Der Blick eines Pentesters auf die "Digital Twins Technologie"

Nur auf Englisch verfügbar

Blogbeitrag 11. Dezember 2020 von Willem Westerhof, Senior Security Specialist bei Bureau Veritas Cybersecurity
Digital Twins


Ein digitaler Zwilling ist eine vollständig (oder fast vollständig) digitalisierte Version von etwas, das normalerweise ein physisches Objekt ist, einschließlich des Kontexts, in dem dieses Objekt verwendet wird.


Ein typischer Anwendungsfall ist zum Beispiel die vorausschauende Wartung von Industriesystemen. Diese Systeme arbeiten unter großer Belastung, und es kann zu schwerwiegenden Problemen kommen, wenn ein System plötzlich zum Stillstand kommt. Durch die digitale Simulation der physikalischen Einflüsse und der langfristigen Belastung eines solchen Geräts ist es möglich, vorherzusagen, dass nach einer bestimmten Anzahl von Betriebsstunden bestimmte Teile ausgetauscht werden müssen.

Ein weiterer typischer Anwendungsfall wäre eindigitaler Zwilling eines Gebäudes, mit dem man die Belastung bestimmter Gebäudeteile ermitteln, herausfinden kann, wie viel natürliches Licht im Gebäude vorhanden ist, welche Standorte für "stille Büros" am besten geeignet sind oder welche Abteilungen nahe beieinander liegen sollten, wie der effizienteste Brandschutz aussieht usw. Darüber hinaus können Sie verschiedene Simulationen zu den Auswirkungen eines bestimmten Szenarios durchführen, z.B.: Was passiert, wenn ein Feuer auf der Westseite des Gebäudes ausbricht?

Was den meisten jedoch entgangen zu sein scheint, ist, dass diese digitale Zwillingstechnologie auch zur Verbesserung der Cybersicherheit eingesetzt werden kann! Insbesondere bei Produkten und Systemen, bei denen eine Verletzung der Cybersicherheit ein Sicherheitsrisiko darstellen kann.

Aus der Perspektive der Verbesserung der Cybersicherheit gibt es eigentlich zwei Arten von "nützlichen" digitalen Zwillingen:

  • Produkt-Zwilling
  • Ökosystem-Zwilling
Digital twin

Produkt-Zwilling

Die Erstellung eines Produktzwillings ist ähnlich wie die Virtualisierung von Software, geht aber noch einen Schritt weiter: Sie berücksichtigt auch den Betriebskontext des Geräts. Das ist ein großer Vorteil bei der Durchführung von Sicherheitstests!

Ein typisches Beispiel sind Kfz-Geräte. Es ist zwar möglich, Software und Hardware im Automobilbereich zu testen, aber in der Regel tun Sie dies in einem stehenden Fahrzeug oder vielleicht sogar bei ausgeschaltetem Motor. In der Realität wird das Fahrzeug jedoch die meiste Zeit mit mittlerer bis hoher Geschwindigkeit über die Straßen fahren, und ein Hack des Geräts während dieser Zeit wäre für das Auto (und seinen Besitzer) mit das Schlimmste, was passieren kann.

Indem Sie einen digitalen Zwilling eines solchen Produkts (z.B. eines Autos) erstellen, können Sie simulieren, wie das Gerät eine bestimmte Strecke fährt, wie es mit anderen Verkehrsteilnehmern umgeht usw., während Sie gleichzeitig versuchen, es zu hacken. Fehler, die normalerweise unbemerkt bleiben - wie z.B. eine kleine, aber potenziell fatale Verzögerung bei der Verarbeitung von Sensoreingaben von seitlichen Kollisionssensoren - können dann gefunden werden, weil der gesamte Kontext, in dem das Gerät arbeitet, ebenfalls getestet werden kann. Ein weiteres gutes Beispiel hierfür sind Flugzeuge oder Raumfahrzeuge. Beides sind Systeme, die Sie auf keinen Fall hacken wollen, während sie irgendwo fliegen, weil es gefährlich ist, wenn etwas schief geht.

Oil and Gas

Darüber hinaus können Sie auch bestimmte Schwachstellen unter bestimmten Bedingungen testen. Wenn Sie z.B. einen Industriekran hacken und das Gegengewicht verlagern können, sollte dies normalerweise nicht zum Umfallen des Krans führen. Aber vielleicht reicht es unter bestimmten Umständen wie starkem Regen, einem windigen Tag oder einer schweren Last, die am Kran befestigt ist, gerade aus, um ihn zum Umfallen zu bringen und schwere Schäden an Menschen und Eigentum zu verursachen.

