Nozomi Networks, Anbieter von Sicherheitslösungen für OT und kritische Infrastrukturen, hat seinen neuesten Nozomi Networks Labs OT & IoT Security Report veröffentlicht. Die Auswertung der Experten von Nozomi Networks zeigt, dass Netzwerkanomalien und Angriffe die größte Bedrohung für OT- und IoT-Umgebungen darstellen.
Ein weiterer Grund zur Sorge: Schwachstellen in kritischen Produktionsbereichen haben um 230 Prozent zugenommen. Daher haben Cyberkriminelle viel mehr Möglichkeiten, auf Netzwerke zuzugreifen und diese Anomalien zu verursachen.
Die einzigartigen Telemetriedaten sammelt Nozomi Networks Labs in OT- und IoT-Umgebungen in 25 Ländern, sie decken eine Vielzahl von Anwendungsfällen und Branchen ab. Die Auswertung dieser Daten hat ergeben, dass Netzwerkanomalien und Angriffe den größten Anteil (38 Prozent) der Bedrohungen in der zweiten Hälfte des Jahres 2023 ausmachten. Die Netzwerkanomalien, die zu großer Sorge Anlass geben, haben im Vergleich zum vorherigen Berichtszeitraum um 19 Prozent zugenommen. Dies wiederum ist ein Indiz dafür, dass hier Kriminelle am Werk sind, die über großes Know-how verfügen.
Netzwerk-Scans führten die Liste der Warnungen noch vor Netzwerkanomalien und -angriffen an, dicht gefolgt von TCP-Flood-Angriffen. Dabei werden große Mengen an Daten an Systeme gesendet, um diese lahmzulegen oder unzugänglich zu machen. Entsprechend haben TCP-Flood- und Anomalous Packet-Alarme in den letzten sechs Monaten deutlich zugenommen, sowohl in Bezug auf die Gesamtzahl der Alarme als auch auf die durchschnittlichen Werte pro Kunde, die sich mehr als verdoppelt bzw. versechsfacht haben.
„Diese Trends sollten als Warnung dienen, dass Angreifer immer raffiniertere Methoden anwenden, um kritische Infrastrukturen direkt anzugreifen. Zudem lässt sich dies auch als Zeichen deuten, dass das Gefahrenpotenzial im Bereich der Cybersecurity weiter steigt“ , erklärt Chris Grove, Director of Cybersecurity Strategy bei Nozomi Networks. „Der signifikante Anstieg der Anomalien lässt sich außerdem dahingehend interpretieren, dass die Bedrohungsakteure die erste Verteidigungslinie überwinden und tiefer in die Unternehmenssystem eindringen, als viele zunächst angenommen haben. Dies erfordert großes Wissen auf Seiten der Angreifer. Umgekehrt ist zwar auf Seiten der Angegriffenen festzustellen, dass der Schutz der Basisinfrastruktur besser geworden ist. Aber diese Alarme zeigen uns, dass die Kriminellen weiter zügig am Ausbau ihres Know-how arbeiten, um auch die besseren Sicherheitsmechanismen zu umgehen.“
Die Anzahl der Warnmeldungen zu Bedrohungen der Zugangskontrolle und -berechtigung stieg im Vergleich zum vorherigen Berichtszeitraum um 123 Prozent. In dieser Kategorie wuchsen die Warnmeldungen zu Multiple Failed Logins um 71 Prozent und zu Brute-Force-Angriffen um 14 Prozent. Dieser Trend verdeutlicht die anhaltenden Herausforderungen durch unberechtigte Zugriffsversuche und zeigt, dass das Identitäts- und Zugriffsmanagement in der OT sowie andere Herausforderungen im Zusammenhang mit Benutzerpasswörtern weiterhin bestehen.
