Abstract:
Industrielle Steuerungs- und Automatisierungssysteme erleben in den letzten Jahren eine zunehmende Vernetzung und bestehen mehr und mehr aus Komponenten, bei denen Off-the-Shelf-Software und offene Standards zum Einsatz kommen.
Neben den unbestreitbaren Vorteilen, die diese Entwicklungen mit sich bringen, vergrößert sich damit jedoch auch die Angriffsfläche solcher Systeme.
Gleichzeitig führt die, durch diese Evolution entstehende, zusätzliche Flexibilität zu zusätzlicher Komplexität in der Konfiguration und einer Zunahme von ausnutzbaren Schwachstellen.
Die Homogenität der Soft- und Hardware macht die Ausnutzung dieser Schwachstellen für Angreifer zudem attraktiver, da weniger Aufwand in Individualangriffe fließen muss.
... mehr
Es ist so nicht verwunderlich, dass die Anzahl von Angriffen betroffener industrieller Systeme in den letzten fünfzehn Jahren einen deutlichen Zuwachs erfahren hat.
Dies ist besonders bedenklich, weil erfolgreiche Angriffe auf diese Systeme, anders als in der Büro-IT, oft gefährliche Auswirkungen auf ihre Umwelt haben.
Wie auch in anderen Domänen mit hoher technologischer Komplexität, haben sich computergestützte Verfahren zu einem wichtigen Bestandteil industrieller Systeme entwickelt.
Sie werden dabei u.a. zur Sicherstellung korrekter Konfiguration, Identifikation von Schwachstellen, Bedrohungen und Gegenmaßnahmen, sowie Angriffsdetektion und -reaktion eingesetzt.
Allerdings bestehen aufgrund der Garantien industrieller Systeme und ihrer Netzwerke bezüglich Aspekten wie Echtzeitverarbeitung, Ausfallsicherheit und Redundanz, Einschränkungen im Einsatz von Werkzeugen und Maßnahmen.
Um also möglichst wenig in das System einzugreifen, müssen beispielsweise Sicherheitsanalysen und Vorfallreaktionen so wenig invasiv wie möglich (minimalinvasiv) durchgeführt werden.
Für automatisierte Sicherheitsanalysen hat es sich daher zur guten Praxis entwickelt, Modelle der Systeme zu erstellen und diese computergestützt zu analysieren.
Als besonders geeignet haben sich in der Forschung dabei wissensbasierte, bzw. ontologiebasierte, Ansätze erwiesen.
Existierende Lösungen leiden jedoch unter Problemen wie der fehlenden Konfigurierbarkeit für unterschiedliche Umgebungen, der fehlenden Optimierbarkeit (da in der Regel nur bestimmte Inferenzmechanismen anwendbar sind), der fehlenden Wiederverwendbarkeit und Austauschbarkeit von Modellerweiterungsschritten und Analysen, der fehlenden Unterstützung verschiedener Akteure und mehrerer Analysearten wie Bedrohungs-, Schwachstellen-, Konfigurations- und Konformitätsanalysen, sowie der mangelnden technischen Detailtiefe und Komponentenabdeckung, um bestimmte Analysen überhaupt durchführen zu können.
Bei der Vorfallreaktion sind die genannten Garantien sogar der Grund für den Mangel an Lösungen, die in industriellen Systemen eingesetzt werden können.
Denn der Großteil der automatisierbaren Reaktionen liegt im Gebiet der Abschottung und greift somit garantiegefährdend in das entsprechende System ein.
In dieser Dissertation werden die eben aufgezählten Probleme der Sicherheitsanalyse und Vorfallreaktion adressiert.
Für die Sicherheitsanalyse wurden Konzepte und Methoden entwickelt, die jedes der aufgezählten Probleme mindern oder lösen.
Dafür wird unter anderem eine auf den offenen Standards AutomationML und OPC UA basierende Methode zur Modellierung und Extraktion von Netzwerkinformationen aus Engineering-Werkzeugen, Untersuchungsergebnisse verschiedener Abbildungsstrategien zur Erstellung ontologiebasierter Digitaler Zwillinge, ein Konzept zur Sprachenunabhängigen Modellerzeugung für Netzwerkzugriffskontrollinstanzen und Konzepte und Methoden zur wiederverwendbaren, austauschbaren, automatisierten Modellverarbeitung und Sicherheitsanalyse für mehrere Analysearten vorgestellt.
Für diese und damit verbundene Konzepte und Methoden wurde zudem ein konsistentes, auf Separation-of-Concerns basierendes Rahmenwerk für wissensbasierte Sicherheitsanalyselösungen entworfen, prototypisch implementiert und evaluiert.
Das Rahmenwerk, die Implementierung und die Ergebnisse der Evaluationen werden ebenfalls in dieser Arbeit vorgestellt.
