zurück zur Übersicht

AV im Industrial Umfeld

Im dritten Teil unserer Artikelserie zum Thema Antivirus & Malware Defence beleuchtet unser Industrial Security Cube Christopher Knöll den Einsatz von Antivirus-Lösungen für Windows basierte Produktionsanlagen im industriellen Umfeld.

Teil eins befasste sich mit AV im privaten Bereich und stellte die Frage, ob Antivirenprogramme an sich Sinn machen oder nicht. In Teil zwei wurden Next Generation Endpoint Protection Lösungen im Profi-Segment ausgiebig getestet.

Traditionelle Probleme

Was in der Office-IT Welt heute für Windows-Betriebssysteme selbstverständlich ist, führt im Bereich Operational Technology (OT) und Produktionssicherheit schnell zu Problemen: Der Virenscanner.

OT Produktionssysteme sollten grundsätzlich weitestgehend von der Office-IT getrennt sein (Stichwort: Netwerksegmentierung). Das stellt uns hier aber vor einige grundsätzliche Probleme. Ein herkömmlicher Virenscanner benötigt beispielsweise regelmäßige Signaturupdates, um zuverlässig zu funktionieren. Dazu wird ein eigener Server oder direkter Onlinezugang benötigt, um die entsprechenden Updates herunterzuladen. Beides ist in der Praxis kritisch, allein schon weil direkte Verbindungen der Steuerungsrechner ins Internet an sich ein Risiko darstellen.

Hinzu kommt der oft nicht kalkulierbare Ressourcenbedarf eines Virenscanners auf einem Client, besonders während eines erkannten Malwarebefalls.

Wie bereits der Test von Markus Reiniger zeigt, ist besonders der letzte Punkt ein echter Showstopper – im wahrsten Sinne des Wortes: Was sich in der Office-IT lediglich beim Anwender durch eine ärgerliche Zwangspause bemerkbar macht, kann in der OT weitreichende Störungen bis hin zum Stillstand einer Anlage nach sich ziehen, wenn die entsprechende Applikation zur Steuerung nicht mehr über genügend Ressourcen verfügt.

Im Worst Case kann die Anlage dabei beschädigt werden.

Maschinen helfen Maschinen: Künstliche Intelligenz

Einen vielsprechenden neuen Ansatz zeigen die Next-Generation Endpoint Protection Lösungen, welche anstatt auf signaturbasierte Erkennung auf Mechanismen des maschinelles Lernens und der Künstlichen Intelligenz zurückgreifen. Diese Lösungen haben den entscheidenden Vorteil, dass sie keine Signaturen zur Erkennung von Schadsoftware benötigen, sondern gezielt auf Kerntechniken von Malware analysiert wird.

Return oriented Programming (ROP)) oder Heap Spray sind beispielsweise zwei dieser Kerntechniken. Wird derartiges Verhalten oder der assoziierte Programmcode durch die Next Generation Endpoint Lösung erkannt, wird das weitere Ausführen sofort blockiert und somit die Attacke direkt verhindert. Selbst Zero-Day Exploits haben somit kaum noch eine Chance wirkungsvoll aktiv zu werden.

Bessere Performance ermöglicht erst den sinnvollen Einsatz

Das macht sich nicht nur in einer deutlich besseren Erkennungsquote bemerkbar. Der Ressourcenhunger der Next Generation Lösungen wird dadurch drastisch reduziert. Ein entscheidendes Problem wird dadurch entschärft.

Wichtige „known good“ – also vertraunswürdige Applikationen – können zudem durch Whitelisting direkt von der Überprüfung ausgeschlossen werden, was zusätzlich die Performance verbessert.

Ein weiterer wichtiger Vorteil: Häufig sind Produktionsanlagen durch Segmentierung vom Unternehmensnetzwerk getrennt und verfügen nicht über die Möglichkeit, AV-Signaturen direkt aus dem Internet oder über AV-Managment Server herunterzuladen. Da die modernen Malware-Scanner aber ohne Signaturen auskommen ist eine permanente Verbindung dieser Art garnicht mehr nötig.

