Bereiten Sie sich darauf vor, gehackt zu werden

100-prozentige Sicherheit gibt es nicht Bereiten Sie sich darauf vor, gehackt zu werden

13.09.2022 Von Ian Ferguson, VP Sales and Marketing Lynx Software Technologies*

Anbieter zum Thema

Fast jede Woche lesen wir von einem vernetzten System, das kompromittiert wurde. Die Schätzungen über die Kosten von Cyberangriffen gehen weit auseinander, was zum Teil daran liegt, dass es einigen Unternehmen zu peinlich ist, öffentlich zuzugeben, dass sie gehackt wurden.

Fühlen Sie sich nie zu sicher. Jedes System hat Schwachstellen.
(Bild: iStock f0722lx)

Diese Peinlichkeit ist nicht bloß unangebracht, sondern auch wenig hilfreich dabei, das Problem anzugehen. Unternehmen verleugnen oft die Tatsache, dass Ausmaß und Häufigkeit von Hackerangriffen, denen ihre vernetzten Systeme derzeit ausgesetzt sind, im Grunde bedeuten, dass es mehr oder weniger unvermeidlich ist, dass früher oder später ihre Abwehrmechanismen durchbrochen werden.

Daher müssen Unternehmen nicht nur die besten Sicherheitsvorkehrungen treffen, um ihre Systeme zu schützen, sondern auch ihre Reaktion auf einen erfolgreichen Hackerangriff planen. Dazu sollten Mechanismen gehören, die ein Eindringen so schnell wie möglich erkennen und dessen Ausmaß begrenzen und/oder es beenden.

Treffen Sie die Experten der Branche in Sindelfingen

Europas Leitkongress für Embedded Software Professionals

Jedes Jahr im Dezember treffen sich über 1.200 Professionals, um sich über aktuelle Technologien und Methoden zu informieren, Trends zu diskutieren sowie die Weichen für die Zukunft zu stellen.

In 14 Seminaren, 95 Vorträgen und 3 Keynotes warten fachlich fundierte und praxisnahe Inhalte auf die Teilnehmer des ESE Kongress. Der Kongress ist die ideale Plattform, um sich über moderne Methoden des Software Engineering und den Stand der Technik zu informieren. Melden Sie sich an und werden Teil der Embedded-Software-Community.

Jetzt informieren

Der Gedanke ist dem Ansatz nicht unähnlich, der beim Brandschutz in Gebäuden angewandt wird. Gebäudemanager müssen eine Reihe von Vorschriften einhalten, um zu verhindern, dass ein Feuer überhaupt ausbricht - beispielsweise zur Verwendung brennbarer Materialien und zur Wartung von Elektrogeräten.

Es gibt jedoch noch weitere Vorschriften, die eine wirksame Reaktion bei Ausbruch eines Feuers gewährleisten sollen. So müssen Feuermelder für eine schnelle Warnung sorgen, Brandschutztüren den Brand eindämmen und Sprinkleranlagen die Auswirkungen des Feuers eindämmen und es möglicherweise löschen.

Neue Technologien wie KI, die zusammen mit etablierten Technologien wie Hypervisoren eingesetzt werden, können eine robuste Reaktion auf Hackerangriffe bieten, die die Systemverteidigung durchdringen.

Aktuelle Überlegungen zur Sicherheit für vernetzte eingebettete Systeme

Infolge all dieser Aktivitäten ist die Cybersicherheit zu einem wichtigen Thema für Systementwickler geworden, die die nächste Generation von vernetzten eingebetteten Plattformen entwerfen. Eine Reihe von Ökosystemanbietern wie Arm und Microsoft sind angetreten, um Blaupausen und Best Practices für die Entwicklung sicherer Plattformen bereitzustellen. Ein Beispiel hierfür ist die Reihe von Spezifikationen im Zusammenhang mit der Platform Security Architecture-Initiative, die von Arm vor einigen Jahren ins Leben gerufen wurde.

Im Vorfeld wird ermittelt, welche Arten von Angriffen auf das System möglich sind, auf welche Informationen potenziell zugegriffen werden kann und welche Auswirkungen dies auf das System haben kann. Dies ist natürlich je nach Anwendungsfall unterschiedlich. Diese Bedrohungsanalyse hilft bei der Festlegung des Umfangs der Bemühungen und der Art der Strategie, die angewandt werden soll.

Zu den Techniken zur Abschwächung der Auswirkungen von Angriffen gehören, auf hohem Niveau:

Isolierung: Sicherstellung der Trennung zwischen Anwendungen (idealerweise unter Verwendung von Hardware, um dies zu erzwingen), um zu gewährleisten, dass im Falle einer Beeinträchtigung einer Anwendung die Auswirkungen auf das System auf einen bestimmten Bereich beschränkt sind und dass kritische Systemfunktionen nicht beeinträchtigt werden.