Neben der offensichtlichen Verbesserung, ernsthafte Probleme zu finden und in einem normalen Betriebszustand testen zu können, entfallen auch viele negative Aspekte des Testens dieser Produkte in ihrem regulären physischen Zustand. Intrusive Penetrationstests können manchmal Dinge kaputt machen oder sogar Systeme dauerhaft zum Absturz bringen, und diese Art von Geräten sind nicht gerade billig, wenn es darum geht, sie neu zu installieren oder auf die ursprünglichen Einstellungen zurückzusetzen, während ein digitaler Zwilling einfach in seinen ursprünglichen Zustand zurückgesetzt werden kann.

Darüber hinaus kann der Aufwand für die Genehmigung, die Kontrollen, das Screening, die täglichen Sicherheitskontrollen, die Einsätze vor Ort usw., die mit dem Testen dieser Art von Geräten verbunden sind, auf ein Minimum reduziert werden, da Sie einen digitalen Zwilling erhalten, den Sie in Ihrem eigenen Büro selbst verwalten können. Dies führt letztendlich zu günstigeren und gründlicheren Penetrationstests.

Ökosystem Zwilling

Dies ist (und sollte) ein sehr weit gefasster Begriff sein. Im Wesentlichen handelt es sich um ein System von Systemen, die sich gegenseitig auf eine bestimmte Weise beeinflussen. Ein Ökosystem-Zwilling kann so klein oder so groß werden, wie man es sich vorstellen kann. Um ein paar Beispiele zu nennen:

  • Der Prozess eines Produkts auf seinem Weg durch eine Fabrik
  • Ein intelligentes Gebäude mit allen Arten von Geräten darin.
  • Stromnetze mit autonomen Reaktionen auf Veränderungen bei Angebot und Nachfrage auf der Grundlage von Sensoreingaben.
  • Eine Stadt oder Nation mit all ihren lebenswichtigen Infrastruktursystemen.
  • Was in Wirklichkeit ein Ökosystem von Ökosystemen ist.
Adobe Stock 288623293

Diese Art von digitalem Zwilling eignet sich am besten für die Analyse der Auswirkungen einer entdeckten Sicherheitslücke. Es wird möglich zu simulieren, was passiert, wenn ein DoS auf einem bestimmten System verursacht wird. Was fällt zunächst aus? Was sind die Folgen? Hat dies irgendwelche kaskadenartigen Auswirkungen? Ein DoS-Angriff auf ein Klimatisierungssystem beispielsweise würde normalerweise als Problem mit mittlerem Risiko eingestuft werden. Wenn diese Klimaanlage jedoch das einzige System im Serverraum ist und alle Server zu überhitzen beginnen, was zu Netzwerkausfällen, Ausfallzeiten, fehlendem Zugriff usw. führt, könnte dies als Problem mit hohem oder kritischem Risiko betrachtet werden, das behoben oder zumindest abgeschwächt werden sollte.

Ein anderes Beispiel wäre die Ermittlung der Angriffsfläche. Wenn sich jemand in der Nähe des Gebäudes aufhält, welche Wi-Fi/Bluetooth/Wireless-Technologie kann dann angegriffen werden? Oder wenn ein Angreifer nach dem Importieren all Ihrer Firewall-Regeln Remotecode-Ausführung auf einem bestimmten System erlangt, welche Geräte könnte er/sie dann möglicherweise vom ursprünglichen Infektionspunkt aus erreicht haben? Welche Auswirkungen hat es, wenn diese Systeme kompromittiert werden, und wo befinden sich diese Geräte in dem Gebäude?

Diese Fragen können zwar manchmal teilweise beantwortet werden, indem Sie verschiedene Experten in Ihrem Unternehmen befragen, aber die Antworten sind oft nicht mehr als Vermutungen. Insbesondere bei großen oder komplexen Systemen ist es äußerst schwierig, die gesamte Angriffsfläche und die Folgen eines Systemausfalls oder einer Kompromittierung wirklich zu überblicken.

