Sicherheitslücke in der IoT-Lieferkette stellt eine Bedrohung für die IIoT-Sicherheit dar

Die meisten Unternehmen, die Produkte mithilfe von IIoT-basierten . herstellen Betriebe werden wahrscheinlich die Lieferkette genau im Auge behalten, die einen vorhersehbaren Strom von Rohstoffen und Dienstleistungen bereitstellt, die es ihnen ermöglichen, Produkte auf den Markt zu bringen und das Geschäft am Laufen zu halten.

Aber eine zweite, zugrunde liegende Lieferkette wird weniger genau untersucht. Und wenn die Sicherheit dieser Lieferkette irgendwie gefährdet ist, könnte das Geschäft zum Erliegen kommen.

Diese übersehene Lieferkette liefert die Komponenten, die eine IIoT-Infrastruktur aufbauen. Der Käufer dieser Geräte befindet sich am Ende der Lieferkette, der – aus Sicherheitssicht – keine ausreichende Transparenz in der Kette fehlt. Tatsächlich wäre es eine Herausforderung, die Herkunft der internen Elemente zu verfolgen, aus denen die gelieferten IIoT-Geräte bestehen.

Daher kommt es nicht selten vor, dass IIoT-gebundene Komponenten mit ausnutzbaren Sicherheitslücken ausgeliefert werden. Die Komplexität und globale Reichweite der IIoT-Lieferkette verschlimmert das Problem nur – ein einzelnes Gerät kann aus Teilen hergestellt werden, die von Dutzenden von Komponentenherstellern geliefert werden.

„Dutzende von Komponenten von Unternehmen auf der ganzen Welt springen durch mehrere Ebenen von Zulieferern und Integratoren, bis sie auf einer Platine platziert, getestet und vom OEM verpackt werden“, wie in „Finite State Supply Chain Assessment, ” ein Bericht von Finite State aus dem Jahr 2019, einem Unternehmen für IoT-Cybersicherheit.

Die Risiken für IIoT-Infrastrukturen sind real und vielfältig

Die meisten Netzbetreiber erkennen Risiken in der IIoT-Lieferkette, aber spezifische Schwachstellen sind schwer zu isolieren. Diese Bereitstellungen sind oft weitreichend und erstrecken sich über die Grenzen eines Herstellers hinaus auf Verlader, Händler und andere Handelspartner. Und wenn das Netzwerk erweitert wird und zusätzliche Integrationspunkte enthält, steigt das Risiko, dass sich ein brenzliger Teil bösartigen Codes repliziert. Tatsächlich ist der Code selbst möglicherweise nicht bösartig, kann jedoch einen offenen Port darstellen, der Systeme kompromittieren kann.

„Wenn man nur aus erster Hand sieht, wie viele Schwachstellen in eingebetteten Systemen in der Regel vorhanden sind – dann erkennen die Asset-Eigentümer nicht, dass diese Schwachstellen in ihren Systemen vorhanden sind“, bemerkt Matt Wyckhouse, CEO von Finite State.

Sobald eine IIoT-Umgebung durchbrochen wird, können böswillige Akteure sie als Zugangsweg nutzen, um sich weiter in Unternehmenssysteme einzudringen. Industrielle Kontrollsysteme (ICS) und andere Produktionssysteme können gefährdet sein, aber wenn Eindringlinge Sicherheitshindernisse umgehen und noch tiefer vordringen können, könnten auch wichtige Unternehmensanwendungen und zugehörige Daten offengelegt werden. Dies alles ist auf fragwürdige Firmware zurückzuführen, die ihren Weg in die Lieferkette gefunden hat, die Sensoren, Aktoren und andere betriebsbereite IIoT produziert.

„Wenn eine Schwachstelle gemeldet wird, dauert es eine Weile, bis ein Hersteller auf diese Schwachstelle reagiert, einen Patch veröffentlicht und dann die Gerätebesitzer das Update auf diesem Gerät ausführen und die neueste Firmware-Version dafür ausführen“, erklärt Wyckhouse , die beschreibt, wie selbst bekannte Schwachstellen bestehen bleiben können.

In „The State of Industrial Cybersecurity“, einem von der ARC Advisory Group für Kaspersky, einem Sicherheitsanbieter, durchgeführten Umfragebericht vom Juli 2019, gaben mehr als ein Viertel (26 %) der Befragten an, dass sie „Bedrohungen von Drittanbietern, wie z Kette oder Partner“ als ein großes Problem an, und weitere 44% gaben an, es sei ein untergeordnetes Problem. Interessanterweise könnten alle anderen wichtigen Sicherheitsbedenken – wie Ransomware (70 %) und gezielte Angriffe (68 %) – über eine Lieferkettenverletzung gegen ein Unternehmen eingeleitet werden.

