English

Aktives Netzwerk Scanning ist leistungsstark und sicher - muss jedoch richtig durchgeführt werden

Ein regelmäßiges aktives Netzwerk Scanning ist die Voraussetzung, um ein genaues Bild des Netzwerks zu erhalten. Denn wichtige Informationen stehen nur auf Anfrage zur Verfügung, sind also im normalen Datenverkehr nie vorhanden.

Der Grund für eine passive Analyse des Datenverkehrs besteht darin, dass viele ICS Geräte (Industrial Control Systems) nur so entwickelt wurden, dass sie wie erwartet funktionieren. Sie sind jedoch häufig nicht getestet worden, um die Funktion auch dann noch aufrechtzuerhalten, wenn sie Datenverkehr empfangen, für den sie nicht entwickelt wurden. Ich habe beispielsweise gesehen, dass RFID Controller und Anybus Module durch erhaltene Datenpakete blockiert waren, die sie schlichtweg "verwirrten".

Aktives Netzwerk Scanning kann deutlich mehr Informationen liefern als passives Scannen und somit in allen industriellen Prozessen ein äußerst wertvolles Werkzeug sein. Wie ich bereits in einem früheren Blogbeitrag festgestellt habe, können Geräte in industriellen Einsatzszenarien - etwa variable Frequenzumrichter (VFD), SPSen, E/A-Systeme, Aktoren und Sensoren - empfindlicher reagieren als in einer Büroumgebung.

Standard IT Methoden für das Scannen von Netzwerken können in industriellen Prozessen nicht ohne Planung und Vorausschau eingesetzt werden.

Deshalb müssen spezielle Vorkehrungen getroffen werden. So sollte das Netzwerk Scanning etwa umsichtig durchgeführt werden und nur dann, wenn die Maschinen nicht in Betrieb sind. Denn durch den zusätzlichen Datenverkehr treten möglicherweise Latenzen und andere Probleme auf. Zwar können manche Maschinen während eines aktiven Scans einwandfrei funktionieren, dennoch ist eine gründliche Untersuchung erforderlich, um dies zu überprüfen.

Bediener können alle Vorteile eines aktiven Scans ohne Sorgen um ihr Netzwerk nutzen. Hierzu müssen sie jedoch die richtige vorausschauende, verantwortungsbewusste und sachkundige Planung vornehmen, bevor sie einen aktiven Scan durchführen. Normalerweise.

Ich sage „normalerweise“, weil meine Kollegen und ich kürzlich in eine Situation verwickelt waren, die nicht zu 100% wie geplant verlief. Sie brachte jedoch ein aufschlussreiches Ergebnis.

Industrial Cybersecurity

Beispiel: Aktives Scannen des Netzwerks durch Partnerschaft erreicht

Wir wurden hinzugezogen, um einen aktiven Scan in einem Netzwerk durchzuführen, das von einem großen Automobilhersteller betrieben wird. Denn dieser Kunde ist sehr anspruchsvoll, und wir haben eine enge Partnerschaft mit ihm.

Seine Mitarbeiter wussten genau, was sie wollten - einen aktiven Netzwerkscan, der schnell und effizient tief in ihr Netzwerk eindringt, um jedes Gerät zu erkennen und äußerst detaillierte Informationen bereitzustellen. Ihr Ziel war es, umfassende Daten über alle vorhandenen Geräte sowie gründliche Analysen und Empfehlungen zu erhalten.

Aufgrund der Beziehung mit Belden entschied sich der Kunde, mit unserem Tochterunternehmen Tripwire zusammenzuarbeiten, das umfassende Erfahrung und Kompetenz auf diesem Gebiet besitzt. Wir haben die Scan Aktivität während eines Zeitraums geplant, in dem die Verbindung wegen vorgesehener Wartungsarbeiten nicht verfügbar war. Außerdem sollte der Scan langsam und behutsam im gesamten Netzwerk durchgeführt werden.

Wir haben erwartet, dass die Auswirkungen auf das Netzwerk sozusagen einer leichten Brise gleichen würden. Wir erfuhren jedoch bald, dass ein variabler Frequenzumrichter (Variable Frequency Drive, VFD) ausgelöst hatte. Natürlich waren wir besorgt. Konnte unser Scan dafür verantwortlich sein? Glücklicherweise haben alle Beteiligten die Situation unvoreingenommen betrachtet und sind schnell zu dem Schluss gekommen, dass der außergewöhnlich behutsame Scan den Fehler nicht hätte verursachen können oder sollen.

Es stellte sich heraus, dass die Ursache eine bestehende, aber verborgene Sicherheitslücke in dem VFD war. Sie konnte durch vielfältige Unterbrechungsszenarien ausgelöst werden, beispielsweise einen Broadcast Sturm oder eine Reihe fehlerhafter Datenpakete. Wir hatten unglaubliches Glück, dass der Vorfall unter den gegebenen Umständen harmlos war. Hätte der VFD während des Betriebs der Linie ausgelöst, wäre das ein ernstes Problem gewesen, das möglicherweise die Produktion stillgelegt hätte.

Unsere Analyse bestätigte für den Kunden, was die Ursache des Problems war, woraufhin er sich an den Hersteller des VFD wandte. Dieser war für den Hinweis dankbar und stimmte uns zu, dass das während unserer Scan Aktivität aufgetretene Problem nicht hätte passieren dürfen. Deshalb testete der Hersteller die VFDs in seinen Labors und ging den Problemen auf den Grund. Außerdem behob er proaktiv andere Zuverlässigkeitsprobleme durch Modifikationen und Firmware.

Das Endergebnis ist ein besseres Produkt und ein zuverlässigerer Betrieb für alle.

Was würden Sie tun?

Ich habe diesen Vorfall geschildert, weil das aktive Netzwerk Scanning immer noch einen schlechten Ruf hat. Das liegt vor allem daran, dass IT Experten im Bürobereich die üblichen aktiven Überwachungsmethoden anwenden, ohne diese an die heiklen Anforderungen industrieller Prozesse anzupassen, was dann zu nachteiligen Wechselwirkungen zwischen Geräten führt.

Da dieser Ruf nach wie vor besteht, hätte der Automobilhersteller natürlich denken können, dass der VFD aufgrund eines schlecht durchgeführten aktiven Scans ausgelöst hat. Zum Glück war er in die sorgfältigen Vorkehrungen einbezogen und wusste, dass alles getan worden war, um mögliche negative Auswirkungen zu verringern und zugleich alle Vorteile des aktiven Netzwerk Scannings zu nutzen.

Mitarbeiter des Automobilherstellers untersuchten den Vorfall gründlich und konnten so die Ursache des Problems exakt feststellen. Dies war der erste Schritt, um das Problem zu beheben und sicherzustellen, dass es nicht erneut auftritt. Ich muss auch den Hersteller des VFD loben, der den Vorfall zum Anlass genommen hat, um sein qualitativ hochwertiges Produkt weiter zu verbessern. Die Geschichte hätte auch so ausgehen können, dass alle wütend mit dem Finger aufeinander zeigen. Stattdessen war es eine wirkliche Zusammenarbeit, bei der alle an einem Strang zogen und letztlich davon profitierten.

Triton Malware

Weiterführende Links