OT Perimeter Bewertung Schritt 1: Netzwerkdesign

Warum die Verbindung zwischen IT und OT so riskant ist

Die traditionelle Auffassung von OT-Netzwerken (Operational Technology) als isolierte Netzwerke entspricht nicht mehr der Realität. In der heutigen Landschaft sind OT-Netzwerke mit IT-Netzwerken verflochten und dadurch einer Vielzahl von Bedrohungen ausgesetzt. Die meisten Cyber-Angriffe beginnen in IT- oder Remote-Netzwerken. Angreifer nutzen dann verwundbare Verbindungen, um die OT-Seite zu infiltrieren. Die Bekämpfung dieser Bedrohungen und die Sicherung des Perimeters ist oft der wichtigste Schritt, wenn es um die OT-Sicherheit geht.

Sobald dieses Diagramm fertig ist, verwenden wir es in interaktiven Sitzungen mit Ihren Experten. Ziel dieser Sitzungen ist es, das DFD zu verifizieren oder zu ergänzen, indem wir es mit der realen Situation vergleichen und uns alle bekannten Kommunikationsflüsse ansehen.

Identifizierung der Bedrohungen

Sobald wir ein gründliches Verständnis des Netzwerkdesigns haben, ist es an der Zeit, alle potenziellen Bedrohungen und Eintrittspunkte in und aus den OT-Netzwerken zu bewerten. Dazu verfolgen wir einen Inside-Out-Ansatz. Wir beginnen am Verbindungspunkt der IT- und OT-Netzwerke (Ebene 3.5 im Purdue-Modell) und bewegen uns nach außen, um sowohl das IT-Netzwerk (Ebenen 4 und 5) als auch das OT-Netzwerk (Ebenen 1, 2 und 3) zu bewerten.

Das klingt ziemlich abstrakt, also verwenden wir einige Beispiele, um einige spezifische Systeme in diesem Netzwerkdiagramm hervorzuheben und die verschiedenen Bedrohungen zu untersuchen, die diese Systeme betreffen können.

Bedrohung 1: das Risiko einer freizügigen Zugangskontrolle

In dem mit T01 gekennzeichneten Netzwerkdiagramm sehen wir, dass es mehrere Dual-Homed-Systeme gibt, die sowohl mit dem IT-Netzwerk (Firewall) als auch mit dem OT-Netzwerk verbunden sind. Diese Systeme haben zwei separate Netzwerkkarten (NICs): eine im IT-Netzwerk und eine im OT-Netzwerk. Bediener und Techniker verwenden diese Systeme häufig, um über eine Remote-Desktop-Anwendung, die in einer virtuellen Umgebung läuft, auf das OT-Netzwerk zuzugreifen.

In diesem speziellen Szenario laufen die Dual-Homed-Systeme auf VMware Vsphere: eine komplette virtuelle Umgebung, die Netzwerke, Desktops und Hardware für Geschäftsanwender virtualisiert. Es ist üblich, VMware für die Abschottung zu verwenden, um sicherzustellen, dass Techniker und Bediener nur Zugriff auf bestimmte Umgebungen haben.

Die rollenbasierte Zugriffskontrolle für einige Benutzergruppen auf diese Umgebungen kann jedoch zu freizügig sein, was eine Bedrohung für das OT-Netzwerk darstellen könnte, wenn ein Angreifer Zugriff auf eine Benutzergruppe erhält. Eine weitere wichtige Frage ist, ob die Virtualisierungsplattform speziell für die OT oder gemeinsam mit der IT genutzt wird. Wir haben manchmal gesehen, dass dies eine Gelegenheit bietet, aus der Betreiberumgebung "auszubrechen" und dieses doppelt gehostete System als Sprungbrett zum OT-Netzwerk zu nutzen.

Noch wichtiger ist die Angriffsfläche des Hypervisors selbst, der vSphere-Software. Da sie häufig von der IT-Seite aus verwaltet wird, sind die Wartungsports vom IT-Netzwerk aus zugänglich. Eine schwache Konfiguration, veraltete Versionen, schlechte Passwörter oder mangelndes Patch-Management können zu mehreren Schwachstellen mit bekannten Exploits führen. Solche Exploits können es einem Angreifer ermöglichen, sich unbefugt Zugang zu diesen Umgebungen zu verschaffen oder nach dem ersten Zugriff aus der virtuellen Umgebung auszubrechen und schließlich Zugang zum OT-Netzwerk oder zu OT-Anwendungen zu erhalten.