[ Um mehr über IoT-Sicherheit zu erfahren, registrieren Sie sich für unser IoT-Sicherheitsgipfel diesen Dezember.]

In derselben Umfrage gaben 28 % der Befragten an, dass es "sehr wahrscheinlich" oder "ziemlich wahrscheinlich" sei, dass das ICS oder das industrielle Steuerungsnetzwerk ihres Unternehmens angegriffen würde.

Die „Global Connected Industries Cybersecurity Survey“, eine weitere Umfrage des niederländischen Sicherheitsunternehmens Irdeto aus dem Jahr 2019, betonte, dass viele Unternehmen bereits durch invasive IoT-Angriffe verbrannt wurden:„Die Studie ergab alarmierend, dass nur 17% der IoT-Geräte oder die von großen Unternehmen hergestellt wurden, haben in den letzten 12 Monaten keinen Cyberangriff erlebt.“

Wie IIoT-Lieferketten kompromittiert werden

In der Regel besteht die größte Sorge in Bezug auf die Lieferkette, die die Produktionslinien eines Unternehmens versorgt, darin, dass die Produktionsaktivität unterbrochen werden kann, was zu einer Produktionsverlangsamung oder -schließung führen kann. Für die IIoT-Lieferkette ist die Bedrohung viel verdeckter und es kann Wochen oder Monate dauern, bis ihre Auswirkungen sichtbar werden.

Wenn eine Korruption in der IIoT-Lieferkette auftritt, ist dies in der Regel eher das Ergebnis eines Dominoeffekts, der die Quelle der Schwachstelle verschleiert.

„Die Angreifer haben einige Opfer im Sinn, aber anstatt direkt auf die Opfer zuzugehen, gehen sie zu Tier-2-Industrie-IoT-Lieferanten, kompromittieren ihre Websites und ersetzen legitime Firmware und Software durch trojanisierte Versionen“, beschreibt Eric Byres, CEO von Adolus, a Unternehmen, das einen Firmware-Überprüfungsdienst anbietet.

Unwissentlich IIoT-Netzwerkadministratoren, die eine angemessene Netzwerkwartung durchführen, können den feindlichen Code unwissentlich verbreiten. „Sie laden es sofort herunter und bringen es in ihr Werk“, sagte Byres, „und plötzlich gibt es diese Malware, die jetzt in ihrem Werk, in den Firewalls, in allem herrscht.“

Mit einem Fuß in der Tür können Eindringlinge aus industriellen Netzwerken eindringen und dann Unternehmensdatennetze durchbrechen. "Bösewichte greifen eine Site an und bekommen diesen glaubwürdigen Multiplikatoreffekt", fuhr Byres fort. „Für einen Angreifer ist das eine verdammt gute Rendite.“

Die meisten IIoT-Umgebungen umfassen Hunderte oder Tausende älterer Geräte – Sensoren und andere Komponenten, die möglicherweise seit einem Jahrzehnt (oder länger) vorhanden sind. Experten sind sich einig, dass je älter die Ausrüstung ist, desto wahrscheinlicher ist es, dass sie ein Sicherheitsrisiko darstellt, da sie bei Support und Updates verzögert wird.

Der Finite-State-Bericht beschrieb beispielsweise eine von Huawei hergestellte Komponente, die Code enthielt, der eine Version von OpenSSL verwendet, die 2003 veröffentlicht wurde – und die als äußerst anfällig bekannt (und dokumentiert) war.

Einige Sicherheitslücken in der IIoT-Lieferkette wurden möglicherweise absichtlich eingefügt – entweder unschuldig oder mit böswilligen Motiven. Ein Beispiel ist eine Hintertür. Eine Hintertür in einer Software ermöglicht den Zugriff auf Kernteile der Firmware und damit auf die Komponente selbst, ohne den üblichen Authentifizierungsprozess durchlaufen zu müssen.

