Framework für Angriffe auf ICS- und SCADA-Systeme (INCONTROLLER / PIPEDREAM)  

CSW-Nr. 2022-215481-1032, Version 1.0, 14.04.2022

Sachverhalt

Am 13.4.2022 wurde durch die US-Behörden CISA, DOE, NSA und FBI ein gemeinsames Security Advisory veröffentlicht, welches verschiedene Tools beschreibt, die zum Einsatz gegen industrielle Steuerungs- und Automatisierungssysteme entwickelt wurden [CIS2022]. Die Firma Dragos verwendet den Namen „PIPEDREAM“ [DRA2022]. Mandiant bezeichnet in seinem Bericht das Toolkit als „INCONTROLLER“ [MAN2022]. 

Kurz von uns zu den aufgeführten Maßnahmen: Es ist explizit erwähnt 

  • Schnittstellen (Kommunikationsverbiundungen) zu überwachen, 
  • eine Whitelisting und Überwachung der kritischen Befehle (Schreiboperationen, Zustandsänderungen, Firmware-Updates,…) 
  • Statt einem auf Indikatoren basierenden Detektionsansatz, sollte ein verhaltensbasierter Ansatz gewählt werden. Dazu zählt insbesondere die Anomaliedetektion. Hierfür müssen ausreichend Daten durch Logging und Netzwerk- Monitoring erhoben werden. Darüber hinaus sollten regelmäßig Threat Huntings durchgeführt werden. 
  • Symptome, wie beispielsweise DoS und Verbindungsabbrüche, müssen untersucht werden, da dies auf Angreiferaktivität hindeuten kann. 

_________________________________________________________________________

IRMA® – So einfach, so sicher! – Angriffserkennung für vernetzte Automatisierungen und Produktionsanlagen – Protokollierung // Detektion // Reaktion.

_________________________________________________________________________

Maßnahmen

Die konsequente Trennung von Büro- und Prozessnetz und die Überwachung von Schnittstellen zwischen den Netzen ist eine der wichtigsten Maßnahmen. Kommunikation des Prozessnetzes mit anderen Netzen sollten auf das Minimum beschränkt werden. Es muss sichergestellt werden, dass alle Schnittstellen bekannt sind. Jegliche Zugriffe auf das Prozessnetz aus anderen Netzen müssen angemessen abgesichert sein. Dies gilt sowohl für Zugriffe aus dem Büronetz und Fernwartungszugriffe als auch Herstellerzugänge. Insbesondere müssen auch Mobilfunkmodems im Prozessnetz entsprechend geschützt und überwacht werden. Wo immer möglich, sollte Multifaktorauthentisierung eingesetzt werden. Sofern Daten aus dem Prozessnetz direkt ins Internet übertragen werden, muss dies rückwirkungsfrei geschehen.

Eine starke Segmentierung mit wirksamen Begrenzungen der Kommunikation der Segmente untereinander auf das absolute Minimum, kann die Ausbreitung der Angreifer im Netz erschweren. Insbesondere sollten die Kommunikationspartner, welche kritische Befehle (Schreiboperationen, Zustandsänderungen, Firmware-Updates,…) ausführen dürfen, explizit gewhitelistet sein und diese Kommunikation überwacht werden. 

Für nicht Standard-IT-Geräte, die einen Passwortschutz bereitstellen (Purdue-Level 2 und 3), sollten die Passwörter gesetzt werden beziehungsweise Default-Zugangsdaten geändert werden. Sofern diese Geräte keine ausreichend komplexen Passwörter unterstützen, sollten die Passwörter in regelmäßigen Abständen geändert werden. 

Statt einem auf Indikatoren basierenden Detektionsansatz, sollte ein verhaltensbasierter Ansatz gewählt werden. Dazu zählt insbesondere die Anomaliedetektion. Hierfür müssen ausreichend Daten durch Logging und Netzwerk- Monitoring erhoben werden. Darüber hinaus sollten regelmäßig Threat Huntings durchgeführt werden. 

Für einen Exploit der ASRock-Treiber-Schwachstelle, stellt Mandiant Yara-Regeln bereit. Diese sind der Meldung beigefügt. 

Ein Notfallplan, der die relevanten Parteien aus IT, Cybersicherheit und Betrieb einbindet, muss existieren, bekannt sein und beübt werden. Symptome, wie beispielsweise DoS und Verbindungsabbrüche, müssen untersucht werden, da dies auf Angreiferaktivität hindeuten kann. 

Gerätespezifische Hinweise gibt Schneider Electric in seinem Security Bulletin [SCE2022]. 

Des Weiteren kann die Angriffsfläche durch eine konsequente Anwendung der Defense-in-Depth-Strategie minimiert werden. Hinweise hierzu finden sich auch im ICS-Kompendium des BSI [BSI2013]. 

««««««««««««««««««««««««

Die vollständige Warnung des BSI finden Sie hier.