Mit der Hinzufügung von 8 neuen Protokollen - womit sich die Gesamtzahl unserer OT-Protokolle (Operational Technology) auf 16 erhöht - entdecktCensys nun mehr als 100.000 öffentlich zugängliche OT-Dienste. OT ist definiert als die Systeme, die zur Verwaltung industrieller Abläufe eingesetzt werden. Dazu gehören industrielle Kontrollsysteme (ICS), aber auch die Software und Geräte, die zur Verwaltung der ICS-Infrastruktur verwendet werden.
Viele Protokolle, die als Schnittstelle zu ICS-Systemen dienten, wurden vor der weit verbreiteten Internetanbindung entwickelt und verfügen über keine starken Authentifizierungs- oder Verschlüsselungsmechanismen. Die damit verbundene Infrastruktur altert ebenfalls - das Durchschnittsalter eines Kraftwerks in den Vereinigten Staaten beträgt 29 Jahre. Diese kritische Infrastruktur war das Ziel erfolgreicher Cyberangriffe, wie z. B. des jüngsten Hacks der Colonial Pipeline. Dieses Problem wird noch dadurch verschärft, dass Unternehmen, die OT einsetzen, in der Regel alle paar Jahre ein Upgrade oder eine Modernisierung des empfindlichen Ökosystems der angeschlossenen Maschinen vornehmen müssen. In diesen Umgebungen gehören Air Gapping und Netzwerksegmentierung zu den häufigsten kurzfristigen Abhilfemaßnahmen.
Die häufigsten OT-Protokolle
Wir können damit beginnen, den Universal Internet Dataset mit BigQuery (eine Funktion von Censys Enterprise) zu überprüfen, um zu sehen, welche Protokolle am häufigsten öffentlich zugänglich sind. Dies kann auch mit dieser Abfrage in unserer Such-App untersucht werden:
SELECT DISTINCT services.service_name , count(*) as ct
FROM `censys-io.universal_internet_dataset.universal_internet_dataset` JOIN UNNEST(services) AS services
WHERE DATE(snapshot_date) = "2021-08-03"
AND services.dienst_name IN (
"ATG",
"BACNET",
"CITRIX",
"CODESYS",
"DIGI",
"DNP3",
"EIP",
"FINS",
"FOX",
"GE_SRTP",
"IEC60870_5_104",
"MODBUS",
"PCWORX",
"PRO_CON_OS",
"S7",
"WDBRPC"
)
GROUP BY dienste.dienst_name
ORDER BY ct desc
Lassen Sie uns fortfahren und die Anzahl der einzelnen Hosts, auf denen diese Dienste laufen, ermitteln, indem wir unsere Abfrage in ändern:
SELECT COUNT(DISTINCT host_identifier.ipv4)
Unsere Ergebnisse zeigen eine Gesamtzahl von 110.246 OT-Diensten, die über 101.484 eindeutige IPv4-Adressen laufen:
Aus früheren Untersuchungen wissen wir, dass es sich bei vielen Diensten im Internet um Pseudo-Dienste handelt, die auf jedem Port denselben Dienst ausführen, oder um Honeypots, die simulieren, dass eine große Anzahl von Diensten läuft. Censys schneidet einige Dienstinformationen für Hosts ab, die mehr als 100 Dienste ausführen. Lassen Sie uns diese Hosts mit abgeschnittenen Diensten herausfiltern, indem wir unsere SQL-Abfrage ergänzen:
AND NOT services.truncated = true
Da wir nun Informationen über die Dienste haben, können wir leicht berechnen, wie viel Prozent der OT-Dienste abgeschnitten sind, also wahrscheinlich nicht echt:
Mehr als die Hälfte der Automated Tank Gauge (ATG) und Citrix-Dienste scheinen Pseudo-Dienste zu sein! Lassen Sie uns das mit unserer Such-App, search.censys.io, ein wenig näher untersuchen.
Filterung für rechtmäßige Dienste
Mit dem Suchbegriff "services.service_name: ATG" sehen wir sofort eine Reihe von Hosts in der AWS-Cloud, auf denen über 200 HTTP-Services laufen! Dabei handelt es sich mit ziemlicher Sicherheit nicht um echte Dienste. Wir können sie aus unserer Suche entfernen, indem wir "and not services.truncated: true" hinzufügen.