Die gut gemeinten Hintertüren werden von Komponentenherstellern oft offen gelassen, um einen Einstiegspunkt für Techniker zu bieten, um das Gerät zu unterstützen und zu überwachen. Diese Hintertüren werden oft als Debug-Ports bezeichnet und ermöglichen auch böswilligen Akteuren einen einfachen Zugriff. In ähnlicher Weise können Anwendungsprogrammierschnittstellen (oder APIs), die eine Integration in industrielle Steuerungssysteme ermöglichen sollen, unbeabsichtigt eine weitere Möglichkeit bieten, den Betrieb eines Geräts zu beeinträchtigen. Die schändlichen Hintertüren werden von Ländern bei ihren exportierten Produkten oft offen gelassen, da sie hoffen, sie später zum Durchsuchen von geistigem Eigentum (IP) oder anderen Daten verwenden zu können.

Im Allgemeinen ist die IIoT-Lieferkette eher Wildwest als gut kontrolliert.

„Das IoT ist in Bezug auf Sicherheitsstandards immer noch eine grob unregulierte Technologie“, bemerkte „IoT Supply Chain Security:Overview, Challenges, and the Road Ahead“, ein Forschungspapier, das von Muhammad Junaid Farooq und Quanyan Zhu von der Tandon School der New York University veröffentlicht wurde des Ingenieurwesens. „Aus Sicht des Gerätebesitzers gibt es keine Kontrolle über die vorgelagerte Lieferkette. Nicht alle Lieferanten sind bereit, ihre Cybersicherheitspraktiken klar zu formulieren und ihre Lieferketteninformationen offenzulegen.“

Ziele bösartiger Schauspieler und was sie wollen

Einbrüche in die IIoT-Lieferkette können zu allen gefährdeten Situationen führen, die wir durch andere Arten von Netzwerkverletzungen gesehen haben. Aufgrund ihrer Beschaffenheit und Funktion können „undichte“ IIoT-Geräte jedoch zu verschiedenen böswilligen Aktivitäten und Störungen führen.

Ransomware sticht immer noch als Hauptmotiv für einen Angriff heraus. Dies gilt auch für viele Infiltrationen der IIoT-Lieferkette, da die böswilligen Akteure die Produktion aufhalten oder anderweitig negativ beeinflussen können, bis eine Lösegeldzahlung geleistet wird.

Produktionsunterbrechungen können in einem industriellen Umfeld noch größere Schäden anrichten. Durch die Änderung des Datenstroms von Sensoren und anderen IIoT-Geräten können Maschineneinstellungen manipuliert werden, was wiederum zu unsichtbaren Problemen im Herstellungsprozess führen kann, die dazu führen können, dass fehlerhafte Produkte oder Fabrikmaschinen wie Robotergeräte in einem unsicheren Betrieb arbeiten Weise.

Ein Bericht von OT Security Best Practices vom März 2020 stellte fest, dass Verstöße gegen industrielle Kontrollsysteme tiefgreifende Auswirkungen haben können:„Einige davon umfassen erhebliche Risiken für die Gesundheit und Sicherheit von Menschenleben, schwere Umweltschäden und finanzielle Probleme wie Produktionsausfälle und negative Auswirkungen auf die Wirtschaft einer Nation.“

Bestimmte Branchen sind ebenfalls zu wichtigen Zielen geworden.

„Wenn Sie ein zielreiches Umfeld mit vielen interessanten Zielen wollen, gehen Sie zu Energie, gehen Sie zum Stromnetz, gehen Sie zu Öl und Gas“, sagte Byres von Adolus. „Und jetzt sehen wir ein weiteres zielreiches Umfeld, das wir wegen der Pandemie sehen.“

Wyckhouse von Finite State weist auch auf das Gesundheitswesen als Hauptziel hin. „Wir sehen gerade in den letzten Wochen einen Anstieg von destruktiven und lebensbedrohlichen Schadensangriffen in der Gesundheitsbranche, wobei Ransomware-Angriffe mitten in der Pandemie Krankenhäuser zum Erliegen bringen.“

Ein großer Zahltag ist nicht immer das Ziel der Angreifer – manchmal sind Informationen, wie bei kritischem geistigem Eigentum (IP), das Ziel.

Es ist auch ein gängiger Trick, sich durch die Risse in einer IIoT-Umgebung zu quetschen, um zum Unternehmensdatennetzwerk zu gelangen. „Die Angriffsfläche wächst und wird jeden Tag komplizierter“, sagte Wyckhouse. „Es gibt bestimmte Fälle, in denen wir uns Sorgen machen sollten, dass ein Akteur die Lieferkette als Mechanismus für den ersten Zugang nutzt.“

Wie man mit Schwächen der IIoT-Lieferkette fertig wird

Für die meisten Unternehmen wird die Schaffung einer sichereren IIoT-Umgebung ein bedeutendes Unterfangen, allein aufgrund der schieren Anzahl von Geräten in Netzwerken und ihrer komplizierten Historie. Sie sind einen Schritt voraus, wenn Sie bereits über eine detaillierte und umfassende Bestandsaufnahme dieser Geräte verfügen – und wenn nicht, können Sie hier beginnen.

