Tag Archives: IMI

Wie hängt das zusammen? Der Cyber-Angriff auf die Colonial Pipeline, Network-Monitoring und Asset-Management?

11. Juni 2021

Es hat lange gedauert, bis die Ursache für den Cyber-Angriff auf die Colonial Pipeline bekannt wurde. Doug Olenik berichtet auf InfoRiskToday: “The investigation into the attack by security firm FireEye revealed last week that DarkSide gained initial access to Colonial through what Blount described as a “legacy VPN” that the company’s IT staff did not know existed.”(1)

Der CEO von Colonial Pipeline Co., Joseph Blount, sagte während eines Hearings am 8. Juni 2021 dazu: “I did reference earlier that the VPN was a legacy VPN we could not see, and it did not show up in any testing. That’s unfortunate.”(1)

Dass das VPN nicht mit Zwei-Faktor-Authentisierung abgesichert war, ist nicht ungewöhnlich, da es sich um einen „Legacy“ VPN-Zugang handelte, der außer von den Angreifern nicht mehr genutzt wurde. Der VPN-Zugang war zudem gut gesichert, da er bei Schwachstellen-Scans nicht gefunden wurde.

Die Antwort auf die Frage „Warum wurde das System, über den der VPN-Zugang erfolgte oder der VPN-Service nicht abgeschaltet?“ liegt nahe: Vermutlich ist in der IT kein Asset Management System vorhanden.

Dabei ist Asset Management ein Abfallprodukt des Network Monitoring, eine der Nice-to-Have-Funktionen, die man unbedingt bei der Einführung eines „Network Monitoring und Anomaly Detection“-Werkzeuges berücksichtigen sollte.

Im Rahmen der IMI (IT-Meets-Industry) stellen die anapur-Partner Nozomi Networks und PaloAlto Networks am 15. Juni in einer Product Challenge ihre Network Monitoring Werkzeuge vor. Wir werden beiden Partnern natürlich die Frage stellen, ob ihre Produkte die angeblich nicht-existenten Komponenten gefunden hätten und freuen uns auf die Produkt-Demo.

Im Anwenderinterview fragen wir Tobias Unglaube, der in der Bayer AG im Produktionsumfeld Network Monitoring eingeführt hat, ob die nice-to-have-Funktion „Asset-Management“ bei der Produktauswahl eine Rolle gespielt hat.

Zur Anmeldung zum Event geht es hier. Die Aufzeichnungen und Produkt-Demos der vergangenen Network-Monitoring-Events stellen wir für Teilnehmer bereit.

Falls Sie keine Zeit haben, würden wir uns freuen, wenn Sie uns 2 Fragen (Multiple Choice) beantworten würden. Die Auswertung veröffentlichen wir nach dem Event.

Frage 1: Warum beschäftigt sich meine Organisation mit Network Monitoring und Anomaly Detection?

Frage 2: Was ist für meine Organisation das wichtigste nice-to-have Feature bei einem Netzwerk Monitoring System?

Schönes Wochenende!

Referenzen

1. Olenick D. Colonial CEO at Senate Hearing Details Ransomware Attack [Internet]. Info Risk Today. 2021 [zitiert 9. Juni 2021]. Verfügbar unter: https://www.inforisktoday.com/colonial-ceo-at-senate-hearing-details-ransomware-attack-a-16836

Ransomware in der Automatisierungstechnik. RoSI in der Praxis.

6. Mai 2021

Nach der kurzen Einführung in die Theorie von RoSI nun ein Praxisbeispiel.

Szenario

Ein Unternehmen betreibt an 2 Standorten prozesstechnische Anlagen. Jede Anlage besteht aus 5 Teilanlagen. Insgesamt werden pro Standort 100 Workstations und 20 Server betrieben. Die Standorte sollen im Rahmen eines Digitalisierungsprojektes enger mit der Forschungs- Entwicklungsabteilung sowie den Produktionsplanungssystemen und der Office-Cloud vernetzt werden. Vorab führt das Produktionsmanagement eine Risikoanalyse durch.