Lassen Sie uns ein wenig genauer untersuchen, was diese ATG-Dienste hervorruft. Auf der Suche nach weiteren Informationen über das Protokoll stoßen wir auf einen ATG-Honeypot, der 2015 bei Blackhat veröffentlicht wurde. GasPot ist eine Python-Anwendung, die eine Tankanzeige simuliert und ihre Werte nach dem Zufallsprinzip ändert, um das Verhalten eines legitimen Hosts zu imitieren. Sie protokolliert alle Verbindungsversuche, um sie später weiter zu analysieren. Die Leichtigkeit, mit der dieser Honeypot ausgeführt werden kann, ist eine wahrscheinliche Erklärung für die übergroße Anzahl von ATG-Pseudodiensten.
Wo laufen diese Hosts?
Mit unserer Such-App können wir etwas genauer untersuchen, wo die Hosts mit einem OT-Protokoll betrieben werden. Nach den Daten von Censysbefinden sich 40 % der Dienste mit OT-Protokollen in den Vereinigten Staaten!
Wenn man die Standorte nach Städten aufschlüsselt, dominiert Istanbul mit 801 Diensten die Ergebnisse! Fast 1 % aller OT-Protokolle werden dort geführt.
Die Verteilung der Dienste, die in Istanbul angeboten werden, unterscheidet sich ein wenig von unserer Gesamtverteilung:
CODESYS, PCWORX, S7, IEC 60870-5-104 und Modbus sind im Vergleich zur globalen Verteilung deutlich überrepräsentiert, was wahrscheinlich auf Unterschiede in der verwendeten physischen Infrastruktur zurückzuführen ist. Bemerkenswert ist, dass BACnew und WDBRPC, die zusammen 20 % aller im Universal Internet Dataset entdeckten OT-Dienste ausmachen, in diesem Diagramm nicht vorkommen.
Wir können auch die globale Verteilung von legitimen Hosts, die OT-Dienste anbieten, mit kepler.gl visualisieren:
Zusammenfassung
Trotz der Sicherheitsrisiken zeigen die Daten von Censys, dass öffentlich zugängliche OT-Dienste im Internet nach wie vor weit verbreitet sind. Diese Dienste stellen ein Risiko für die Daten von Unternehmen, die Kontinuität des Betriebs und die öffentliche Sicherheit dar. Der Schutz von OT-Diensten und kritischen Infrastrukturen ist ein wichtiges Problem, und Präsident Biden unterzeichnete ein nationales Sicherheitsmemorandum zur "Verbesserung der Cybersicherheit für Kontrollsysteme kritischer Infrastrukturen".
Was kann ich dagegen tun?
Es gibt eine Reihe von Maßnahmen, die Unternehmen kurzfristig ergreifen können, um ihre Netzwerke zu schützen.
- Praktizieren Sie Netzwerksegmentierungsrichtlinien und wenden Sie Firewall-Regeln an, um zu verhindern, dass OT-Geräte öffentlich dem Internet ausgesetzt werden.
- Verwenden Sie Netzwerkprotokollierungstools, um verdächtigen ausgehenden Datenverkehr zu überwachen und zu identifizieren.
- Stellen Sie sicher, dass Dienste, die öffentlich zugänglich sein müssen, angemessen abgesichert sind, indem Sie eine starke Verschlüsselung und eine mehrstufige Authentifizierung verwenden.
- Sehen Sie Ihre IP-Bereiche in Censys Search und filtern Sie nach OT-Protokollen.
- Nutzen Sie Censys ASM für die kontinuierliche externe Überwachung Ihrer Angriffsfläche, einschließlich 16 gängiger OT-Protokolle.
Censys Search Daten
Censys hilft Organisationen, Einzelpersonen und Forschern, jeden Server im Internet zu finden und zu überwachen, um die Gefährdung zu verringern und die Sicherheit zu verbessern. Der Zugriff auf unsere Daten erfolgt über unsere Suchplattform search.censys.io, für kostenlose Community-Nutzer und über eine kommerzielle Lizenz für Unternehmenskunden.
Censys Universeller Internet-Datensatz
Der Censys Universal Internet Dataset (UIDS) ist der branchenführende Datensatz für Hosts und Dienste im Internet. Unternehmen nutzen UIDS, um anspruchsvolle Bedrohungen zu verfolgen und komplexe Angriffsflächen zu verteidigen. Erhalten Sie Zugriff auf den Universal Internet DataSet und entdecken Sie "Super"-Hosts und vieles mehr. Kontaktieren Sie uns und fordern Sie noch heute eine Demo an!
Haben Sie Interesse an einer Forschungstätigkeit? Wir bieten auch Zugang für Forscher. Sehen Sie hier, ob Sie dafür in Frage kommen.
