Censys und GreyNoise haben sich in den letzten drei Monaten zusammengetan, um ein neues Licht auf die realen Bedrohungen zu werfen, denen industrielle Kontrollsysteme (ICS) im Internet ausgesetzt sind. Auf der LABSCon 2024 präsentierten sie ihre Ergebnisse und stellten einige lange Zeit geltende Annahmen über die ICS-Sicherheit in Frage.
Anfang dieses Jahres identifizierten Forscher von Censys in den USA über 40.000 mit dem Internet verbundene ICS-Geräte, darunter über 400 Mensch-Maschine-Schnittstellen (HMI). Viele dieser Schnittstellen erforderten zum Zeitpunkt der Beobachtung keine Authentifizierung. HMIs bieten leicht zu verstehende und leicht zu manipulierende Schnittstellen, was sie zu leicht zugänglichen Zielen für Bedrohungsakteure macht, die den Betrieb stören wollen. Da sie relativ leicht zu manipulieren sind, waren wir neugierig auf den tatsächlichen Angriffsverkehr, der über solche Schnittstellen läuft.
Zur Durchführung der Voruntersuchungen richtete GreyNoise hyperrealistische Emulationen von mit dem Internet verbundenen HMIs für kritische Kontrollsysteme ein und tarnte sie durch Geografie und ASNs. Fünfundvierzig Tage lang wurden die Daten für diese überraschenden und besorgniserregenden Ergebnisse analysiert:
- Schnelles Targeting: Mit dem Internet verbundene HMIs wurden schneller untersucht und gescannt als die Basiskontrollsensoren. Über 30 % der IPs, die die HMIs vor einem typischen GreyNoise-Sensor berührten, wurden später als bösartig identifiziert.
- Fokus auf Fernzugriff: Entgegen den Erwartungen zielten die Angreifer in erster Linie auf gängige RAS-Protokolle (Remote Access Service) und weniger auf ICS-spezifische Kommunikationsprotokolle ab. Virtual Network Computing (VNC) war für die Bedrohungsakteure von besonderem Interesse.
Implikationen für die ICS-Sicherheit
Diese Untersuchung zeigt eine potenzielle Diskrepanz zwischen den wahrgenommenen Risiken und dem tatsächlichen Verhalten von Bedrohungsakteuren in Bezug auf ICS, die dem Internet ausgesetzt sind. Während sich die Branche seit langem auf die Sicherung ICS-spezifischer Kommunikationsprotokolle konzentriert, könnte die dringendere Bedrohung in allgemeineren, leicht auszunutzenden Zugangspunkten wie Fernzugangsdiensten liegen. Das rasche Anvisieren legt nahe, dass solche Geräte vorrangig online untersucht werden sollten.
Diese Untersuchung unterstreicht, wie wichtig die Sicherung von Fernzugriffsdiensten als erste Verteidigungslinie für ICS-Umgebungen ist. Die relative Leichtigkeit, mit der diese allgemeinen Zugangspunkte angegriffen werden können, macht die Ausnutzung spezieller ICS-Protokolle oft unnötig.
GreyNoise und Censys beabsichtigen, diese Forschung fortzusetzen, um auf der Grundlage dieser experimentellen Ergebnisse mehr zu erfahren.