Anatomie eines Cyber-Angriffs- ICS ATT&CK Matrix – Teil 2

Anatomie eines Cyber-Angriffs- ICS ATT&CK Matrix – Teil 2

Mai 18, 2020

Im vorigen Artikel Anatomie eines Cyber-Angriffs – ICS Cyber Kill Chain-Teil 1– sind wir kurz die Phasen eines Cyber-Angriffs durchgegangen und wie ein Hacker seine Ziele auswählen, Angriffe initiieren, usw. kann. Die Cyber-Kill-Chain hilft Cyber Security-Organisationen und Unternehmen, einen Cyber-Angriff aus der Perspektive des Hackers zu verstehen und im Detail zu erfassen. MITRE® hat seine Version der  ICS ATT&CK Matrix veröffentlicht, die Taktiken und Techniken abdeckt, die bei Angriffen gegen industrielle Kontrollsysteme (ICS) eingesetzt werden.

ICS ATT&CK Matrix

Die Wissensdatenbank ATT&CK für ICS bietet Unternehmen für kritische Infrastrukturen und anderen Sicherheitsorganisationen Informationen über die gängigsten ICS-Anwendungen und Protokolle, die von Hackern ausgenutzt werden können. Die ICS ATT&CK Matrix von MITRE® wird von Cyber Security-Experten und Organisationen häufig verwendet, um zu prüfen, ob ihre Abwehrmechanismen gut genug sind, um Angriffe zu erkennen und zu blockieren. Security-Anbieter nutzen diesen Rahmen, um ihre Produkte auf die Erkennung spezifischer Angriffe hin zu überprüfen.

counter measures

Source: https://collaborate.mitre.org/attackics/index.php/Main_Page

 

Die Cyber Kill Chain erklärt die Phasen/Schritte eines Cyber-Angriffs und wie der Hacker sein Ziel mit verschiedenen Taktiken erreichen kann. Die ATT&CK für ICS bietet Taktiken, Techniken und Verfahren (TTPs), die auf Beobachtungen von Hackern aus der realen Welt basieren. Sie enthält Informationen über 11 verschiedene Taktiken und 81 Techniken, die der Gegner anwenden kann, um sein Ziel in der ICS-Umgebung zu erreichen.

Beispiel Taktik und Technik in Bezug auf einen Cyber-Angriff: Stuxnet

Der erste Zugriff auf die Anlage oder ein System kann durch einen Phishing-Prozess erreicht werden, der auf eine Person abzielt, die mit Personen korrespondiert, die in der Organisation des Opfers arbeiten. Sobald sich der Angreifer im Netzwerk befindet, kann er damit beginnen, den bösartigen Code zu injizieren oder andere Angriffe einzuleiten. Es gibt verschiedene Möglichkeiten, Zugang zum Werksnetzwerk zu erhalten. In einer ICS-Umgebung gibt es nur wenige Zugangspunkte vom IT-Netzwerk zum OT-Netzwerk wie Fernzugriff, internetfähige Geräte, drahtlose Zugangspunkte usw. Beim Zugriff auf die Produktionsumgebung hat der Hacker mehrere Möglichkeiten, genügend Schaden anzurichten. Angriffe wie Stuxnet, bei denen der Hacker das ICS je nach Zielsystem mit einem anderen Programmcode infiziert (MITRE Tactic- Impair Process Control, MITRE Technique- Program Download), um die schnell drehenden Zentrifugen auseinander zu reißen, was sich als letzte Aktion herausstellt. Aber vor diesem katastrophalen Ereignis nutzte der Hacker alle möglichen Fehler oder Schwachstellen im System aus, wie z.B. Zero-Day-Exploits. Am wichtigsten ist jedoch, dass das ganze Ereignis unter dem Radar unbemerkt blieb, da die Hacker Rootkits verwendeten, um sich vor möglichen Gegenmaßnahmen der Cyber Security zu verstecken. Dies wirft die Frage nach den bestehenden Gegenmaßnahmen auf.

Wie können wir über Gegenmaßnahmen entscheiden?

