Eine kleine Geschichte zu Threat Detection

Die Motivationen für Cyberattacken sind meist sehr unterschiedlich. Die Zahl pseudo-anonymer Angriffe, die ein politisches oder gar militärisches Statement abgeben wollen, steigt zunehmend. Steht eine staatliche Macht dahinter, verfügen die Angreifer über fast unerschöpfliche Ressourcen und die Frequenz und Qualität der Attacken nimmt zu.

Die bisher bekannten Angriffe auf Industrieanlagen lassen sich in zwei Gruppen aufteilen: in die gezielten Angriffe vom Typ Stuxnet, Triton/Trisis oder Ekans sowie die opportunistischen Infektionen von Conficker bis xxxPetya.

Nicht nur Angriffsmethoden und -werkzeuge haben sich weiterentwickelt. Betrachtet man die Evolution der Threat Detection, also das Erkennen von Bedrohungen und Angriffen, so bringt die zunehmende Nutzung von Methoden wie Machine Learning (ML) insbesondere für die Anomalie-Erkennung in OT-Netzen Vorteile. Unregelmässigkeiten lassen sich einfach erkennen, da die vorwiegende Machine-to-Machine-Kommunikation dieser Netze strengen statischen Regeln folgt.

Evolution der Schutzmassnahmen

Wer lange genug im IT-Security-Umfeld tätig ist, erinnert sich noch an Intrusion Detection Systems (IDS) der ersten Generation, deren Angriffserkennung ausschliesslich auf statischen Signaturen basierte. Es war nahezu unmöglich, aus der Flut von detaillierten Alarmen sinnvolle Informationen für das Ergreifen von konkreten Gegenmassnahmen, also für die Incident Response, zu gewinnen. Da die rein signaturbasierte Erkennung derzeit nur noch geringe Erkennungsraten hätte, nutzen moderne IDS mittlerweile eine Vielfalt von Detection Engines, die unter anderem auch ML und Sandboxing beinhalten.

Aufgrund der Probleme der ersten Generation entwickelte sich eine zweite Generation von Threat Detection – das Security Information and Event Management (SIEM). Die primäre Aufgabe hierbei ist die Korrelation zahlreicher Security Events aus unterschiedlichen Quellen und die Extraktion von Informationen, aus denen sich konkrete Handlungen ableiten lassen. Die Systeme arbeiten regelbasiert, wobei das Erstellen dieser Regeln Expertenwissen erfordert. Dabei hängt die Qualität der Informationen, die Security-Analysten aus dem System ziehen, stark von der Qualität der Regeln ab. SIEM-Systeme sind heute noch wichtige Bausteine in einer gemeinsamen IT- und OT-Verteidigungsstrategie, da sie die sicherheitsrelevanten Daten aus beiden Welten zusammenführen können.

Verhaltensmuster erkennen

Die dritte Generation von Threat Detection umfasst Verhaltensmusteranalysen mit Big Data und mathematischen Verfahren wie ML oder neuronalen Netzen. Hierbei beobachtet und lernt das System das gewöhnliche Verhalten der Anlage und erkennt Abweichungen von den Grundeinstellungen. Während SIEMs aufgrund der hohen Datenmenge die Rohdaten typischerweise für einen Zeitraum von 30 bis 90 Tagen speichern, erlauben die auf Verhaltensmuster basierenden Threat-Detection-Systeme vor allem im OT-Bereich (aufgrund der niedrigen Datenmenge in OT-Netzen) eine Langzeitbetrachtung. Diese kann sogar ein Jahr oder länger dauern, da detaillierte Rohdaten nur zu gewissen Anlässen gespeichert werden.

Den OT-Prozess verstehen

Die nächste Generation geht einen Schritt weiter und sorgt für OT Process Awareness. Dabei werten Algorithmen die Parameter nicht nur aus, sondern berücksichtigen auch die Zusammenhänge innerhalb der Produktionsabläufe – verfügen also über ein tiefes Verständnis der OT-Prozesse. Ein Beispiel: Ein Ventil fährt auf einen gültigen Wert, aber diese Einstellung ergibt zu diesem Zeitpunkt im Prozess keinen Sinn. Wie ausgereift aktuelle KI-Lösungen schon sind, wird sich jedoch erst in Zukunft zeigen.