Wenn wir den Teil T02 des Diagramms betrachten, sehen wir eine weitere potenzielle Bedrohung: die Verbindung zwischen OT-Systemen und dem IT Domain Controller (DC). Dieser IT-Server ist für die Verwaltung aller Active Directory (AD) Authentifizierungen und domänenbezogenen Aktivitäten verantwortlich. In dieser Umgebung ist der OT-Domänencontroller über eine Vertrauensbeziehung mit dem IT-DC verbunden. Dies ist praktisch, da alle Benutzer in beiden Umgebungen dieselben Anmeldedaten verwenden können.

Auch wenn die Vertrauensbeziehung wie eine sichere Lösung aussieht, schafft sie in Wirklichkeit eine ernsthafte Angriffsfläche für die OT-Systeme. Wenn die IT-AD-Konten kompromittiert werden, besteht die unmittelbare Gefahr eines unbefugten Zugriffs auf das OT-Netzwerk. Wenn der IT-Domänencontroller zur Verbreitung von Ransomware missbraucht wird, sind zudem alle mit der Domäne verbundenen Systeme gefährdet, in diesem Fall auch alle mit der Domäne verbundenen OT-Systeme.

Schließlich sind viele Kommunikationsports zwischen den beiden Domain Controllern erforderlich, von denen viele missbraucht werden können. Vor allem, wenn der OT-Domänencontroller weniger häufig gepatcht wird, was in der OT nicht unüblich ist. Durch diese Verbindung kann auf diese Schwachstellen vom IT-Netzwerk aus zugegriffen werden. Vielleicht fällt Ihnen auf, dass es in diesem Beispiel keine Firewall gibt, was den Angriff erleichtern würde - aber selbst mit einer konfigurierten Firewall ist der Angriffsvektor noch vorhanden.

Für das letzte Beispiel sehen wir uns T03 des Diagramms an: die HLK- und USV-Systeme im OT-Bereich. Obwohl diese Systeme nicht direkt mit dem OT-Netzwerk verbunden sind, sind sie oft entscheidend, um die industriellen Kontrollsysteme am Laufen zu halten.

In diesem Fall können diese Systeme jedoch von einem Gebäudemanagementsystem oder Building Management System (BMS) aus ferngesteuert werden, um diese Systeme zu überwachen und zu warten. Wenn diese Systeme schlecht verwaltet werden, vielleicht von einer anderen Abteilung oder sogar einem externen Dritten, kann dies einen neuen Angriffspfad von der IT schaffen, der sich indirekt auf die OT-Systeme auswirken und die eingerichteten IT/OT-Firewalls umgehen kann.

Wie können Sie Ihre OT-Sicherheit verbessern?

Dies sind nur einige Beispiele, die zeigen, welche versteckten Schwachstellen im heutigen OT-Netzwerk vorhanden sein können. Weitere Beispiele sind (sichere) Fernzugriffslösungen, die intern oder von Dritten genutzt werden, dezentrale Infrastrukturen mit WAN-Anbindung, dezentrale Cloud-Dienste, MES- oder ERP-Verbindungen, Datenhistoriker, Geräte mit Web- oder anderen externen Schnittstellen und vieles mehr.

Natürlich hört die Bewertung nicht bei der Designbewertung auf und das ultimative Ziel ist es, die gerade genannten Probleme anzugehen und Ihre Angriffsfläche zu reduzieren. Die vollständige OT-Perimeter-Bewertung besteht aus:

• Verstehen des Netzwerkdesigns
• Analyse der Firewall-Konfiguration
• Scannen des OT-Systems und des Netzwerkverkehrs

In zwei weiteren Artikeln werden wir die Analyse der Firewall-Konfiguration und die Scan-Komponenten der Bewertung besprechen. In der Zwischenzeit können Sie mehr über das OT Perimeter Assessment lesen oder die Broschüre unten herunterladen.