Überlegungen zur Beschaffung von Remote-Zugriffsgeräten für die Sicherheit

Betriebsteams, die Industriesysteme betreiben, verlassen sich bei der Erledigung ihrer Aufgaben auf Fernzugriffsgeräte und denken beim Kauf selten über nicht-technische und nicht-kommerzielle Überlegungen nach. Aber die jüngste Geschichte zeigt uns, dass die Herkunft des Geräts – und sogar der Komponenten innerhalb des Geräts – viel wichtiger ist, als wir glauben.

Angriffe auf die Lieferkette sind schwerwiegend

Ein Lieferkettenangriff ist eine Kategorie von Cybersicherheitsangriffen, bei denen der Zugriff durch Angriffe auf vorgelagerte Elemente in der Lieferkette erlangt wird. Ein Laie, der ein Gerät kauft – vielleicht um ein Gerät über das Wochenende in Betrieb zu nehmen – mag denken, dass das Risiko nicht groß genug ist, um die Kaufentscheidung zu beeinflussen, aber das ist es.

Supply-Chain-Angriffe sind bei Angreifern äußerst beliebt, da sie durch die Infiltration eines Lieferanten Zugriff auf viele Endbenutzer erhalten können. Beispielsweise war Stuxnet ein effektiver Angriff auf die Lieferkette, der auf SPS abzielte, die in einem Urananreicherungsprogramm verwendet wurden. NotPetya, das Organisationen wie Merck und Saint-Gobain einen geschätzten Schaden von 10 Mrd. USD zufügte, wurde über Steuervorbereitungssoftware verbreitet. Zuletzt ermöglichte SUNBURST bis zu 18.000 Organisationen einen Backdoor-Zugang und wurde über die SolarWinds-Software vertrieben. Dies ist viele Male vorgekommen und wird wegen der Auszahlung für den Angreifer weitergehen.

Supply-Chain-Angriffe auf ICS durch Fernzugriffsgeräte

Die Idee eines Angriffs auf die Lieferkette, der über ein Fernzugriffsgerät auf ICS abzielt, ist nicht nur theoretisch – es ist bereits passiert. Im Jahr 2014 infizierte Dragonfly-Malware viele Unternehmen und wurde über Ewon’s Talk2M-Anwendungs-Setup-Pakete verbreitet, eine Software, die verwendet wird, um VPN-Zugriff auf ICS-Geräte bereitzustellen. Das SANS Institute hat ein Papier über den Angriff und seine Auswirkungen bereitgestellt, das Sie hier lesen können.

Überlegungen vor dem Kauf

Zurück zum Laien, der ein Gerät kauft, damit er einige Geräte in Betrieb nehmen kann – was sollte er tun?

In Situationen, in denen Sie kein Experte sind oder sein können, ist es ratsam, sich anzusehen, was Experten tun. Im Fall der Sicherheit wäre einer dieser Experten das US-Verteidigungsministerium. Sie verbieten den Kauf und die Verwendung von Geräten oder Verträge mit Anbietern, die Geräte verwenden, von bestimmten ausländischen Herstellern aufgrund von Risiken in der Lieferkette. Ein DoD-Memo vom Juli 2020 beschreibt diese Praxis und kann hier öffentlich eingesehen werden. Ein bedeutendes genanntes Unternehmen ist die Huawei Technologies Company (und ihre Tochtergesellschaften und verbundenen Unternehmen) aufgrund der breiten Verwendung ihrer Chips – einschließlich in Fernzugriffsgeräten wie Tosibox.

Ein Tipp für den Laien hier könnte also sein, wann immer möglich im Inland zu kaufen. Es sollte beachtet werden, dass der Kauf von im Inland hergestellten Produkten und Produkten, die mit tiefen Sicherheitsschichten entwickelt wurden, nicht einfach ist und normalerweise einen Preisaufschlag erfordert, aber die Kosten für den Benutzer zweifellos wert sind – insbesondere für den Fernzugriff auf industrielle Systeme.

Abgesehen von Lieferkettenrisiken gibt es viele technische und organisatorische Überlegungen bei der Implementierung des Fernzugriffs. Ich habe diese in einer Arbeitsgruppe mit The Organization for Machine Automation and Control (OMAC) untersucht, die dann einen praktischen Leitfaden für den Fernzugriff auf Anlagenausrüstung veröffentlichte, den ich zum Lesen empfehle.