Damit wird die erste Lösung für die zuvor genannten Probleme präsentiert und eine Basis für eine neue Art von kollaborativ verwalt- und optimierbaren Sicherheitsanalysen geschaffen.
Des Weiteren wird ein Konzept zur automatisierten Vorfallreaktion auf Basis des Netzwerkparadigmas Software-Defined-Networking (SDN) vorgestellt.
Dabei wird ein Ansatz gewählt, der auf vordefinierten Reaktionen auf sicherheitsrelevante Ereignisse basiert und diese über Restriktionen individuell und automatisiert einschränkt.
Wobei sich die Restriktionen auf explizit modelliertes Wissen über zu schützende Endgeräte, Netzwerkkomponenten und Verbindungen stützen.
Das Konzept nutzt außerdem aus, dass die Netzwerksteuerung durch den SDN-Controller auf detaillierten Daten über die aktuelle Netzwerktopologie verfügt und verwendet die optimierten Algorithmen des SDN-Controllers zur Neukonfiguration.
Mit dem Konzept wird ein Ansatz präsentiert, der es erstmals ermöglicht, auch in industriellen Systemen die Vorteile automatisierter Vorfallreaktion, wie die kurze Reaktionszeit und verfügbare Topologiekenntnis, zu nutzen.
Abstract (englisch):
Industrial control and automation systems have been experiencing increasing networking in recent years and consist more and more of components using off-the-shelf software and open standards.
In addition to the indisputable advantages that these developments bring with them, they also increase the attack surface of such systems.
At the same time, the additional flexibility resulting from this evolution leads to additional complexity in configuration and an increase in exploitable vulnerabilities.
The homogeneity of software and hardware also makes the exploitation of these vulnerabilities more attractive to attackers, since less effort has to go into individual attacks.
... mehr
It is therefore not surprising that the number of industrial systems affected by attacks has increased significantly over the last fifteen years.
This is particularly worrying because, unlike in other areas (e.g. office-IT), successful attacks on these systems often have a dangerous impact on their environment.
As in other domains with high technological complexity, computer-based processes have become an important part of industrial systems.
Among other things, they are used to ensure correct configuration, identification of vulnerabilities, threats and countermeasures, as well as attack detection and response.
However, due to the guarantees of industrial systems and their networks regarding aspects, such as real-time processing, fail-safety and redundancy, there are limitations in the use of tools and measures.
Thus, in order to interfere with the system as little as possible, security analysis and incident response, for example, must be performed in the least invasive way possible (minimally invasive).
For automated security analyses, it has therefore become good practice to create models of the systems and analyse them computer-aided.
Knowledge-based or ontology-based approaches have proven to be particularly suitable in this context.
However, existing solutions suffer from problems such as lack of configurability for different environments, lack of optimizability (since usually only certain inference mechanisms are applicable), lack of reusability and interchangeability of model extension steps and analyses, support for different stakeholders and multiple types of analyses such as threat, vulnerability, configuration, and compliance analyses, and lack of technical detail and component coverage to perform certain analyses at all.
In the case of incident response, the aforementioned guarantees are even the reason for the lack of solutions deployable in industrial systems to date.
This is because the majority of the responses that can be automated are in the area of containment and thus invade the corresponding system in a way that endangers the mentioned guarantees.
This dissertation addresses the outlined security analysis and incident response problems.
Concepts and methods have been developed for security analysis that mitigate or solve each of the listed problems.
For this purpose the following contributions are presented: a method for modeling and extracting network information from engineering tools based on the open standards AutomationML and OPC UA, results of an investigation on different mapping strategies for creating ontology-based digital twins, a concept for configuration-language-independent model generation for network access control instances, and concepts and methods for reusable, exchangeable, automated model processing and security analysis supporting multiple analysis types.
A consistent separation-of-concerns-based framework for knowledge-based security analysis solutions has also been designed, prototyped, and evaluated for these and related concepts and methods.
The framework, its implementation and the evaluation results are also presented in this dissertation.
All these contributions lead to the first solution to the aforementioned problems and provide a basis for a new type of security analysis that can be collaboratively managed and optimized.
Furthermore, a concept for automated incident response based on the Software-Defined-Networking (SDN) network paradigm is presented.
In this context, the playbook approach, which is known from various fields of security, is chosen, whereby a playbook defines predefined reactions to security-relevant events.
In addition, explicit modelling of knowledge about endpoints, network components, and connections to be protected is used in the form of restrictions to individually and automatically constrain the responses defined in the playbooks.
The approach also takes advantage of the fact that the network controller has detailed data about the current network topology and leverages the SDN controller's optimized algorithms to reconfigure the data flows.
Consequently, the concept presents an approach that, for the first time, makes it possible to use the advantages of automated incident response, such as the short response time and available topology knowledge, in industrial systems.
