KL ICS CERT: Ein Jahr im Dienst

Business

Die Hauptaufgabe des ICS CERT ist die Koordination der Aktivitäten von: Herstellern industrieller Steuerungssysteme (ICS), Inhabern und Betreibern industrieller Anlagen und Forschern im Bereich der Informationssicherheit. Obwohl unser Center noch relativ jung ist, hat es bereits erfolgreich Arbeitsverhältnisse mit wichtigen Akteuren in der ICS-Branche, regionalen Koordinierungszentren (z. B. US ICS-CERT in den USA und JPCERT/CC in Japan) sowie internationalen und staatlichen Regulierungsbehörden geschaffen.

We decided that after one year of successful operation, now is the perfect time to offer a detailed explanation of why the center is needed, what it does, and how it differs from others.

Wie unterscheidet sich KL ICS CERT von anderen Centern?

Zunächst sind alle anderen CERTs (Computer Emergency Response Teams) im Bereich der industriellen Cybersicherheit entweder staatliche Strukturen oder Unternehmensbereiche von ICS-Herstellern. Erstere sind durch die (meist territorialen) Interessen ihrer Staaten begrenzt und Letztere konzentrieren sich auf die Problemlösung, die sich ausschließlich auf ihre eigenen Produkte bezieht. Auf uns trifft keine dieser Einschränkungen zu.

Des Weiteren ist es bei anderen CERT-Tätigkeiten für gewöhnlich unwahrscheinlich, dass eine eigene Vulnerabilitätsforschung und tiefgründige Analyse der Bedrohungslage selbst durchgeführt wird. Viel mehr wird sich darum bemüht Informationen über externe Bedrohungen, zum Beispiel, von Drittanbietern und ICS-Herstellern, zu verarbeiten. Auch das trifft nicht auf uns zu: als Teil des weltgrößten Sicherheitsanbieters, verfügen wir über die Ressourcen, Technologien und das Fachwissen, um selbstständig nach Schwachstellen zu suchen und Bedrohungen zu erkennen. Und das Wichtigste: wir haben die nötige Erfahrung. Denn seit mehr als zwei Jahrzehnten führt Kaspersky Lab den Kampf gegen Cyberbedrohungen an und konzentriert sich seit mehreren Jahren besonders auf industrielle Bedrohungen.

Wir verarbeiten Big Data aktueller und potenzieller Bedrohungen von weltweiten Quellen und analysieren sie mit maschinellen Lernalgorythmen- und Tools. Unser ICS CERT identifiziert so Bedrohungen, die ein besonderes Auge auf industrielle Steuerungssysteme geworfen haben.

Womit genau beschäftigt sich Kaspersky Lab ICS CERT?

Unser CERT ist in zahlreichen Bereichen tätig, die ein breites Spektrum an Aufgaben abdecken. Zu den Schlüsselfunktionen gehören: das Fachwissen mit der Allgemeinheit zu teilen; Partnern technische Fähigkeiten zu präsentieren und das Projekt bei ICS-Sicherheitsexperten, Ingenieuren und Betreibern promoten.

Suche nach Schwachstellen innerhalb industrieller Systeme. Unsere Experten untersuchen konstant jegliche Arten von industriellen Steuerungssystemen sowie industrielle IoT-Geräte, stufen ihr Sicherheitsniveau ein und decken neue Schwachstellen auf. Im vergangenen Jahr haben wir mehr als 100 Zero-Day Schwachstellen entdeckt und Systemhersteller darüber informiert. Dank unserer Bemühungen wurden 54 dieser von uns entdeckten Schwachstellen bis Oktober dieses Jahres bereits von den Herstellern behoben.

Die Ergebnisse unserer Forschung und Arbeit zur Aufdeckung von Schwachstellen wurden vom US ICS-CERT im Jahresbericht festgehalten. MITRE hat unser Unternehmen vor Kurzem als Behörde im Bereich der Schwachstellen (CVE Numbering Authority oder CNA) anerkannt. Infolgedessen wurde Kaspersky Lab in die Liste der CNAs (CVE Numbering Authorities) aufgenommen. Wir sind weltweit das 6. Unternehmen mit diesem Status.

