Marktkommentar #7: OT Security Risiken und Lösungen

Hallo zusammen,

Wiz ist sogar erst vor ca. 4 ½ Jahren gegründet worden (Danke für den Hinweis, Georg!). Also, egal wie und zu welcher Bewertung der Exit erfolgt, die ~1 Mrd. Umsatz sind eine Wahnsinnsleistung.

Allerdings ist jetzt auch einige Kritik daran laut geworden, wie diese Kunden gewonnen wurden – das muss ich mir aber erstmal in Ruhe anschauen.

 

Ansonsten dreht sich heute zur Abwechslung mal alles um OT Security. Wer keine OT oder kein Interesse an OT hat, kann somit an dieser Stelle gepflegt woanders weiterschmökern (zum Beispiel zum Crowdstrike-Vorfall, da ist ja viel Lesestoff produziert worden. Zum Glück scheinen wir neben ein paar Millionen Fußball-Profis inzwischen auch fast genauso viele Security-Experten in der Bevölkerung zu haben 😉).

Waterfall (mehr zum Anbieter auch unten) hat vor ein paar Wochen den interessanten 2024 Threat Report – OT Cyberattacks with Physical Consequences veröffentlicht.

Noch interessanter fand ich sogar Dale Petersons Gespräch mit dem Hauptautor Andrew Ginter dazu. Ein paar Key Takeaways:

  • Der Bericht stützt sich auf weltweit 68 bekannte Sicherheitsvorfälle 2023, die nachweislich Konsequenzen in physischen Prozessen hatten (d.h., nicht nur Datendiebstähle / Datenverschlüsselung, sondern auch Auswirkungen wie Produktionsausfälle oder Beschädigung von Geräten.)
    • In den meisten dieser Fälle haben die Verantwortlichen Prozesse in der OT abgeschaltet, um das Risiko eines Befalls zu reduzieren / auszuschließen („Abundance of Caution“ in den SEC Filings). Beispielsweise war Colonial Pipelines so ein Fall – und nicht der Ausfall des Zahlungssystems, was ja mal in der Presse berichtet wurde.
    • Bei 12 Angriffen war die OT hingegen direkt betroffen. Beispiel: Flugzeuge in Israel und Ägypten, die durch GPS Jammer in der Navigation gestört, oder iranische Tankstellen, die lahmgelegt wurden.
  • Natürlich gibt es eine Dunkelziffer von nicht öffentlichen Vorfällen – das Autorenteam geht aber davon aus, dass der Bericht mehr als die Hälfte aller tatsächlich stattgefundenen Angriffe enthält.
  • Zudem sind keine Vorfälle bei Krankenhäusern/Kliniken berücksichtigt, warum auch immer.
  • Es gibt anscheinend immer noch so gut wie keine bekannten Angriffe, in denen OT Automatisierungstechnik bei Unternehmen erfolgreich kompromittiert wurde. Das ergibt sich nicht nur aus dem o.g. Bericht, sondern auch aus anderen Aussagen:
    • Im Podcast-Gespräch mit Klaus Mochalski (Gründer und GF von Rhebo) macht Stefan Grützmacher (Städtische Werke AG und im Beirat von Rhebo) die Aussage, dass er bisher keinen OT Vorfall beobachten konnte.
    • Selbiges bestätigt Götz Schartner von 8Com (Managed SOC Betreiber, ca. 70% der Kunden mit OT im Scope): Bisher sage und schreibe genau Null OT-spezifische Angriffe beobachtet.
    • Ich vermute mal, dass Rhebo als einer der führenden Anbieter von OT Anomaliedetektionssystemen eher ein geschäftliches Interesse daran hätte, das Gegenteil zu behaupten. Großer Respekt also ggü. Klaus und seinen Interviewpartnern vor dieser Ehrlichkeit! Und fairerweise muss man sagen, dass die Anomalieerkennung den Betriebsteams in Kraftwerken, Raffinerien etc. natürlich große Vorteile in der Optimierung und Fehlerbeseitigung bietet => Also die Verfügbarkeit erhöht.
    • Auch Integrationsspezialisten für IRMA (ein anderes OT Anomaliedetektionssystem, verbreitet insb. bei Wasserversorgern) haben bestätigt, dass in ihrer langjährigen Praxis noch kein einziger Angriff auf OT Automatisierungstechnik erkannt wurde. Auch hier würde man ja eher denken, dass diese Aussage dem Geschäft abträglich ist.
  • Fazit für mich Stand heute:
    • OT Security Basics wie Absicherung von Fernzugriffen, Netzwerksegmentierung und Notfallübungen sind ein klares Muss
    • Komplexe Systeme zur Überwachung von OT Protokollen auf Anomalien im Netzwerk dagegen erscheinen bei den meisten Kunden fragwürdig, zumindest zur Erkennung von externen Cyberangriffen. Denn es gibt schlichtweg keine Angriffe auf industrielle Steuerungen, die man damit finden könnte. Für Angreifer gibt es viel einfachere Möglichkeiten, Geld zu erpressen – auch in der OT. Kann sich das irgendwann mal ändern? Theoretisch ja, aber im Moment kann man den nächsten Euro wahrscheinlich an anderer Stelle besser einsetzen.
    • Kudos an Ralph Langner (OTbase), der immer wieder auf diese Fakten hinweist, anstatt mit Panikmache Geld zu verdienen – was ihm sicher einfach fallen würde, schließlich hat er u.a. Stuxnet entschlüsselt.
    • Falls jemand andere belastbare Datenpunkte dazu hat => Immer gerne