Sobald Sie die Lage des Landes festgelegt haben, ist eine Risikobewertung der Lieferkette der nächste Schritt. Identifizieren Sie die „Makro“-Risiken wie Lösegeldsituationen, Datenkorruption oder IP-Diebstahl. Aber die Risikobewertung muss auch eine detailliertere Ebene erreichen, bei der jedes Gerät auf potenzielle Schwachstellen untersucht wird und wie diese Schwachstelle zu einem umfassenderen Netzwerkeinbruch verschärft werden kann.

Auch ein genauerer Blick auf die Unternehmensnetzwerke und deren Integration ist angebracht. Es kann beispielsweise möglich sein, ein IIoT vom Internet zu isolieren, indem man Air-Gapping verwendet, um die Betriebstechnologieumgebung von den IT-Netzwerken zu trennen.

Auch die Anbieter von IIoT-Geräten sollten bewertet werden, damit das Niveau ihrer Sicherheitsbemühungen verstanden wird. Der beste Zeitpunkt dafür ist, wenn Ihr Unternehmen Produkte für den Kauf evaluiert, denn „der Zeitpunkt im Lebenszyklus eines Geräts, an dem der Betreiber den größten Einfluss auf den Hersteller hat, ist der Kauf dieses Geräts“, so Wyckhouse.

Wenn es viele und häufige Käufe von IIoT-Geräten gibt, wäre es eine gute Idee, einen formellen Bewertungsprozess einzurichten, um sicherzustellen, dass alle Anbieter und Produkte entsprechend überprüft werden.

„Nehmen Sie nicht nur einen kleinen Zettel mit der Aufschrift ‚Wir nehmen die Sicherheit ernst‘“, bemerkte Byres. „Erhalten Sie einen ordnungsgemäßen Bericht von ihnen oder gehen Sie zu einem Dritten und lassen Sie sich eine ordnungsgemäße Analyse erstellen, und finden Sie wirklich heraus, ob Ihr Lieferant seine Hausaufgaben in Bezug auf die Sicherheit macht.“

Sie können auch auf Ressourcen wie die National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) zugreifen, um die Liste der Common Vulnerabilities and Exposures (CVEs) zu überprüfen.

Neue Klassen von Diensten und Anwendungen entstehen, insbesondere um die Situation der IIoT-Lieferkette zu bewältigen. Adolus und Finite State sind Beispiele für Unternehmen, die Dienstleistungen anbieten, die Benutzern helfen, die Sicherheit der Ausrüstung zu bestimmen, die sie bereits installiert haben oder in Erwägung ziehen.

Adolus begann als Projekt des US-Heimatschutzministeriums, bevor es sich zu einem kommerziell verfügbaren Dienst entwickelte. Es basiert auf einer Datenbank, die veröffentlichte und anekdotische Informationen zu Tausenden von IoT-Geräten sammelt, einschließlich einer Zusammenstellung aller bekannten Schwachstellen. Endbenutzer oder Gerätehersteller können auf die Datenbank zugreifen, um die Herkunft einer Komponente zu verfolgen und Details zu ihren Bestandteilen und Lieferanten zu finden.

„Bei unserer Technologie geht es darum, diese Software-Stückliste zu erstellen“, sagte Eric Byres, CEO von Adolus. „Wir könnten also eine ganze Provenienz nicht nur für das Basisprodukt haben, das Sie gerade gekauft und installiert haben, sondern auch für alle Komponenten, die damit geliefert wurden.“

Finite State verfolgt auch einen neuen Ansatz für dieses Problem. Die Technologie des Unternehmens kann Firmware effektiv analysieren, um festzustellen, ob sie Risiken für eine IIoT-Infrastruktur darstellt. Dies ist besonders wichtig, da, wie Matt Wyckhouse, CEO von Finite State, hervorhebt, „wenn ein Firmware-Update angewendet wird, diese Firmware die gesamte Software auf diesem Gerät ersetzt. Es ersetzt es vollständig und kann somit das Risikoprofil des Geräts vollständig ändern.“