Schwachstellen in Industrienetzwerken gut absichern

Da industrielle Netzwerke in erster Linie auf- und ausgebaut werden, um den wachsenden Geschäftsanforderungen gerecht zu werden, kann es schnell passieren, dass Administratoren Systemschwachstellen übersehen. Wenn Sie beispielsweise ein Gerät zu einem neu aufgebauten oder erweiterten Netzwerk hinzufügen, wissen Sie dann, welche industriellen Ethernet-Switches über freigeschaltete Ports verfügen? Sie sollten nie vergessen, dass das Ignorieren gängiger Systemschwachstellen in der heutigen Welt Ihr gesamtes Netzwerk in Gefahr bringen könnte. Die folgenden Szenarien fassen einige häufige Systemschwachstellen zusammen, die während der drei Hauptphasen einer Cyber-Attacke, ausgenutzt werden können.

Erinnern Sie sich, wann Sie sich das letzte Mal in Ihr Netzwerk eingeloggt haben? Wie komplex war Ihr Passwort? Obwohl schwache Passwörter für vielbeschäftigte Administratoren leichter zu merken sein mögen, sind sie für böswillige Akteure auch leichter durch einen sogenannten Brute-Force-Angriff zu knacken. Wenn Sie es einem Angreifer leicht machen, Ihre Netzwerk-Anmeldedaten zu erraten, ist das so, als würden Sie die Schlüssel zu Ihrem Haus an einem Ort deponieren, der für einen Einbrecher leicht zu finden ist. Angreifer nutzen häufig offene Ports in Netzwerken aus. Beispielsweise fungieren Ethernet-Switches als Tore, durch die Informationen in Netzwerken gesendet und empfangen werden. Wenn Sie das Tor offenlassen, können Eindringlinge direkt hindurchgehen. Durch Scannen Ihres Netzwerks können Hacker offene Ports identifizieren und in Ihr Netzwerk eindringen, genau wie ein Einbrecher, der durch ein unverschlossenes Tor eindringt.

Doch wie lassen sich Angreifer in die Schranken weisen? Eine der einfachsten Möglichkeiten, die Netzwerksicherheit zu erhöhen, besteht darin, sicherzustellen, dass Benutzer ein ausreichend komplexes Kennwort erstellen. Damit verringern Sie die Wahrscheinlichkeit, dass ein Angreifer Ihre Anmeldeinformationen mittels Brute-Force errät. Für zusätzliche Sicherheit sollten Sie auch einen Sperrmechanismus für fehlgeschlagene Anmeldeversuche in Betracht ziehen, der die Anzahl der erfolglosen Anmeldeversuche begrenzt, welche auf einen Brute-Force-Angriff hindeuten könnten. Um Ihr Netzwerk vor Port-Scans zu schützen, können Sie eine Whitelist von Ports erstellen, die durch Ihre Firewall zugänglich sind, und auch das WAN-Ping deaktivieren.

In der zweiten Phase eines Cyberangriffs ist der böswillige Akteur bereits in das Netzwerk eingedrungen. Auch wenn er das Netzwerk nicht aktiv zerstört, sammelt er heimlich Informationen und legt den Grundstein für einen noch schädlicheren Angriff. So kann ein Hacker beispielsweise verschiedene Scan-Tools einsetzen, um sich über Ihre Netzwerktopologie zu informieren, damit er sein nächstes Ziel finden und auf weitere Geräte zugreifen oder diese kontrollieren kann. Der Angreifer kann sogar Command Injection verwenden, um Authentifizierungsanforderungen zu umgehen oder sich selbst höhere Benutzerprivilegien einzuräumen, um verbotene Befehle auszuführen und Netzwerkgeräte für ruchlose Zwecke zu vereinnahmen. Um die Fähigkeit des Angreifers einzuschränken, sich in Ihrem Netzwerk zu bewegen und Ihre Geräte in Beschlag zu nehmen, empfehlen wir eine Netzwerksegmentierung und Kontrolle des Datenverkehrs. Beispielsweise sollten Sie Ihr Netzwerk in kleinere Segmente partitionieren und die Kommunikation, die diese Segmente durchläuft, kontrollieren. Darüber hinaus kann auch der Einsatz von Whitelist-Kontrolle zur Verhinderung von Command Injection die Schwere der Sicherheitsverletzung begrenzen. Der Einsatz von Whitelist-Kontrolle durch Deep Packet Inspection (DPI) kann Hacker daran hindern, nicht autorisierte Befehle einzuspeisen.

In der letzten Phase eines Cyberangriffs untersucht der Hacker nicht mehr die Netzwerke, sondern richtet aktiv Schaden an. Während der dritten Phase einer Cyberattacke könnte der Hacker einen Rechner oder Netzwerkressourcen für autorisierte Benutzer unzugänglich machen, indem er die Dienste auf einem Host vorübergehend oder auf unbestimmte Zeit unterbricht. Dies wird üblicherweise als Denial-of-Service-Angriff (DoS-Angriff) bezeichnet, bei dem ein gezielter Rechner überflutet wird, um ihn mit Pings zu überlasten. Darüber hinaus könnte ein Hacker Malware freisetzen, einschließlich Ransomware, um Ihnen den Zugriff auf Ihre Netzwerkressourcen zu verweigern, bis ein Lösegeld gezahlt wird. Sie können den Gesamtschaden für Ihr Netzwerk mindern, indem Sie für ausreichenden DoS- oder DDoS-Schutz, das heißt verteilte DoS-Angriffe, die mehrere Systeme betreffen, sorgen und ein industrielles IPS (Intrusion Prevention System) für Ransom- und andere Malware einsetzen. Außerdem sollten Sie zuverlässige System-Backups erstellen und nicht autorisierte Protokolle auf eine schwarze Liste setzen, um Datenverluste zu minimieren.