ICS-Schwachstellen: betroffene Industriezweige

Originalartikel von Trend Micro

Von Schwachstellen, die industrielle Steuerungssystemumgebungen (ICS) betreffen, erfährt die Öffentlichkeit durch Advisories des Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). Wir haben ICS-Lücken mit Hilfe von MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) eingehend untersucht und deren Entwicklung in den letzten zehn Jahren nachgezeichnet. Auch ist es wichtig zu wissen, welche Industriebereiche in erster Linie von Angriffen betroffen sind.

Bild 1. Die 2021 von ICS-CERT Advisories identifizierten CVEs nach Risiko-Level

Das Diagramm zeigt, dass 59,8 % der ICS-bezogenen Schwachstellen 2021 kritisch oder hoch riskant waren. Darunter fallen die Schwachstellen, die von Angreifern leicht ausgenutzt werden können, um den Betrieb zu beeinträchtigen.

Bild 2. Die 2021 von ICS-CERT Advisories identifizierten CVEs nach Industriesektor

Dieses Diagramm zeigt die Schwachstellen von 2017 bis 2021, in den ICS-CERT-Advisories nach Wirtschaftszweigen klassifiziert. Die Zahlen geben an, wie viele Schwachstellen in den Advisories jedes Jahr die einzelnen aufgeführten Wirtschaftsbereiche betreffen. Der erhebliche Anstieg der Zahl der Schwachstellen, die die kritische Fertigung betreffen, sticht unter allen anderen Branchen hervor.

Forscher zeigen an diesem Thema besonderes Interesse, vor allem weil es damit die Möglichkeit gibt, Geld und Anerkennung zu verdienen, etwa über ausgeschriebene Bedrohungsprämien. Der erste vollständig auf ICS ausgerichtete Hacking-Wettbewerb, Pwn2Own Miami der Zero Day Initiative, der gerade wieder stattgefunden hat. Hacking-Wettbewerbe werden von den Teilnehmern gewonnen, die die meisten Schwachstellen aufdecken und ausnutzen, und dies war der erste Wettbewerb dieser Art, der sich ausschließlich auf industrielle Anlagen wie HMIs und Steuerungsserver konzentrierte. Dieses hohe Interesse trägt natürlich auch zum Schutz betroffener Industriezweige bei.

Die kritische Fertigungsindustrie liegt bei der Bedrohung deutlich vorn, doch beobachteten wir in den ICS-CERT-Advisories von 2021 auch einen Anstieg in mehreren anderen Branchen. Wir gehen davon aus, dass Angreifer und Forscher 2022 oder 2023 ein größeres Interesse an dieser Art von Schwachstellen haben werden, da Angriffe darüber mehrere Wirtschaftszweige gleichzeitig erreichen können. Wenn ein Angreifer nur eine Schwachstelle aus dieser Gruppe ausnutzt, kann er auf einfachere Weise verschiedene Arbeitsbereiche in unterschiedlichen Branchen beeinträchtigen.

Fertigungsindustrie

Bild 3. CVEs, die die kritische Fertigung betreffen, nach Prozentsatz der zugehörigen MITRE-Taktiken

Diese Grafik zeigt CVEs, die sich auf die kritische Fertigung auswirken und 2021 in Advisories identifiziert wurden. Die Namen und Definitionen der Taktiken sind direkt aus dem MITRE ATT&CK-Framework entlehnt.

Die 613 CVEs, die 2021 in Advisories aufgeführt sind, werden sich wahrscheinlich auf kritische Produktionsumgebungen auswirken. 88,8 % von ihnen könnten von Angreifern genutzt werden, um einen Schaden (Impact) anzurichten (direkt oder indirekt mit unterschiedlichem Grad der Beeinträchtigung von ICS-Anlagen und der Umgebung).

Für ICS-Umgebungen ist Impact von entscheidendem Belang, denn es geht um Schäden bezüglich Finanzen, Sicherheit, Menschenleben, Umwelt und Ausrüstung. Vergleicht man den Impact auf die Betriebstechnologie (OT) mit dem auf die Informationstechnologie (IT), so sind die potenziellen Auswirkungen eines IT-Vorfalls nicht annähernd so weitreichend und beschränken sich eher auf die Art und Weise, wie die Angreifer Daten beschädigen können. 64,4 % dieser 613 CVEs können für einen Erstzugang zu einem System missbraucht werden. Dies verdeutlicht, dass das Öffnen einer Tür zum Eindringen von großem Interesse und in ungesicherten Systemen überraschend einfach zu bewerkstelligen ist.

Darüber hinaus sind Schwachstellen, die ausgenutzt werden können, um die Reaktionsfunktion zu unterbinden (Inhibit Response Function), mit 81,9 % recht häufig. Zu den Techniken, mit denen dies erreicht werden kann, gehört die Unterbrechung von Funktionen für Sicherheit, Schutz, Qualitätskontrolle und Bedienerintervention. Dies ist eine häufig anzutreffende Methode, mit der Angreifer einen einzelnen Point of Failure ausnutzen können, um schwere Schäden zu verursachen oder das gesamte System zu beschädigen.

Es ist wichtig zu beachten, dass bei einem Angriff auf die IT auch die OT einen Kollateralschaden erleidet. Bei dem Vorfall mit Colonial Pipeline wurde die IT-Infrastruktur des Unternehmens von der DarkSide-Ransomware angegriffen. Die Kollateralschäden zwangen das Unternehmen, den gesamten Pipelinebetrieb einzustellen, und die Auswirkungen auf die Betriebstechnik begannen bereits im IT-System. Bei ICS-Operationen können die Auswirkungen weitreichende Kettenreaktionen auslösen, die sich vom Ort des Vorfalls ausgehend ausbreiten.

Zum Abschluss werden wir weiter ins Detail gehen und anhand der MITRE-Matrix CVEs bewerten, die sich auf kritische Produktionsprozesse auswirken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.