Öffentliche Daten in öffentliches Wissen verwandeln: Hinter den Kulissen des halbjährlichen Berichts von Claroty

Vor drei Jahren begann ich mit der Untersuchung von Schwachstellen in industriellen Kontrollsystemen (ICS). Was mit den Worten meines Chefs begann: "Sammelt ein paar Daten und lasst uns sehen, was wir finden", entwickelte sich zu einer automatisierten Scraping-Infrastruktur, die es uns ermöglichte, das Gesamtbild der Schwachstellen von Industriegeräten in Schlüsselindustrien zu untersuchen. Das Ziel war immer, unsere Forschung und unser Wissen mit anderen zu teilen, und als wir genügend Daten und Schlussfolgerungen gesammelt hatten, wurde Claroty's Halbjährlicher ICS-Risiko- und Schwachstellenbericht geboren.

Ich habe im Laufe dieses Projekts viel gelernt, und jetzt, nachdem ich vier halbjährliche Berichte verfasst habe, dachte ich mir, dass es an der Zeit ist, einige Informationen über den von uns entwickelten Prozess hinter den Kulissen weiterzugeben, in der Hoffnung, dass sie anderen bei ihren jeweiligen Ansätzen zur Datenerfassung und -analyse helfen und die Bedeutung des Wissensaustauschs zum Nutzen der Gemeinschaft unterstreichen.

Fangen wir von vorne an und erinnern Sie daran, dass die nächste Version des Berichts, die die Schwachstellen des ersten Halbjahres 2022 abdeckt, im August erscheinen wird.

Beginnen Sie damit, es nützlich zu machen

Wie ich bereits sagte: Alles begann damit, dass mein Chef mich bat, einige Daten über ICS-Schwachstellen zu sammeln und zu sehen, was ich dazu zu sagen hätte. Aber um ehrlich zu sein, war ich mir von Anfang an nicht sicher, welche Daten ich sammeln sollte, um etwas Sinnvolles sagen zu können. Die erste Frage (an mich selbst) war also: Was möchte ich aus den Daten, die ich sammle und analysiere, gewinnen? Mit dieser Frage als Leitfaden wusste ich von Anfang an eines ganz sicher: Ich musste den Leuten etwas Nützliches zu lesen geben, denn was wäre sonst der Sinn?

Um dies zu erreichen, musste ich umsetzbare Informationen erstellen, die für die ICS-Gemeinschaft relevant sind, unabhängig davon, ob der Benutzer ein Anbieter, CISO, Forscher, Analyst oder OT-Betreiber ist. Bei meiner Arbeit ging es also nicht darum, neue Ideen und Konzepte in die Welt zu setzen, sondern vielmehr darum, ein möglichst vollständiges Bild der ICS-Schwachstellenlandschaft auf der Grundlage von Daten zu zeichnen und Empfehlungen zu geben. Das vollständige Bild soll dazu beitragen, das von diesen Schwachstellen ausgehende Risiko und die Schritte zu ihrer Bewältigung zu verstehen, wobei Themen wie Abschwächung, Abhilfemaßnahmen, Schweregrad einer erfolgreichen Ausnutzung und mehr behandelt werden.

Vor diesem Hintergrund habe ich meine Forschung auf die folgenden Kernfragen konzentriert:

1. Welche Schlussfolgerungen lassen sich aus öffentlich zugänglichen Daten über ICS-Schwachstellen ziehen, die innerhalb eines bestimmten Zeitraums offengelegt wurden?

2. Welche Herausforderungen stellen diese Schwachstellen für diejenigen dar, die diese Systeme flicken oder entschärfen müssen?

3. Was kann getan werden, um die Sicherheitsrisiken und Schwachstellen in ICS-Netzen besser zu beherrschen, wenn man die Schlussfolgerungen und Herausforderungen berücksichtigt?