Die Risikoanalyse ermittelt ein hohes Risiko in Bezug auf eine Malware-Infektion, die zu einem Stillstand an beiden Standorten führen könnte. Der Produktionsmanager schätzt, dass eine Infektion mit Ransomware im ungünstigsten Fall zu einem Produktionsausfall von 5 Tagen führen könnte. Ein Tag Produktionsausfall kostet das Unternehmen 200T€.

Die Geschäftsleitung macht klar, dass unter der geschätzten Auslastung für die nächsten 36 Monate ein Ausfall von max. 1,5 Tagen pro Jahr akzeptabel ist. Das ermittelte Risiko ist nicht akzeptabel ist. Die OT-Security erhält die Aufgabe, die wirtschaftlich beste Lösung zur Reduktion des Risikos um 70% (von 1Mio. € auf 300T€) zu ermitteln.

Damit sind die Randbedingungen für die RoSI-Betrachtung festgelegt:

KE: Die Kosten des Sicherheitsereignisses KE belaufen sich auf KE = 1 Mio. €.

SR%: Sicherheitsmaßnahme S soll das Risiko um SR% = 70% reduzieren.

KES: Die Kosten des Sicherheitsereignisses sollen reduziert werden auf KES <= 300T€

Design der Maßnahmen

Das Unternehmen setzt in der Produktion noch keine Antimalware-Lösung ein. Zur Risikoreduzierung werden 3 traditionelle Ansätze verfolgt, die auf Sicherheitslösungen beruhen, die vom Hersteller der Automatisierungslösung freigegeben sind.

Alt1: Antimalware-Lösung McAfee Endpoint Protection

Alt2: Antimalware-Lösung McAfee Endpoint Protection plus Microsoft AppLocker

Alt3: Antimalware-Lösung McAfee Endpoint Protection plus McAfee Application Control

Microsoft AppLocker ist eine Application-Directory-Allow-Listing-Lösung, die von vielen Herstellern von Automatisierungslösungen zur Grundhärtung der Systeme empfohlen wird. AppLocker ist seit Windows 7 in der Enterprise-Version des Betriebssystems verfügbar. McAfee Application Control ist eine system-basierte Application-Whitelisting-Lösung, die von vielen Herstellern von Automatisierungslösungen zum Schutz vor bekannter und neuer Malware empfohlen wird. Sie kann auch Crypto-Würmer wie WannaCry und NotPetya, die sich im Systemkontext von System zu System bewegen, abwehren.

Bewertung der Effektivität der Lösungsansätze

IT- und OT-Security führen eine Bewertung der Effektivität der verschiedenen systemtechnischen Ansätze durch. Daraus ergibt sich folgendes Bild:

Bewertung der Effektivität der Lösungen. Zum Vergrößern klicken.

Die klassische Antimalware-Lösung „pattern-based Antivirus“ hat mit 38% eine unzureichende Schutzwirkung, ebenso wie die Lösung „Application Directory Allow Listing“ und die Kombination aus AV.Trad und AWL.DIR.

Die „system-basierte Application-Whitelisting-Lösung“ kommt bereits sehr nahe (64%) an die geforderte Risikoreduzierung SR% = 70% heran.

Die Kombination aus AV.Trad und AWL.SYS kommt am nächsten an die geforderte Risikoreduzierung von 70% heran.

Die Details zur Bewertung stehen hier bereit.

Kostenbetrachtung

Die Kosten aller Lösungen wurden untersucht. Lizenz- und Betriebskosten wurden über einen Zeitraum von 3 Jahren betrachtet. Die Kosten für die Erstinstallation wurden berücksichtigt. Bei den Lizenzkosten wurden Lizenzstaffeln (101-250 Workstations und 26-50 Server) berücksichtigt. Preise wurden per Internet-Recherche ermittelt. Das Kostenmodell steht hier zum Download verfügbar.

RoSI

Die Berechnung von RoSI über 3 Jahre ergibt folgendes Bild:

RoSI der Lösungen im Vergleich. Zum Vergrößern klicken.