Verschiedene Malware dient bei einem gezielten Angriff unterschiedlichen Zwecken: Eindringen, Datendiebstahl, Zerstörung und mehr. Für einen Bedrohungsakteur ist die Präsenz im System eines Opfers von entscheidender Bedeutung. Er muss in der Lage sein, kontinuierlich Befehle an seine Malware zu geben. Diese Kommunikation wird üblicherweise als Command and Control (C&C)-Server bezeichnet, wobei Malware die höchste Priorität hat. Die Angreifer aktualisieren ihre Malware regelmässig, um ihren entsprechenden Sicherheitsgegenmassnahmen immer einen Schritt voraus zu sein. Die Entscheidung über die Gegenmaßnahmen ist also ein wichtiger Schritt bei der Gestaltung des gesamten Sicherheitskonzepts der Anlage. Angefangen bei der Auswahl der Hardware für die Engineering-Stationen bis hin zur Firewall zwischen dem IT- und dem OT-Netzwerk hilft die ICS-Threat-Modellierung den Unternehmen, die Angriffsfläche und die entsprechenden Risiken zu identifizieren. Sie ermöglicht eine funktionsübergreifende Zusammenarbeit zwischen den IT- und OT-Akteuren. Dies ermöglicht eine Skalierung der Bedrohungsmodellierung über alle Geräte, Softwareanwendungen und Protokolle der ICS-Umgebung hinweg. Letztendlich können die Organisationen ihre Herangehensweise an die Cyber Security verbessern, indem sie vom Design ausgehen – „Security by Design“.

Kontinuierliche Prüfung und Verbesserung der Gegenmaßnahmen

Rahmenwerke wie die ICS ATT&CK Matrix helfen Cyber Security-Organisationen und Fachleuten, den Cyber-Angriff zu verstehen und zu bewerten und auch das Verhalten des Hackers nach der Kompromittierung zu beschreiben. Die bereits implementierten Gegenmaßnahmen sind möglicherweise nicht mehr gültig oder reichen nicht aus, um einen Angriff zu verhindern und zu erkennen, wenn es keine regelmäßige Validierung gibt. Beispielsweise ist eine regelmäßige Aktualisierung der Antiviren-Signaturen wichtig, um gegen die Zero-Day-Exploits vorzubeugen, eine Aktualisierung der Firewall-Firmware gegen deren Schwachstelle, regelmäßige Sicherheitsupdates der Arbeitsstationen usw. Daher ist die ständige Validierung von Gegenmaßnahmen ebenso wichtig wie deren Entscheidung und Umsetzung.

Die ICS ATT&CK-Matrix bietet einen umfassenden Überblick über die verschiedenen Cyber-Angriffe, die von den Hackern gegen das ICS gerichtet werden können. Die Wahl der Gegenmassnahmen für einen bestimmten Angriff ist von zentraler Bedeutung, um den von den Hackern verursachten Schaden zu reduzieren oder zu vermeiden. Die Abschwächungen, die für jede in der Matrix aufgeführte Technik erwähnt werden, können Sicherheitsorganisationen und -fachleuten in größerem Umfang helfen. Sie helfen ICS-Anbietern und Kunden, Einblicke in die verschiedenen Techniken zu gewinnen, die von den Hackern benutzt werden, um Zugang zum System zu erhalten, und helfen ihnen so bei der Entscheidung über die Gegenmaßnahmen. Die Vorbereitung auf einen Cyber-Angriff erfordert eine umfangreiche Planung von Budget und Ressourcen.

Sind Sie auf einen Cyber-Angriff vorbereitet? Falls nicht, zögern Sie nicht, uns über unsere Kontaktseite zu kontaktieren. Wir unterstützen Sie gerne.

Keine Kommentare

Schreibe einen Kommentar

Noch keine Kommentare

Seien Sie der Erste, der ein Kommentar schreibt.

Ihre Daten sind sicher!Ihre E-Mail wird nicht veröffentlicht. Es werden keine Daten mit Dritten geteilt.