Bedrohungen identifizieren, analysieren und darüber informieren. Wir identifizieren und analysieren Angriffe auf Industrieunternehmen (sowohl zielgerichtete als auch weitverbreitete Angriffe, die ICS-Systeme zufälligerweise treffen), untersuchen die Infektionsquellen der SCADA-Systeme und suchen nach absichtlich auf industrielle Systeme ausgerichtete Malware. Unsere CERT-Webseite hat bereits zwei halbjährliche Berichte über die ICS-Bedrohungslage veröffentlicht und veröffentlicht regelmäßig Warnungen über identifizierte Bedrohungen und Berichte über festgestellte Angriffe auf Industrieunternehmen.

Vorfälle untersuchen. Bei der Untersuchung von Cybervorfällen in Industrieunternehmen, verfolgen wir die Ursachen, untersuchen die von den Kriminellen verwendeten Tools und Techniken, helfen bei der Problembehebung und dabei neue Vorfälle zu verhindern. Im vergangenen Jahr haben wir Unternehmen aus verschiedenen Branchen (Metallurgie, Petrochemikalien, Baumaterialien) weltweit geholfen.

Beurteilung des Schutzniveaus industrieller Systeme. Unser CERT spezialisert sich auf die Bewertung des Schutzniveaus industrieller Steuerungssysteme. Darüber hinaus entwickeln wir Tools, mit denen Unternehmen ihre Systeme unabhängig auf individuelle Schwachstellen überprüfen können. In naher Zukunft planen wir die Anzahl solcher Tools zu erhöhen.

Kooperation mit industriellen und staatlichen Regulierungsbehörden. Unsere Experten sind Teil eines Prozesses, bei dem Anforderungen an staatliche und industrielle Regulierungsbehörden festgelegt werden, um die Informationssicherheit industrieller Anlagen zu gewährleisten. Im vergangenen Jahr haben wir produktiv mit dem IIC, dem IEEE, der ITU und der OPC Foundation zusammengearbeitet – die Standards und Technologien, die sie produzieren, werden stark von unseren Experten beeinflusst.

Schulungen. Unser CERT entwickelt und hält Schulungen für ICS-Betreiber und Ingenieure sowie für Fachleute der Informationssicherheit, die bei Industrieunternehmen angestellt sind. Zudem arbeiten wir mit Bildungseinrichtungen zusammen. Anfang 2017 zum Beispiel hielten unsere Experten einen einwöchigen ICS- Sicherheits-Workshop für Studenten, Graduierte und Lehrer ab. Die Vorbereitungen für den nächsten Workshop, der für Januar/Februar 2018 geplant ist, laufen bereits. Wir hoffen, dass wir einen weiteren Workshop im November 2017 an der University of California, Berkeley abhalten können. Außerdem  entwickeln wir ein gemeinsames Programm mit der Fraunhofer Society und arbeiten auf Wunsch russischer Universitäten an einem vollwertigen Masterstudiengang.

Capture the flag. Wettbewerbe im Bereich der Informationssicherheit, darunter auch simulierte Hacks verschiedener industrieller Steuerungssysteme, bieten eine einzigartige Erfahrung und ein besseres Verständnis dafür, wie kritische Anlagen geschützt werden können. Deshalb organisieren wir regelmäßig Wettbewerbe für Experten der Informationssicherheit unter dem Titel Industrial CTF (Capture the Flag). Das erste Event wurde im Herbst 2016 veranstaltet und die Teilnehmer waren überwiegend russischer Natur. An der Qualifizierungsrunde des zweiten Industrial CTFs haben allerdings 180 Teams aus Russland, China, Indien, Europa und Lateinamerika teilgenommen. Der Industrial CTF 2017 hatte bislang die meisten Teilnehmer; beinahe 700 Teams aus der ganzen Welt nahmen teil. Das Finale fand am 24. Oktober 2017 in Shanghai im Rahmen der GeekPwn International Conference statt. Teil nahmen Teams aus Japan, Korea und China.

Zusammenfassend können wir mit absoluter Sicherheit sagen, dass das erste Jahr von Kaspersky Labs ICS CERT zwar intensiv aber auch sehr produktiv gewesen ist. Wir wünschen allen Mitarbeiten ein tolles erstes Jubiläum!