Alle Lösungen haben ein positives RoSI. Die Optionen Alt1: AV.Trad und Alt2: AV.Trad + AWL-DIR scheiden aus, da das Restrisiko KES deutlich höher ist als die geforderten 900T€

RoSI: Vergleich der Alternativen. Zum Vergrößern klicken.

Alternative Alt3: Antimalware-Lösung McAfee Endpoint Protection plus McAfee Application Control und McAfee Application Control führen zu einer ähnlichen Risikoreduktion. Alt3 hat jedoch deutlich höhere Kosten.

Für welche Lösung wird sich die Produktionsleitung entscheiden?

Dies ist der letzte Post aus der Ransomware/RoSI-Reihe. Mehr zu RoSI gibt es beim IMI Virtuellen Dialog „Costs and Benefits of Security“ am 11.05.2021. Neben praktischen Anwendungsbeispielen von ABB und Fortinet erweitere ich diese Analyse um eine moderne EDR-Lösung.

Viel Erfolg mit RoSI!

World Cafe@IMI 2019: No Backup, No Mercy!

24 November 2019

IMI 2019: Presentation DOW Cyber Security Framework

IMI 2019: Presentation DOW Cyber Security Framework

The motto of the IT meets Industry 2019 (IMI) conference in Mannheim was What happens if shit happened. During the World Cafe session, the participants dealt with the following scenario:

  1. The cyber-criminal overcame all hurdles you put in place to protect your production systems from attacks.
  2. The anomaly detection capabilities in place recognized the attack late.
  3. The engineering station (ES) is compromised.
  4. You isolated the engineering station from the network for further analysis.
  5. The good news is that the process control system (PCS) is still operable.
  6. The bad news is that it’s not clear whether the control program in the PCS is also compromised.

You decide to download the control program from the backup into the PCS. This is no uncommon scenario. The Rogue7 (1) attack described at the Black Hat 2019 and Triton (2) work this way. One of the participants put it this way: No Backup, No Mercy! Unfortunately, it’s not that simple.

Where is the current backup stored?

Under normal conditions, the current control program is stored on the engineering station. But this version is not usable because the engineering station is compromised.  If the backup is well organized, a copy of the control program is available from a NAS or a dedicated backup system

Is it really the current version?

This is very important if you want to recover the PCS to the state before the attack happened. Unfortunately, the Recovery Point Objective (RPO) in production is zero. That means, that the latest version of the control program is required for recovery. Older versions require, in the best case, manual reworking, thus a longer downtime and higher financial loss.

Is the PCS restorable from this version and fully operable afterwards?

Have you ever tried a restore test during scheduled maintenance to make sure that the PCS is fully operable after the restore of the control program? Is it clear what is meant by fully operable? Do you have a procedure and check list in place to verify this?

But the worst is yet to come. If you do daily backups there is a small chance that all backup versions are compromised.  In the above scenario, the anomaly detection system detected the attack late. If you keep for instance the latest 10 versions online and the attacker was active for 14 days, then all backups are potentially compromised. So, you must retrieve a backup from a tape library, if any.

Summary

Backup in the age of cyber attacks and ransomware is a hard job, especially in production. Without a strategy and preparation for the worst case a cyber attack may become a financial disaster. The 7 Ps Rule shows the direction in incident response:

Prior Preparation and Planning Prevents Piss Poor Performance!

Want to participate in real peer to peer knowledge exchange and a World Cafe on hot topics? Join the IMI 2020 in Mannheim.

Have a great week.

References

  1. Biham E, Bitan S, Carmel A, Dankner A, Malin U, Wool A. PPT: Rogue7: Rogue Engineering-Station attacks on S7 Simatic PLCs [Internet]. Powerpoint Presentation presented at: Black Hat USA 2019; 2019 Aug 8 [cited 2019 Aug 16]; Mandalay Bay / Las Vegas. Available from: https://i.blackhat.com/USA-19/Thursday/us-19-Bitan-Rogue7-Rogue-Engineering-Station-Attacks-On-S7-Simatic-PLCs.pdf
  2. Sobczak B. SECURITY: The inside story of the world’s most dangerous malware [Internet]. 2019 [cited 2019 May 11]. Available from: https://www.eenews.net/stories/1060123327