Least Privilege: Sicherstellung, dass eine Anwendung nur auf das absolute Minimum an Systemressourcen zugreifen kann, die zur Ausführung ihrer Funktion erforderlich sind.

Teile und herrsche: Übergang von einer monolithischen Softwarearchitektur zu einer Architektur, die eine Vielzahl anwendungsspezifischer Aufgaben umfasst. Bei vielen Angriffen wird das Betriebssystem als Schwachstelle ausgenutzt. Wird dieses durchbrochen, besteht die Möglichkeit, direkt auf bestimmte kritische Ressourcen zuzugreifen und Speicherbereiche mit neuen Informationen zu überschreiben. Die Umstellung auf eine Architektur mit mehreren einfachen, dedizierten Anwendungen bietet die Möglichkeit, skalierbare, modulare Plattformen zu schaffen. Lynx verspricht sich viel von Technologien wie Unikernels, die nur im Benutzermodus laufen und somit den Befehlssatz eines Prozessors, auf den die Software Zugriff hat, einschränken. Diese Architekturen werden von Hypervisoren unterstützt.

Eindringen erkennen

Dies ist zwar bewundernswert und legt die Messlatte für die Cybersicherheit und die Immunität gegen Systemangriffe höher, doch reicht dies nicht aus, um die Angriffe, die durchkommen, zu erkennen und rückgängig zu machen. Es muss verstärkt darauf geachtet werden, zu erkennen, dass ein System gehackt worden ist. Es gibt Berichte über Netzwerke, die monatelang, ja sogar jahrelang, gehackt wurden, bevor es jemand bemerkte. Zu oft wird das "Feuer" erst erkannt, wenn das "Gebäude" eine rauchende Ruine ist.

Wenn ein System gehackt wird, ist Zeit von entscheidender Bedeutung. Normalerweise brauchen Cyberhacker eine gewisse Zeit, um wertvolle Daten zu finden, sobald sie sich Zugang zu einem System verschafft haben.

Wenn der Angriff schnell erkannt wird, besteht eine gute Chance, dass die meisten, wenn nicht alle potenziellen Schäden verhindert werden können. Daher muss der Systementwickler von heute für den Fall einer Kompromittierung seines Systems planen und die Technologie auf die frühzeitige Erkennung dieser Tatsache (das Äquivalent zu einem Feueralarm), die Eindämmung (Brandschutztüren) und die anschließende Rückführung des Systems in einen bekannt guten Zustand (Sprinkleranlage) konzentrieren.

Es gibt zwei grundlegende Techniken zur Erkennung von Eindringlingen

1. Signaturbasiert: Es wird eine Datenbank mit bekannten Angriffsidentitäten erstellt und das System vergleicht sie mit diesen. Die Systeme können keine neuen Arten von Angriffen, oder sogar einen bekannten Angriff mit einer geringfügigen Änderung der Signatur, erkennen.

2. Anomalienbasiert: Hier wird ein Basismodell für das normale Verhalten des Systems definiert. Jede Aktivität, die außerhalb dieses Rahmens liegt, wird als Anomalie gekennzeichnet. Obwohl dies nach dem besseren Ansatz klingt (und wir glauben, dass es das auch ist), gibt es zwei wesentliche Herausforderungen zu bewältigen:
i. Sammeln der Daten, um dem System beizubringen, wie "normales Verhalten" aussieht. In den letzten Jahren wurden viele vielversprechende Arbeiten zum Thema unüberwachtes Lernen veröffentlicht (d. h. das System lernt von Grund auf, wie normales Verhalten aussieht). Im Moment sehen wir jedoch, dass die meisten Kunden den Weg wählen, das Datenmodell aufzubauen, indem sie Systeme in einer kontrollierten Umgebung laufen lassen.
ii. Da ein IoT extrem komplex sein kann, muss sichergestellt werden, dass es möglichst wenige Fehlalarme gibt (d. h. das System ist eigentlich in Ordnung, aber die Software zeigt an, dass das System kompromittiert wurde).

Die Rolle der KI bei der Erkennung von Eindringlingen

Für Lynx liegt hier eine der größten Möglichkeiten für künstliche Intelligenz. Im Gegensatz zu den bekannteren Fällen, in denen ein Kamerabild identifiziert wird, liegt die Chance hier bei der KI, die nicht gesehen werden kann. Sie befindet sich innerhalb des Systems, idealerweise so nah wie möglich an der Hardware, und macht das System einfach intelligenter.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Normales Systemverhalten erzeugt Datenprotokolle im Hypervisor, die dazu beitragen, spezifische Systemsignaturen/Profile für einzelne Aufgaben zu erstellen. Dazu gehören Muster der CPU-Auslastung und -Zugriffe, der Speichernutzung und der IO-Aktivität.

Denken wir an den Stuxnet-Wurm, der vor etwas mehr als einem Jahrzehnt auf eine bestimmte Art von SCADA-Plattform mit Windows abzielte.

