Use of Accessible Information to Improve Industrial Security Testing

Seit der Entdeckung des Cyberangriffs Stuxnet, der 2010 mehrere Gaszentrifugen beschädigte, wird deutlich, dass industrielle Steuerungs- und Automatisierungssysteme zunehmend Ziel komplexer Angriffe sind. Die meisten dieser Angriffe erfolgen über Netzwerke, die Komponenten der Betriebstechnik (engl. Operational Technology (OT)) wie Steuerungen und Aktoren miteinander verbinden. Da OT-Komponenten weit verbreitet sind und als Schnittstelle zwischen dem Netzwerk und der physischen Welt dienen, können Angriffe auf sie Schäden an Produktionsanlagen verursachen und Menschen verletzen. ... mehrDarüber hinaus sind OT-Komponenten durch den zunehmenden Einsatz von Standard-Internetprotokollen leichter zugänglich geworden, da weniger domänenspezifisches Wissen vorausgesetzt ist. Daher erfordern OT-Komponenten besondere Sicherheitsmaßnahmen, insbesondere im Hinblick auf ihre Netzwerkschnittstellen.

Um eine OT-Komponente zu schützen, muss ihre Sicherheit während des gesamten Entwicklungslebenszyklus berücksichtigt werden, was insbesondere Schwachstellentests auf Systemebene einschließt. In der Praxis ist es jedoch oft nicht möglich, dass während eines solchen Tests alle Bestandteile einer OT-Komponente kontrolliert werden können, da diese oft aus Komponenten von Drittanbietern zusammengesetzt sind. Folglich können interne Informationen der OT-Komponente unzugänglich sein, was Blackbox-Tests – bei denen kein internes Wissen vorausgesetzt wird – unerlässlich macht.

Beim industriellen Blackbox-Testen werden verschiedene Techniken eingesetzt um die verschiedenen Schnittstellen einer OT-Komponente zu testen. Gängige Ansätze sind Web-Verwundbarkeitsscanner (engl. Web Vulnerability Scanners (WVSs)) und Netzwerkprotokoll-Fuzzer. Analog zu anderen Ansätzen sind kommerzielle und akademische WVS in der Regel für Systeme der Informationstechnik (engl. Information Technology (IT)) konzipiert, die über umfangreiche Ressourcen verfügen und daher hohe Lasten effizient bewältigen können. Da WVS jedoch zunehmend für Webanwendungen eingesetzt werden, die lokal auf ressourcenbeschränkten OT-Komponenten laufen, werden verschiedene Mängel deutlich. Beispielsweise reagieren WVS oft nicht auf Abstürze einer OT-Komponente, die durch Überlastung verursacht werden.

Netzwerkprotokoll-Fuzzing folgt dem allgemeinen Ansatz, potenziell fehlerhafte Eingaben über die Netzwerkschnittstelle an ein zu testendes System (engl. System under Test (SuT)) zu senden und gleichzeitig dessen Verhalten auf Abstürze und Anomalien zu überwachen. Im Gegensatz zu Ansätzen des Graybox-Fuzzing, werden bei den meisten Ansätzen des Blackbox-Fuzzing Beobachtungen des Verhaltens des SuTs nicht in die Testfallgenerierung einbezogen. Das führt dazu, dass Blackbox-Tests im Allgemeinen weniger effektiv sind.

Diese Dissertation leistet einen Beitrag zum Gebiet des Sicherheitstestens von OT-Komponenten, indem sie neue Ansätze vorstellt und evaluiert, die Informationen nutzen, die vor und während des Blackbox-Testens zugänglich sind, um die Testleistung zu verbessern. Solche nutzbaren Informationen sind zum Beispiel bekannte Schwachstellen oder der Netzwerkverkehr, der während eines Tests erzeugt wird. Die Beiträge dieser Dissertation werden im Folgenden mit ihren Namen, wie zum Beispiel HitM, bezeichnet.
Zu den wichtigsten Beiträgen zählt die Zusammenführung von Erkenntnissen zur Verbesserung zukünftiger Blackbox-Tests, wie es mit ClusterCrash vorgestellt wird. Ein weiterer Beitrag besteht aus der Nutzung von Informationen über das Verhalten der OT-Komponente, das sich im Netzwerkverkehr oder in abstürzenden Diensten äußert. Diese Informationen werden von Palpebratum und Smevolution genutzt, um die Testfallgenerierung zu verbessern. Als Grundlage hierfür führt NeDaP Methoden zur Vorverarbeitung des Netzwerkverkehrs ein. HitM hingegen nutzt Informationen über das Verhalten der OT-Komponente, in Form von Kommunikationspaketen und abstürzenden Diensten, um die Leistung bestehender WVS transparent zu verbessern. SWaTEval ist ein Framework zum Testen von zustandsbehafteten Webanwendungen, das Kommunikationspakete der OT-Komponente verwendet, um Informationen über die internen Zustände der OT-Komponente zu erhalten. Darüber hinaus leistet diese Dissertation mit StateBandit und MEMA einen Beitrag zum Graybox-Fuzzing. StateBandit verwendet Informationen, die nur in einem Graybox-Test verfügbar sind, um einen Reinforcement-Learning-Agenten für Netzwerk-Fuzzing einzusetzen, während MEMA den Einfluss von Metriken auf Fuzzer-Evaluationen untersucht.

