Warum das BSI eine Anomalieerkennung zur Detektion von Log4Shell-bedingten Angriffen empfiehlt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verdeutlicht in seinem Arbeitspapier »Kritische Schwachstelle in Log4j – Detektion und Reaktion« die anhaltende und komplexe Gefahr der Schwachstelle Log4Shell auch in industriellen Netzwerken. Ein kurz- bis mittelfristiges Schließen der Schwachstellen in vielen Unternehmen wird als unrealistisch eingeschätzt.

Aus diesem Grund empfiehlt das BSI neben einer regelbasierten Anfrageauswertung zusätzlich die Überwachung und Analyse aller Netzwerkvorgänge per Anomalieerkennung. Industrielle Anomalieerkennungslösungen, wie sie das Landis+Gyr-Unternehmen Rhebo bietet, befähigen Unternehmen, frühzeitig bereits erfolgte Kompromittierungen, aktive Exploits und sonstige bösartige Vorgänge in der Operational Technology (OT) und den Industrial Control Systems (ICS) zu erkennen. Die als CVE-2021-44228 dokumentierte Schwachstelle erlaubt es Angreifenden, ohne Authentifizierung auf Systemen, die die weit verbreitete Log4j-Bibliothek verwenden, eigenen Code auszuführen.

Anzeige

Schnelles und komplettes Sicherheitspatching unwahrscheinlich

»Selbstverständlich steht an erster Stelle das Update aller im Unternehmen existierender Log4j-Bibliotheken auf die derzeit aktuellste Version. Jedoch begeben sich damit viele Unternehmen auf die sprichwörtliche Suche nach der Nadel im Heuhaufen«, erklärt Rhebo-CTO Martin Menschner. Nicht nur fehlt Unternehmen häufig die Klarheit darüber, welche Anwendungen die verwundbare Bibliothek nutzen. Es reicht auch kein einmaliges, globales Java-Update der Log4j-Bibliothek über die Softwareverwaltung der Betriebssysteme. Das BSI verweist explizit darauf, dass nur die jeweiligen »Softwarehersteller [das Update] vornehmen [können], die die Bibliothek in ihre Programme eingebunden haben«. Die daraus entstehende Komplexität der Mitigation wird weiter dadurch erschwert, dass Log4j seit Bekanntwerden der Schwachstelle bereits mehrfach aktualisiert wurde.

Zudem basieren laut BSI aktuell alle bekannten Mitigationsmaßnahmen, die die Nutzung der Bibliothek betreffen, auf dem Deaktivieren der problematischen Funktionalität. Systeme in Unternehmen, die auf die Funktionalität der Log4j-Bibliothek zwingend angewiesen sind, laufen somit Gefahr, nach Implementierung nicht mehr funktionsfähig zu sein. Insbesondere bei kritischen Services geraten u.a. Kritische Infrastrukturen und Industrieunternehmen in eine ausweglose Situation.

Darüber hinaus sollten sich Unternehmen auch nach einem Update nicht in Sicherheit wiegen. »Die Log4Shell-Schwachstelle könnte in einigen Unternehmen bereits ausgenutzt worden sein. Das heißt, mitunter haben sich Angreifende bereits in der IT oder – per lateraler Bewegung – in der Operational Technology (OT) etabliert und per Backdoors den Zugriff gesichert«, ergänzt Martin Menschner. Schließlich existiert die Schwachstelle seit über einem Jahr. Und Sicherheitsorganisationen weltweit haben seit dem offiziellen Bekanntwerden von Log4Shell im Dezember 2021 eine massive Zunahme von Netzwerkscans und -angriffen beobachtet.

Detektion von Anomalien sollte im Fokus stehen

Aus diesen Gründen empfiehlt das BSI Unternehmen, kurzfristig erweiterte Maßnahmen zur Detektion verdächtiger und schädlicher Kommunikationsvorgänge umzusetzen. Neben der Auswertung von Anfragedaten (z. B. über Webserver Logs) nennt das BSI explizit eine Anomalieerkennung auf Netzwerkebene. »Diese Lösung erkennt nicht nur bislang unbekannte Angriffsmuster, die typisch für Zero-Day-Schwachstellen sind«, erklärt Martin Menschner. »Sie meldet auch Vorgänge, die auf bereits bestehende Kompromittierungen hinweisen, wie beispielsweise laterale Bewegung, Änderung von Funktionen und Befehlsstrukturen in Systemen oder Scans«. Rhebo bietet mit seiner Next Generation OT Intrusion Detection eine Lösung, die speziell auf industrielle Netzwerke zugeschnitten ist. 

Das OT-Monitoring überwacht die gesamte Kommunikation innerhalb eines industriellen Netzwerkes, während die integrierte Threat und Intrusion Detection jegliche Anomalie, also Abweichung, im Kommunikationsverhalten identifiziert und in Echtzeit meldet. Dadurch wird Kommunikation erkannt, die im überwachten Netzwerk neuartig ist und auf bösartiges Verhalten hinweist – von der Kommunikation über Backdoors, über laterale Bewegungen und Spoofing-Aktivitäten bis zum direkten Eingriff in industrielle Prozesse. Mit der Anomalieerkennung werden Aktionen von Angreifenden innerhalb des OT-Netzwerkes in Echtzeit sichtbar, nachvollziehbar und bekämpfbar, selbst wenn diese bislang unbekannte Signaturen nutzen oder authentifizierte Benutzerkonten übernommen haben. Für die schnelle Risikoabschätzung, ob bereits eine Kompromittierung in der OT vorliegt, empfiehlt sich im ersten Schritt eine OT-Risikobewertung und -Sicherheitsanalyse.

www.rhebo.com

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.