, wenn sich die Mitarbeiter zu Beginn der Schicht an ihrem Rechner anmeldeten, war damit das gesamte Netzwerk betroffen.
Warum decken Angriffserkennungssysteme verborgene Malware nicht zuverlässig auf?
Fast alles, was beim Threat Hunting zum Vorschein kommt, wirkt harmlos und wird ohne Kontext und Zusammenhang von den Erkennungssystemen als Normalzustand „durchgewunken“. Eine Malware, die mit einer unbekannten IP-Adresse kommuniziert, hebt sich vom normalen Internetdatenverkehr kaum ab.
Es können auch SYN-Scans auf den Peripheriegeräten außerhalb der Grenzen, die von Ihrer Sicherheitssoftware überwacht werden, ablaufen. Diese halten still und leise Ausschau nach einer Netzwerklücke, durch die sie sich Zutritt verschaffen können. Sie werden nicht abgelehnt und da sie noch nicht über Verbindungen nach außen verfügen, bleiben sie unentdeckt.
Beim Threat Hunting kann es vorkommen, dass Sie auf eine Verbindung nach außen stoßen, die von einem Prozess ausgeht, der keinen Kontakt zum Internet haben sollte. Möglich ist auch, dass Sie ein System finden, das zum Zeitpunkt des Verbindungsaufbaus nicht verwendet wurde und auf eine infizierte Quelle hinweist.
Die Sache ist die: Die APTs waren wahrscheinlich bereits vorhanden, als Sie Ihr Cybersicherheitssystem eingerichtet haben. Denn die meisten Programme zur Angriffserkennung und -vermeidung (Intrusion Detection und Prevention) gehen von einem bekannten guten Zustand aus. Gibt es von Anfang an Mängel hinsichtlich des Datenverkehrs oder liegen bereits Malware-Aktivitäten vor, wird dies zur Norm. Viele gemeldete Sicherheitsverletzungen fallen in diese Kategorie. Erst viele Jahre nachdem eine Verletzung aufgetreten ist, wird sie erkannt und der Schadensumfang festgestellt.
Die ersten Schritte
Die gute Nachricht ist, dass Sie wahrscheinlich schon alles haben, was Sie für den Einstieg benötigen. Threat Hunting lässt sich mit dem richtigen Partner leicht implementieren und kann eine einmalige Maßnahme sein oder Teil eines fortlaufenden Sicherheitsprogramms werden. Ihre HMIs und Server protokollieren bereits alle Aktivitäten. Indem Sie diese Protokolle offline sammeln und analysieren, wird das Netzwerk nicht belastet und die Produktion nicht beeinträchtigt.
Verlassen Sie sich also nicht mehr allein auf Endpunktschutz und Virenscanner, um herauszufinden, ob Sie angreifbar sind. Machen Sie selber Jagd auf unbefugte Zugriffe, bevor diese Ihre Produktion lahmlegen.
Veröffentlicht 28. Januar 2019