Ein Teil dieses Wurms war ein Rootkit. Diese Malware wurde entwickelt, um sich Zugang zu einem Teil des Systems zu verschaffen, der sonst nicht erlaubt ist. Es ist besonders schwierig, sie zu entdecken, da sie oft ihre Existenz oder die Existenz anderer Software verschleiert. Bei mangelhaft konzipierten Systemen ermöglicht dieser Zugriff dem Programm, privilegierten Systemzugang zu erhalten. Vollständige Kontrolle über ein System bedeutet, dass vorhandene Software geändert werden kann, einschließlich Software, die sonst zum Aufspüren oder Umgehen des Systems verwendet werden könnte. Auf der Hypervisor-Ebene wird ein Programm sofort gekennzeichnet. Stuxnet benötigte etwa ½ MB Speicherplatz. Der Hypervisor würde Anfragen zum Schreiben in Speicherbereiche erkennen (die in einem gut konzipierten System als geschützte Bereiche gekennzeichnet sind).

Weitere Arten von Fähigkeiten umfassen:

1. API Intercept: Autorisierte Gastanwendungen/Betriebssysteme können über einen anderen Gast benachrichtigt werden, der Code an bestimmten Speicherstellen ausführt, und Informationen über den Kontext erhalten.

2. API-Überwachung: Überwachung bestimmter Speicherplätze auf die Ausführung von Code und Suche nach Mustern, die bösartige Aktivitäten darstellen könnten.

3. Pages of Interest: Überwachung bestimmter Speicherseiten, z. B. Kernel-Seiten, auf Lese- und Schreibvorgänge von sensiblen Datenstrukturen, die auf potenzielle Schadsoftware-Aktivitäten hinweisen.

4. Sichere Domänenisolierung: Sie stellt den Gästen Anzeigedaten zur Verfügung, die sicher sind, d. h. für andere Gäste unzugänglich und unsichtbar.

5. Hypervisor Fingerprinting: Es wurde viel über Anwendungen geschrieben, die feststellen, welche Art von Hypervisor auf einer Plattform läuft, um dann zu ermitteln, wie man am besten darauf zugreifen kann. Ein recht gut dokumentiertes Beispiel ist die "Backdoor" in VMware, bei der ein Kommunikationskanal zwischen dem Gast und dem Hypervisor besteht. Diese Hintertür reagiert auf bestimmte Interrupt-Aufrufe, die eine Anwendung im Benutzermodus auf einem physischen Rechner zum Absturz bringen würden. Daher muss der Hypervisor Techniken zum Schutz vor Umgehung enthalten, um zu verhindern, dass bösartige Software Fingerabdrücke des Hypervisors erstellen kann.

Um es klar zu sagen: Die Interpretation der Daten findet NICHT im Hypervisor statt. Dies wird in einer vertrauenswürdigen virtuellen Maschine durchgeführt, die gesichert und von anderen Anwendungen isoliert ist. Stattdessen fungiert der Hypervisor als ständiger Prüfer der Plattform und liefert die gesammelten Daten an die entsprechenden Anwendungen zur Verarbeitung und schließlich zur Entscheidungsfindung, wenn ein Verstoß festgestellt wurde.

Rückkehr zu einem bekannt guten Zustand

Sobald die Sicherheitslücke geschlossen ist, muss das System wieder in einen bekannten guten Zustand versetzt werden. Was die Software betrifft, so ist Lynx von zwei Bereichen begeistert:

a) Verbesserte Methoden zur Speicherung von Schnappschüssen des Systemzustands im Speicher und zur schnellen Wiederherstellung infizierter Systeme.

b) Verwendung einer unveränderlichen Separation-Kernel-Konfiguration, um erkannte Bedrohungen zu beseitigen, wenn eine oder mehrere virtuelle Maschinen neu gestartet werden.

Ian Ferguson ist VP Sales and Marketing bei Lynx Software Technologies, www.lynx.com
(Bild: iStock f0722lx)

Zusammenfassend lässt sich sagen, dass mit zunehmender Raffinesse der Cyberangriffe auch die Fähigkeiten der angeschlossenen Systeme zunehmen müssen, um sie abzuwehren. Da im Einsatz befindliche Systeme zweifellos auf neue Angriffsmethoden stoßen werden, die bei der Entwicklung des Systems noch nicht bekannt waren und/oder nicht bedacht wurden, MUSS der Systemarchitekt planen, dass das System angegriffen werden kann. Dann liegt der Schwerpunkt auf der frühzeitigen Erkennung dieses Systems, einem gründlichen Sandbox-Ansatz, um den Zugriff auf wertvolle Systemressourcen zu minimieren, und der Bereitstellung eines bewährten Pfads, um das System wieder in einen bekannten Zustand zu versetzen.

* Ian Ferguson ist Vice President Sales and Marketing bei Lynx Software Technologies.

(ID:48558384)