OpenICS dekodiert den Traffic von Kontrollsystemen und erstellt Datenkataloge

Die Sicherheit Industrieller Kontrollsysteme wurde schon als veraltet, lachhaft und eigentlich gar nicht mehr existent bezeichnet. Die meisten ICS- und SCADA-Systeme wurden ohne Berücksichtigung des Internets entwickelt, mit wesentlich weniger Sicherheitsvorkehrungen, doch sie stehen noch immer und trotzdem an erster Stelle, wenn es um Produktion, Gebäudeautomatisierung und um kritische Infrastruktur geht.

Betreiber und Ingenieure beschäftigt vor allem eins: Verfügbarkeit. Die Verfügbarkeit von Services hat oberste Priorität und das geht häufig zu Lasten des Patchens von Systemen, beispielsweise weil ein Dienst zu diesem Zweck kurzfristig abgeschaltet werden müsste.

Die Prozesse zum Überwachen und Analysieren von Vorfällen sind nach Aussage von Experten noch weniger weit entwickelt. Das ist die Lücke, die Scott Weston mit OpenICS zu schließen versucht, einem von EnergySec gesponserten Projekt (kurz für Energy Sector Security Consortium). OpenICS ist eine Bibliothek, die kürzlich auf GitHub öffentlich verfügbar gemacht wurde und die abgehörten Kontrollnetzwerk-Traffic dekodiert. Aktuell unterstützt sie drei weit verbreitete ICS-Protokolle: MODBUS, DNP3 und EIP/CIP.

“Es handelt sich um Spezialkomponenten, die wissen, wie der Kontrollsystem-Traffic zu interpretieren ist und Datenkataloge aus dem Traffic erstellen, die benutzt werden können, um spezielle Situationen zu skripten, die in irgendeinem IT-Sicherheitskontext von Interesse sein könnten”, erklärt Weston.

Die Datenwörterbücher oder auch Metadaten-Repositorien sind entscheidend für den Erfolg von OpenICS, sagt Weston. Statt Signaturen zu entwickeln, die in ein Intrusion Detection System integriert werden, können Datenkataloge dazu beitragen, den breiten Graben zwischen sicherheitsbewussten Ingenieuren und Unternehmern in der kritischen Infrastruktur zu überbrücken.

“Da wir auf der Grundlage eines Datenkatalogs operieren, können wir komplexe Prädikatsausdrücke dagegen schreiben”, sagt Weston, der für einen Energieversorger im Pazifischen Nordwesten tätig ist. “Man kann komplizierte gescriptete Regeln schreiben, um den Traffic zu kontrollieren – gegenüber Signaturen, die nach einem Tropfen in einem Tropfen suchen. Das ist für das technische Personal und für das Business gleichermaßen sehr viel leistungsstärker.

“Ich denke, dass eine Kluft zwischen technischem Personal und Geschäftsleuten besteht.”

Technische Personen wissen, was TCP/IP-Pakete und Layer sind, und Geschäftsleute wissen, wofür Kontrollsysteme gut sind”, sagt Weston. “Ich möchte diese Leute zum Reden bringen, indem ich ihnen ein Datenwörterbuch in die Hand gebe, das ihnen sagt: ‚Diese Daten sind Artefakte aus dem Traffic, nutzt sie, um Entscheidungen darüber zu treffen, was passiert und was nicht passieren sollte. Ich sehe hier ein großes Potential.”

Das Signatur-basierte Model ist eine grundlegende IT-Sicherheitstechnologie, die Analyse und menschliche Arbeitskraft erforderlich macht, um zu entschlüsseln, was vor sich geht; und dabei gibt es kaum einen Bezug zur Geschäftswelt. Laut Weston soll OpenICS dieses Problem verringern.

“Signaturen behandeln undurchsichtige Daten als undurchsichtige Daten“, erklärt Weston. “Signaturen sind auf niedriger Ebene und reagieren intuitiv; es erfordert technisches Verständnis, Signaturen zusammenzustellen. Verfügt man über ein Modul, dass Datenkataloge erstellt, so hat man es vor der Nase und man kann Erklärungen darüber schreiben, was ein Sicherheitsproblem ist, und was nicht.”

Weston arbeitet laut eigener Aussage daran, die Unterstützung für weitere Protokolle hinzuzufügen, doch die ersten drei waren aufgrund ihrer Allgegenwart in ICS-Operationen in den USA die natürlichen Ausgangspunkte. Während das Hauptsponsoring von EnergySec entscheidend ist, hofft er, dass die Veröffentlichung auf GitHub dem Projekt Zugkraft verleiht, dass der Hosting-Dienst als Einfallstor für Feedback dienen wird und dass OpenICS schließlich zu einem ganz normalen Feature in vielen Produkten zur Überwachung des Traffics werden wird.

“Der definitiv größte Vorteil, den ich sehe, liegt darin, dass auch das Business in Sicherheitsbelange involviert wird, und es nicht nur eine Sache von Computerfreaks bleibt”, meint Weston. “Es sind gerade die Geschäftsleute, die wissen, was im Netzwerk normal ist, und was nicht, doch sie erkennen es aus einer Perspektive auf hohem Niveau, nicht aus einer Bits- und Bytes-Perspektive. Ich hoffe, dass dieser Graben hiermit überbrückt wird.”

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.