Netzfundstück: Zero-Day-Exploit Erkennung

In der Vergangenheit haben mehrere unserer Kunden Zero-Day-Schwachstellen in ihren OT-Netzwerken beobachtet. Ein Fertigungsunternehmen wurde Zeuge sowohl von Zero-Day-Schwachstellen, die bereits bekannt, aber noch nicht gepatcht waren, als auch von einem Zero-Day-Angriff, der zu diesem Zeitpunkt neu war. 

Sie hatten unsere ICS-Überwachung und Anomalieerkennung Rhebo Industrial Protector eine Zeit lang betrieben, als sie über beide Anomalien in kurzer Folge gewarnt wurden.

Welche Schwachstellen gibt es?

Die erste Benachrichtigung, die sie erhielten, war ein Bericht über eine bestehende Schwachstelle in ihrer Infrastruktur, die in der CVE-Datenbank dokumentiert ist. Rhebo Industrial Protector durchleuchtet OT-Umgebungen, um eine umfassende Karte aller Geräte und der in der Infrastruktur aktiven Kommunikation zu erstellen. In diesem Prozess der Anlageninventarisierung werden die Geräte auf ihre Firmware-Versionen und relevanten Eigenschaften analysiert. Diese werden mit der CVE-Dokumentation verglichen, um Übereinstimmungen mit bekannten Schwachstellen zu finden. Die Betreiber beschlossen, die betroffenen Arbeitsstationen in ihrem nächsten Wartungsfenster zu aktualisieren. Bis dahin wurden die Arbeitsstationen mit Rhebo Industrial Protector genau überwacht. Zu diesem Zweck erstellten sie eine angepasste Ansicht beider Arbeitsstationen in Rhebo Industrial Protector, um ihre Kommunikation speziell zu verfolgen, falls die Schwachstelle ausgenutzt wird.

Verdächtiges Verhalten eines Web-Servers

Einige Wochen später wurden die Betreiber über ein verdächtiges, jedoch unbekanntes Verhalten eines ihrer Webserver informiert. Rhebo Industrial Protector meldete einen Client-Fehler und eine untypische Zunahme des HTTP-Verkehrs. Eine sofortige Analyse ergab, dass ein externer Angreifer einen manipulierten Header-String an den Server geschickt hatte, der es ihm erlaubte, Parameter in der Anwendung zu ändern. Obwohl der Angreifer in der Lage war, einen kleinen Teil der Produktion für kurze Zeit zu beeinträchtigen, konnte der Cyber Security Manager eine weitere Verbreitung und Unterbrechung verhindern. Die forensischen Daten und die Echtzeit-Benachrichtigung durch Rhebo Industrial Protector ermöglichten es ihm, die Kommunikation schnell zu blockieren, die Firmware des Webservers zu aktualisieren und die Firewall neu zu konfigurieren.

Lösung: Anomalie-Erkennung für ganzheitlichen Schutz

Herkömmliche Cyber-Sicherheitslösungen wie Firewalls oder Intrusion Detection Systems sind blind für Schwachstellen und neuartige Angriffsmethoden. Anomalie-Erkennungssysteme wie Rhebo Industrial Protector analysieren die gesamte Netzwerkkommunikation in Echtzeit und melden jede Abweichung von der legitimen Kommunikation in der OT-Infrastruktur.