Hier noch Notizen aus Anbietergesprächen:

Denexus:

  • Cyber Risk Quantification (=Board Level Zusammenfassungen und Fortschrittsberichte, in denen alle Informationen managementtauglich in EUR-Zahlen zusammengefasst sind) für OT Security Risiken
  • Kannte ich für IT Security (z.B. Safe, Squalify, Axio, Panaseer), aber noch nicht für OT
  • ~200 Kundeninstallationen, auch in der EU, insb. Energie / Oil+Gas (z.B. Repsol, edf)
  • Nutzt externe + interne Schwachstellenscans, manuell eingepflegte Infos zu Maßnahmen sowie Versicherungsdaten, um nach FAIR Methode OT Cyberrisiken zu quantifizieren
  • Das sogenannte Attack Path Mapping zur Einschätzung der Eintrittswahrscheinlichkeit hört sich erstmal spannend an, entpuppt sich aber als generische Zuordnung von Initial Access Schritten (wie „Phishing“) zu Impact (wie „Downtime“). Eine kundenspezifische Modellierung oder Validierung auf technischer Netzwerkebene scheint keinen Einfluss zu haben.
  • Eignet sich dann natürlich in der Theorie gut, um Berichte für das Risikomanagement zu erstellen und den ROI für weitere Security-Maßnahmen zu berechnen bzw. zu rechtfertigen. Damit sicher etwas für börsennotierte Konzerne.
  • Die Gefahr liegt aus meiner Sicht aber in einer Scheingenauigkeit – mir ist nicht bekannt, dass es tatsächlich seitens Versicherer/Rückversicherer eine Datenbasis gibt, anhand derer man die Erfolgswahrscheinlichkeit eines Angriffs auf Basis der eingeführten Security-Maßnahmen vorhersagen kann. Denn ein Angreifer hätte ja vielleicht auch einen alternativen Weg wählen können – wer weiß, ob das nicht auch funktioniert hätte. Insbesondere bei OT-spezifischen Maßnahmen wie einem OT NIDS oder OT Netzwerksegmentierung scheint mir die Datenlage dünn.
  • Wie auch bei den o.g. Tools für IT sind keine Daten für die Kosten der Einführung von zusätzlichen Security-Maßnahmen wie Tools, Services oder Prozessen hinterlegt.

Waterfall Security (Update)