Nachdem ich eine bessere Vorstellung davon hatte, was ich mit diesem Projekt erreichen wollte, begann ich, nach Daten zu suchen, die ich verwenden konnte. Ich begann mit zwei öffentlichen Quellen - der National Vulnerability Database (NVD) und ICS-CERT - und entwickelte Crawler, die alle ICS-bezogenen CVEs und deren relevante Details sammelten, einschließlich der CVSS-Schweregradeinstufung, aller beteiligten Common Weakness Enumerations (CWE) und der Forscher, die die Schwachstellen offengelegt hatten. In den darauf folgenden halbjährlichen Berichten wurden neue Datenquellen hinzugefügt, und die Crawler sammelten weitere Daten wie betroffene Produkte, Verfügbarkeit von Abhilfemaßnahmen und Entschärfungen und vieles mehr.

Natürlich war die Arbeit zu diesem Zeitpunkt noch nicht abgeschlossen, denn auch wenn all diese Daten öffentlich zugänglich sind, bedeutet das nicht, dass sie von allen genutzt werden können. Nicht jeder hat die Ressourcen, die Fähigkeit oder die Zeit, sie zu sammeln, sie in ihrer Gesamtheit zu prüfen und zu analysieren. So müssen viele Sicherheitsanalysten Listen von Schwachstellenmeldungen durchgehen, ohne dass sie daraus einen weiteren Nutzen ziehen können. Das ist die Lücke, die der halbjährlich erscheinende Bericht schließen soll: Diese öffentlich zugänglichen Daten sollen zu öffentlichem Wissen werden, das allen zur Verfügung steht.

Ein Beispiel für eine ähnliche Philosophie ist die Arbeit von Dan Ricci, dem Gründer des ICS Advisory Project. Ricci, der früher für ein großes Beratungsunternehmen tätig war, führte Risikobewertungen für Chemieunternehmen durch. Er stellte schnell fest, dass es für Anlagenbetreiber und Netzwerkmanager schwierig war, das Bewusstsein für die Schwachstellen von Kontrollsystemen aufrechtzuerhalten. Kombiniert man dieses mangelnde Bewusstsein mit wenig geschultem Cybersicherheitspersonal - ein übliches Szenario in den meisten kleineren und mittelgroßen Betrieben - waren die Unternehmen oft im Nachteil.

"Ich dachte, es wäre großartig, ein Artefakt zu hinterlassen, mit dem sie auf einfache Weise nach Produkten von ICS-Anbietern für ihre Umgebung filtern können", erklärt Ricci.

Das Projekt enthält eine Reihe interaktiver Dashboards, die die Benutzer nach Hersteller, Produkt, CVSS-Score, kritischem Infrastruktursektor oder Common Weakness Enumeration (CWE) filtern können. Das Dashboard visualisiert Informationen zu Hinweisen, die aus einer Reihe von Quellen stammen, und bietet den Benutzern eine zentrale Anlaufstelle für Informationen zu Schwachstellen.

Denkanstöße und Schritte zum Handeln

Wenn die Daten aus den verschiedenen Quellen gesammelt sind, verarbeiten die Crawler sie, führen sie zusammen und speichern sie für die spätere Analyse. Wenn es an der Zeit war, den halbjährlichen Bericht zu schreiben, ging ich die Datenmengen durch und begann mit der Analyse, um nach Trends und nützlichen Informationen zu suchen. 

Dabei kann man leicht vergessen, dass nicht alles gleich wichtig ist und erwähnt werden muss. Wenn man anders denkt, entsteht für die Leser in der Regel ein Durcheinander, weil man sich in all den Daten leicht verirren kann und nicht mehr weiß, was man mitnehmen soll. Als Faustregel gilt daher, dass es in der Regel besser ist, einige wenige Schlüsseltrends herauszugreifen und diese z. B. in einer Zusammenfassung oder in einem speziellen Webinar hervorzuheben.

Um aussagekräftiges Wissen und verwertbare Erkenntnisse zu gewinnen, reichte es nicht aus, nur die Schwachstellen zu zählen und die zunehmenden Trends zu ermitteln. Es ist wichtig, diese Enthüllungen in einen Kontext zu stellen, da wir sonst nicht in der Lage sind, ein tiefes Verständnis der Risiken zu vermitteln, die diese Schwachstellen für ICS-Netzwerke darstellen. 