In den letzten sechs Monaten wichtigsten konnten die Experten von Nozomi diese fünf kritischen Bedrohungsaktivitäten am häufigsten in realen Umgebungen beobachten:
- Netzwerkanomalien und Angriffe – 38 Prozent aller Warnungen
- Authentifizierungs- und Passwortprobleme – 19 Prozent aller Warnungen
- Zugriffskontroll- und Autorisierungsprobleme – 10 Prozent aller Warnmeldungen
- Spezifische Bedrohungen der Betriebstechnologie (OT) – 7 Prozent aller Warnmeldungen
- Verdächtiges oder unerwartetes Netzwerkverhalten – 6 Prozent aller Alerts
ICS-Schwachstellen
Angesichts dieser Häufung von Netzwerkanomalien hat Nozomi Networks Labs auf der Grundlage einer Analyse aller von der CISA in den letzten sechs Monaten veröffentlichten ICS-Sicherheitswarnungen die Branchen ermittelt, in denen höchste Alarmbereitschaft herrschen sollte. Dabei führt die verarbeitende Industrie die Liste an. Hier ist die Zahl der CVEs (Common Vulnerabilities and Exposures) auf 621 angestiegen ist, was einem dramatischen Anstieg von 230 Prozent gegenüber dem vorherigen Berichtszeitraum entspricht.
Das verarbeitende Gewerbe, der Energiesektor und die Wasserversorgung/Abwasser waren auch im dritten Berichtszeitraum in Folge die am stärksten gefährdeten Branchen. Allerdings ging die Gesamtzahl der gemeldeten Schwachstellen im Segment Energie um 46 Prozent und bei der Wasserversorgung/Abwasser um 16 Prozent zurück. Gewerbeimmobilien und Kommunikation sind in die Top 5 aufgestiegen, wo sie die Bereiche Lebensmittel und Landwirtschaft sowie Chemie (die beide aus den Top 10 herausgefallen sind) ersetzt haben. Bemerkenswert ist, dass die Bereiche Gesundheitswesen, öffentliche Verwaltung, Verkehr und Notfalldienste alle in den Top 10 vertreten sind. In der zweiten Hälfte des vergangenen Jahres:
- veröffentlichte die CISA 196 neue ICS-Advisories zu 885 Common Vulnerabilities and Exposures (CVEs) – ein Anstieg um 38 Prozent im Vergleich zum vorangegangenen Halbjahr.
- waren 74 Anbieter betroffen – eine Zunahme Anstieg um 19 Prozent.
- blieben die Schwachstellen Out-of-Bounds-Read und Out-of-Bounds-Write zum zweiten Mal in Folge unter den Top-CVE – beide sind anfällig für verschiedene Angriffe, darunter Attacken der Kategorie Buffer-Overflow.
Daten aus IoT-Honeypots
Nozomi Networks Labs analysierte auch eine große Menge an Daten über bösartige Aktivitäten gegen IoT-Geräte und identifizierte einige bemerkenswerte Trends, die die genannten Branchen berücksichtigen sollten. Die Ergebnisse zeigen, dass bösartige IoT-Botnets auch in diesem Jahr aktiv sind und dass Kriminelle diese Botnets weiterhin einsetzen, um mit Standard-Anmeldedaten auf IoT-Geräte zuzugreifen.
Von Juli bis Dezember 2023 konnte Nozomi Networks durch den Einsatz von Honeypots eine ganze Reihe interessanter Zahlen ermitteln:
- Durchschnittlich 712 Einzelangriffe pro Tag (ein Rückgang von 12 Prozent gegenüber dem Tagesdurchschnitt im vorherigen Berichtszeitraum) – der Tag mit der höchsten Zahl an Attacken war der 6. Oktober mit 1.860 Angriffen.
- Die IP-Adressen der Angreifer mit hoher Aktivität stammen aus China, den USA, Südkorea, Indien und Taiwan.
- Brute-Force-Versuche sind nach wie vor eine beliebte Technik, um sich Zugang zu Systemen zu verschaffen – Standard-Anmeldeinformationen sind nach wie vor eine der Hauptmethoden, mit denen sich Angreifer Zugang zum IoT verschaffen. Remote Code Execution (RCE) bleibt ebenfalls eine beliebte Technik, die häufig für gezielte Angriffe und die Verbreitung verschiedener Arten von Malware verwendet wird.
Der OT & IoT Security Report von Nozomi Networks Labs bietet Sicherheitsexperten die neuesten Erkenntnisse, die sie benötigen, um Risikomodelle und Sicherheitsinitiativen neu zu bewerten, sowie Empfehlungen, die sich einfach umsetzen lassen, für die Sicherung kritischer Infrastrukturen.
Weitere Informationen:
Nozomi Networks Labs OT & IoT Security Report – February 2024
www.nozominetworks.com