  • Kennen wir von den „Datendioden“:
    • Verbreitet insb. bei kritischer Infrastruktur (Kernkraftwerke, Banken, Prozess-Leitsystemhersteller)
    • Unidirektionale Gateways auf Basis Laser und Photozelle, d.h., im Normalbetrieb physikalische Trennung in eine Richtung, L1 Verbindung in die andere Richtung, keine TCP/IP Verbindung zwischen IT und OT möglich
    • Für Interaktionen mit der Enterprise IT (z.B. Anbindung an ERP) wird ein „Digital Twin“ als Replik des SCADA-Systems und der OT Server aufgebaut
    • Dafür muss teilweise allerdings die OT Serverinfrastruktur durch den Kunden gedoppelt werden, bei schlanken Protokollen wie Syslog und OPC-DA läuft der digitale Zwilling direkt auf dem Gateway
    • Nachteil dabei u.a.: Digitaler Zwilling muss trotzdem mit Firewall, AV etc. ausgestattet werden, genau wie eine DMZ
    • SW-Updates (z.B. AV) oder sonstige Zugriffe auf dem OT Realsystem erfolgen über einen Bypass, der mittels Schlüsselschalter freigeschaltet werden kann
  • Ein Briefing gab es insb. zur neuen Fernzugriffslösung (Hardware Enforced Remote Access HERA):
    • Im Prinzip eine Datendiode, die nur verschlüsselte Videodaten (Screen Capture) aus OT zur IT überträgt
    • Kombiniert mit einer parallelen Datendiode, die nur verschlüsselte Tastatur- und Mouse-Daten von IT an OT übermittelt
    • Nutzbar also für Echtzeit-Änderungen an Programmparametern oder Konfigurationen
    • Common Criteria EAL4+ zertifiziert
    • Übliche Features wie MFA, Session Recording, Logging, Multi-Site-Management etc.
    • Nachteil: Natürlich für viele Fernzugriffs-Anwendungsfälle nicht brauchbar (z.B. Übertragung von SPS-Programmen), zudem vermutlich recht teuer, wenn der Zugriff granular auf einzelne Assets/Segmente erfolgen soll
    • Lizenzkostentreiber v.a. Anzahl Nutzer-Clients (d.h., Anzahl Wartungstechniker mit Zugriffsmöglichkeit, kann ggf. über Jump Hosts zusammengefasst werden)
    • In der Realität dazu noch Begrenzung der verbundenen Services über Bandbreite der Gateways
    • Vielleicht mal anschauen – der Gebietsleiter DACH ist Vollbluttechniker, da lohnt sich ein Gespräch in jedem Fall

XAGE:

  • Remote Access (nennt sich aber Zero Trust) für IT/OT Umgebungen
  • Verteiltes Netz von Containern („Nodes“) oder Hardware Gateways in Kundenumgebung, die nach meinem Verständnis IPSec Tunnel aufbauen und darin z.B. Industrieprotokolle kapseln. Der Tunnel endet daher natürlich nicht direkt an einer SPS, sondern an einem Node in einer als sicher eingestuften Zone.
  • Jeder Node enthält alle Policies für Zugriffsrechte, so dass das System auch ohne Internetverbindung oder bei Ausfall der zentralen Policy Engine funktioniert
  • Überraschend: Auch IEC 62443-4-1 zertifiziert, neben FIPS 140-2
  • Im Gespräch habe ich auch gelernt, dass Gartner OT jetzt (wieder) als „Cyber physical systems“ / CPS bezeichnet

Fortiphyd:

  • Ja, heißen tatsächlich so, haben aber nichts mit Fortinet zu tun. Kleines Startup aus USA
  • Sehr innovative, aber auch sehr spezielle Lösung: Antimalware für SPS bzw. PLC/RTU („Controller Endpoint Detection and Response“), also OT/IIoT-Security
  • AV-Software ist in den gleichen Sprachen programmiert wie die Steuerungslogik-Programme, die auf den SPS laufen (Leiterlogik, strukturierter Text, IEC 61131)
  • Neben dem AV-„Agenten“ auf jedem Controller braucht man dann noch einen zentralen Server für die Überwachung
  • Allerdings ist die Einführung vermutlich mit hohen Hürden verbunden: Muss ja für jeden Controllertyp individuell angepasst werden, und dann muss die Funktionalität (=> Laufzeiten, insb. bei Real Time!) getestet werden. Die OEMs der Automatisierungstechnik und Anlagenbauer sind daher aus meiner Sicht geeignetere Kunden als Betreiber.
  • Diese Woche hat interessanterweise Nozomi eine OEM-spezifische Lösung für die SPS von Mitsubishi vorgestellt (Arc), die auf dem gleichen Ansatz basiert

Network Perception:

  • Kleiner US-Anbieter mit einer pfiffigen Lösung für OT Network Discovery, Angriffspfadvisualisierung und Firewall-Regelprüfung (d.h., keine Anomalieerkennung à la Nozomi oder Claroty), funktioniert mit allen gängigen Firewalls.
  • Klarer Fokus Energiesektor, allerdings noch keine Kunden in der EU.
  • Cooles Feature, wie ich fand: Automatische Darstellung einer Matrix von Netzsegmenten (=> welche Netzsegmente können über welche Ports mit welchen anderen Segmenten kommunizieren), s. Abbildung anbei.

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email.

 

Viele Grüße

Jannis Stemmann