Ein gutes Beispiel war die Erkenntnis, dass es nicht ausreicht, Schwachstellen nur mit Hilfe von CVSS-Scores zu beheben. Das CVSS-Scoring-Modell wurde mit Blick auf IT-Netzwerke entwickelt und nicht auf OT, wo andere Prioritäten gelten (z. B. ist die Datenintegrität in OT nicht so wichtig wie die Verfügbarkeit oder Sicherheit). Aus diesem Grund haben wir die CVSS-Scores in ihre verschiedenen Komponenten zerlegt und Informationen über gemeinsame Schwachstellen und Aufzählungen (Common Weakness and Enumeration, CWE) hinzugefügt, da wir wissen, dass die Auswirkungen von Exploits, die zu Denial-of-Service-Angriffen oder Remote-Code-Ausführung führen, wichtiger sind als andere und unabhängig von ihrer Kritikalitätsbewertung hervorgehoben werden sollten. 

Wie wir bereits erwähnt haben, reicht es nicht aus, die Schwachstellen nur zu zählen und nach Typ und Schweregrad zu sortieren. Was nützen solche Informationen, wenn sie nicht durch umsetzbare Empfehlungen zu Abhilfemaßnahmen oder Patching-Informationen ergänzt werden? Dies ist die Art von Informationen, die für einen Analysten des Security Operations Center oder einen OT-Operator von entscheidender Bedeutung sind, wenn es darum geht, Strategien für akzeptable Ausfallzeiten und Systemaktualisierungen zu entwickeln. 

Wir verwenden den Begriff "Mitigation" weiterhin getrennt von "Remediation", und das aus gutem Grund. Aus den Daten und aus dem, was wir in der Branche wissen, wurde deutlich, dass Software-Patches und Firmware-Updates nicht immer sofort angewendet werden. Patches müssen Regressionstests unterzogen werden, um festzustellen, ob es Kompatibilitätsprobleme mit bestehenden Anwendungen gibt; wir wollen nicht, dass ein Patch einen reibungslos laufenden Prozess unterbricht! 

Firmware-Updates sind eine weitere Herausforderung. Ihre Entwicklung dauert länger, und sobald sie verfügbar sind, ist es nicht trivial, sie an allen Standorten zu implementieren, von denen sich viele an unterschiedlichen Orten oder an schwer zugänglichen Stellen befinden können. 

Updates in OT-Umgebungen sind natürlich eine ganz andere Sache als in IT-Netzwerken. In den meisten Fällen greifen die Betreiber auf eine Art Entschärfung zurück, bis ein Update-Fenster unternehmensweit funktioniert oder bis ein Patch oder ein Firmware-Update von einem betroffenen Hersteller zur Verfügung gestellt wird. Manchmal wird dieser Aspekt des Schwachstellenmanagements auch durch unvollständige Informationen in einem Herstellerhinweis oder von einem CERT behindert. Dies ist der wahre Wert unserer Datenübung: Sie zeigt Ihnen, welche Erfolge Ihre Kollegen mit Abhilfemaßnahmen haben und wie Sie diese in Ihrer Umgebung anwenden können. 

Wir wissen, dass nicht jeder, der unseren Bericht liest, ein Techniker ist, der hinter einer Tastatur sitzt oder den ganzen Tag auf ein HMI schaut. Der halbjährlich erscheinende Bericht bietet eine wichtige Mischung aus technischen und strategischen Erkenntnissen, die nicht nur die täglichen betrieblichen Entscheidungen, sondern auch die langfristigen strategischen Entscheidungen beeinflussen. Es ist eine Ehre, diesen Bericht zusammenzustellen, und es ist aufregend zu sehen, wie sich neue Trends abzeichnen und wie sich bestätigt, dass ältere Trends immer noch Gültigkeit haben. Team82 hat es sich zur Aufgabe gemacht, die Sicherheit in der Industrie, im Gesundheitswesen und im Handel zu erhöhen, indem es die Sicherheit, Verfügbarkeit und Zuverlässigkeit von Systemen in kritischen Branchen verbessert. Der halbjährliche Bericht ist nur einer unserer Beiträge, aber ein wichtiger, und wir hoffen, dass Sie ihn weiter lesen.