Durch diese Beiträge zeigt die vorliegende Dissertation, wie die begrenzten Informationen, die vor und während eines Blackbox-Tests verfügbar sind, genutzt werden können, um die Testleistung zu verbessern, insbesondere durch den Einsatz von fortgeschrittenen Techniken aus dem Graybox-Testen. Die vorliegende Arbeit führte zur Entdeckung und Veröffentlichung von acht kritischen Schwachstellen in OT-Komponenten.

Since the discovery of the Stuxnet cyber attack that damaged several nuclear centrifuges in 2010, it has become evident that industrial control and automation systems are increasingly being targeted. Most of these attacks are executed via the networks that connect Operational Technology (OT) components, such as controllers and actuators. Since OT components are widely deployed and serve as an interface between the network and the physical world, attacks on them can cause damage to production assets and harm humans. In addition, the accessibility of OT components has increased with the adoption of standard internet communication protocols, reducing the need for specialized domain knowledge. ... mehrTherefore, OT components require particularly strong security measures, especially with respect to their network interfaces.

To secure an OT component, security needs to be considered throughout the entire development lifecycle, including system-level security testing of the OT component. In practice, a tester may not have control over all parts of an OT component, as they are often assembled from multiple third-party components. Consequently, information internal to the OT component may be inaccessible, making blackbox testing—where no internal knowledge is assumed—essential.

Industrial blackbox testing employs various testing techniques to assess the interfaces of an OT component. Prominent approaches include Web Vulnerability Scanners (WVSs) and network protocol fuzzers. Similar to other testing techniques, commercial and academic WVSs are primarily designed for general-purpose Information Technology (IT) systems, which typically have extensive resources that allow them to efficiently handle heavy workloads. However, as WVSs are increasingly applied to web applications running on resource-constrained OT components, they exhibit several shortcomings. For instance, WVSs are often unable to handle crashes caused by overloading the OT component.

Network protocol fuzzing follows the general approach of sending potentially malformed inputs to a System under Test (SuT) via its network interfaces, while monitoring its behavior for crashes and anomalies. In contrast to existing graybox approaches, the majority of blackbox fuzzing approaches do not incorporate observations of the SuT’s behavior into their test case generation, making blackbox testing generally less effective.

This dissertation advances the field of blackbox security testing for OT components by presenting and evaluating novel approaches that leverage information accessible before and during blackbox testing to enhance testing performance. For instance, it leverages information on known vulnerabilities and generated network traffic. The contributions of this dissertation are referred to by their names, such as HitM, in the following. Key contributions include consolidating knowledge from past tests to improve future blackbox fuzzing with ClusterCrash, and utilizing network traffic or crashing services to advance test case generation with Palpebratum and Smevolution. As a basis, NeDaP introduces and assesses methods for preprocessing network traffic. HitM successfully leverages information on the OT component’s behavior as expressed
by network responses and crashing services to transparently improve the performance of existing WVSs. SWaTEval presents a framework for stateful web application testing, utilizing network responses to gain information on the internal state machine of the OT component. Additionally, this work contributes to graybox fuzzing with StateBandit, which leverages graybox information to apply a reinforcement learning agent to stateful network fuzzing, and MEMA, which examines the impact of performance metrics on fuzzer evaluations.

Through these contributions, this dissertation demonstrates how the limited information that is accessible before and during blackbox testing can be leveraged to improve test performance, especially by applying graybox testing techniques to a blackbox setting. The work resulted in the discovery and disclosure of eight critical vulnerabilities in OT components.