Oft müssen Wartungen an Steuerrechnern, häufig durch Fremdpersonal des Maschinenherstellers, durchgeführt werden und Malware kann sich bspw. durch infizierte USB-Sticks auch auf Steuerrechnern ohne Onlinezugang verbreiten. Auch diese Problematik erschlagen Next-Generation Endpoint Lösungen damit, dass die entsprechende Intelligenz zur Erkennung der Malware bereits im Agenten integriert ist.

Wie kann Malwareschutz integriert werden?

Um die Produktion zu schützen sollten grundsätzlich zwei Szenarien betrachtet werden. Zum einen die Gefahr durch direkte, gezielte Manipulation (bzw. Hacking) und die Störung durch ungezielte Streuattacken (wie z.B. Ransomware). Beides läuft auf die Implementierung von zwei Grundstrategien hinaus:

Strenge Segmentierung – es müssen alle eingehenden und ausgehenden Verbindungen streng limitiert und überwacht werden. Die eingehenden Verbindungen werden geprüft, um Malwareinfektionen soweit als möglich schon im Vorfeld zu verhindern. Ausgehende Verbindungen sind für die Identifizierung von Angriffen interessant. (Command and Control-Verbindungen (CNC), wie sie z.B. von Malware aufgebaut werden, um Instruktionen zur Steuerung zu erhalten).

Die Nutzung von Jump-Hosts als einzig legitime Zugriffspunkte auf die Steuerungsrechner –  Diese Jump-Hosts fungieren als „Türsteher“ und müssen besonders gegen Malware und unberechtigte Logins abgeschirmt werden.

Den Angreifern mit moderner Technik einen Schritt voraus

Um diese Mechanismen umzusetzen werden moderne Tools wie Next Generation Firewalls benötigt, die im Gegensatz zu klassischen Firewalls nicht nur auf Netzwerkebene Datenpakete analysieren, sondern auch Konzepte wie authentisierte Benutzer und Anwendungen verstehen. Auf diese Art kann sowohl der Datenverkehr zum Jumphost als auch die Verbindung zwischen diesem und der eigentlichen Steuerungseinheit exakt reglementiert werden.

Dabei spielen zur Absicherung der Verbindungen auch Konzepte wie Threat Intelligence eine Rolle (beispielsweise zur Erkennung und Verhinderung von Verbindungen zu bekannten Malwareverseuchten Seiten im Internet, oder CNC-Servern). Diese Mechanismen müssen aber bereits global im Netzwerk laufen, um effektiv zu funktionieren (Integration in das SIEM (Security information and event management)).

Bei diesem Setup ist es sinnvoll, bereits den Jumphost mit einer aktuellen Endpoint Defence auszustatten, um das Risiko des eventuellen Übergreifens einer Infektion auf den Steuerrechner der Produktionsanlage zu verhindern. Obwohl hier Ressourcen eine geringere Rolle spielen ist allein die deutlich verbesserte Erkennungsquote Argument genug.

Als letzte Verteidigungslinie empfiehlt sich dann die Verwendung einer gleichartigen Lösung auf dem Steuersystem. Ziel ist es, die Anzahl der Angriffe, die überhaupt bis zu diesem Punkt vordringen, soweit wie möglich zu reduzieren. Zwei Systeme mit dem gleichen Malwareschutz auszustatten ist deshalb sinnvoll, weil z.B. verschlüsselter SSL-Traffic (beispielsweise bei Remoteverbindungen) nur eingeschränkt oder garnicht auf dem Jumphost gescannt werden kann.

Fazit: Produktionsausfall ist viel teurer

Der Ressourcenverbrauch von Next Generation Endpoint Protection ist minimal, da kein aktives Scanning, welches Prozessorzeit kostet und zu Lasten der I/O Performance des Systems geht, stattfindet. Trotzdem ist ein maximaler Schutz vor Malware gegeben und wichtige Prozesse können ungestört weiterlaufen. Dadurch sind sie für den Einsatz in segmentierten oder komplett gekapselten Produktionsnetzen prädestiniert. Wer die Segmentierung selbst dann konsequent durchhält, kann ein sehr hohes Maß an Sicherheit erreichen.

Schreibe einen Kommentar