Betrachten Sie zum Beispiel das folgende Szenario:

Es gibt einen Konstruktionsfehler in einem Wassersensorsystem, bei dem die Sensordaten von einem Angreifer gefälscht werden können und dem zentralen Hub-Gerät immer vertraut wird. Es wurde ein Patch herausgegeben, um dieses Problem zu beheben, aber das Gerät wird nicht automatisch aktualisiert. Eines Tages kommt ein Angreifer in die Nähe eines solchen Sensors und beginnt, die Daten zu fälschen, um zu zeigen, dass es zu viel regnet. Der zentrale Knotenpunkt vertraut der Meldung und leitet sie weiter. Das Ökosystem reagiert automatisch, indem es das überschüssige Wasser auf die überschwemmbaren Felder der Bauern pumpt, um Überschwemmungen an anderer Stelle zu verhindern. Die Felder der Landwirte werden durch die Überwässerung ruiniert und in anderen Gebieten kommt es zu Problemen aufgrund von Dürre, da das Wasser abgepumpt wurde.

Adobe Stock 301868131

Dieses Beispiel zeigt, dass eine relativ unbedeutende oder mit einem niedrigen CVSS-Score bewertete Schwachstelle (wenn sie im Kontext des Gesamtbildes betrachtet wird) große Auswirkungen haben kann. Wäre die Auswirkungsanalyse mit Hilfe der Technologie des digitalen Zwillings durchgeführt worden, hätte dieses Problem leicht vermieden und in Zukunft verhindert werden können , indem Maßnahmen zur Schadensbegrenzung ergriffen worden wären, wie z.B.:

  • Flicken Sie die aktuellen Sensoren.
  • Umstellung auf mehrere Sensortypen, um Komplettausfälle aufgrund von Schwachstellen in einem Sensortyp zu verhindern.
  • Schaffen Sie zusätzliche Automatismen, um Fehlentscheidungen zu vermeiden (z.B. sollte eine Dürre an einem Ort und eine Überschwemmung an einem anderen, nahe gelegenen Ort eine Art Alarm auslösen, da dies normalerweise nicht vorkommt).

Die Möglichkeiten des Zugriffs auf einen solchen Ökosystem-Zwilling beschränken sich nicht nur auf die Durchführung von Auswirkungsanalysen bekannter Schwachstellen. Es ist auch möglich, ihn als Werkzeug für die Risikoanalyse zu verwenden und einzelne Schwachstellen sowie allgemeine Designschwächen (einschließlich Schwachstellen für Zero-Day-Angriffe) im Ökosystem zu entdecken. Darüber hinaus kann sie bei der Entscheidung helfen, welche Teile des Netzwerks getestet werden sollten oder welche "Flaggen" während eines Red-Team-Einsatzes gesetzt werden sollten.

Alles in allem kann die Technologie des digitalen Zwillings wirklich alsVerstärker für das Sicherheitsniveau einer Organisation eingesetzt werden, aber natürlich gibt es auch einige Fallstricke und Gefahren.

Adobe Stock 152332157

Häufige Fallstricke und Gefahren bei der Verwendung digitaler Zwillinge

Erstens, und das mag für manche offensichtlich sein, sollten Sie Ihren digitalen Zwilling stets sicher und vertraulich halten. Ein Angreifer, der Zugriff auf den digitalen Zwilling Ihres Unternehmens, Gebäudes oder Produkts hat, kann alle Informationen finden, die er möglicherweise benötigt, um Sie in der realen Welt zu hacken.

Zweitens gilt das gleiche Prinzip, das für alle datengesteuerten Systeme gilt: Müll rein = Müll raus. Entweder Sie machen es richtig, oder Sie lassen es ganz bleiben. Und stellen Sie sicher, dass alle Ratschläge oder identifizierten Designprobleme in der Praxis auf ihre Richtigkeit hin überprüft werden.

Drittens: Wenn Sie Produktzwillinge erstellen, implementieren Sie in der Regel zuerst eine Menge Sensoren an einem realen Produkt, um herauszufinden, welche physikalischen und individuellen Dinge Sie in Ihrem digitalen Zwilling implementieren sollten. Das bedeutet, dass Sie auch eine Menge Angriffsfläche für dieses spezielle Produkt schaffen. Achten Sie also bei der Implementierung dieser Sensoren auf Sicherheit bei der Produktauswahl.


Zusammenfassend

Alles in allem ist die Technologie des digitalen Zwillings großartig, auch für die Sicherheit, wenn Sie sie richtig einsetzen. In der Praxis wird sie derzeit noch nicht in großem Umfang für Sicherheitszwecke eingesetzt, aber wir sehen langsam, dass einige frühe Anwender die Möglichkeiten des Einsatzes für genau diesen Zweck erforschen (oder sogar Proof of Concepts dafür erstellen).