Bundesamt für Sicherheit in der Informationstechnik

Recognizing Anomalies in Protocols of Safety Networks: Schneider Electric‘s TriStation (RAPSN SETS)

RAPSN SETS (Recognizing Anomalies in Protocols of Safety Networks: Schneider Electric‘s TriStation) beinhaltet Regeln für das Intrusion Detection System (IDS) Snort, welche für das proprietäre TriStaion Protokoll von Schneider Electric entwickelt und unter der Mozilla Public License Version 2.0 veröffentlicht wurden. Das Protokoll wird unter anderem zur Diagnose, Konfiguration und Programmierung von Safetycontrollern des Herstellers eingesetzt. Die Regeln sollen als zusätzliche Schicht einer Defense-in-Depth-Strategie verstanden werden.

Detektionsmethodik

Da es mit Triton/Trisis/HatMat bereits einen Angriff auf ein Safetysystem gab, welcher von gültigen Befehlen des TriStation Protokolls Gebrauch machte, evaluieren die Regeln die Netzwerkpakete basierend auf folgenden Grundsätzen:

  1. Gültige Pakete, die nicht von bzw. zu einer autorisierten Maschine (in der Regel eine Engineering Workstation, kurz: EWS) gesendet werden, lösen einen Alarm aus. Diese Alarme sollten an eine zentrale Stelle weitergeleitet und bearbeitet werden.
  2. Gültige Pakete, die von bzw. zu einer autorisierten Maschine gesendet werden und wichtige Funktionen beeinflussen können, werden geloggt. Diese Logs sollten automatisch an ein Security Information and Event Management (SIEM) weitergeleitet werden, welches ebenfalls Zugriff auf das Change Management System hat. Durch den Abgleich mit dem Change Management System kann dann auf der Ebene des SIEM entschieden werden, ob es sich um eine gültigen (intendierte) Aktion handelt. Ist dies der Fall, so kann der Eintrag ignoriert werden. Andernfalls liegt ein zu untersuchender Vorfall vor.
  3. Gültige Pakete, die in ungewöhnlich hoher Anzahl oder Frequenz gesendet werden, lösen einen Alarm aus. Die entsprechenden Grenzwerte hierfür müssen an die reguläre Nutzung der Funktionen angepasst werden – sie sind unter Umständen betriebs- oder sogar anlagenspezifisch. Ein auf diese Weise ausgelöster Alarm ist nicht der Beweis für einen Angriff, aber auf jeden Fall ein Vorfall, der untersucht werden sollte. Wenn diese Ereignisse vermehrt auftreten und die Analyse hierbei jeweils zu dem Ergebnis kommt, dass es sich um eine Falsch-Positiv-Meldung handelt, deutet das in der Regel darauf hin, dass die Grenzwerte nicht auf den normalen Netzwerkverkehr abgestimmt sind. Dann sollte eine Änderung der Grenzwerte sukzessive vorgenommen werden.
  4. Befehle, die für die Steuerung des im Rahmen des oben genannten Angriffs implantierten Remote Access Trojaner (RAT) verwendet wurden, lösen in der durch die Angreifer spezifizierten Form ebenfalls einen Alarm aus.

Werden die Filterbefehle, welche die Anzahl der Alarm- bzw. Logeinträge begrenzen, deaktiviert, so entsteht im SIEM ein forensisches Artefakt, dass bei der genauen Analyse eines Vorfalls hilfreich sein kann.

Um die Regeln einsetzen zu können, muss der Netzwerkverkehr im Safety-Netzwerk mitgeschnitten werden. Hierfür bietet es sich an, dass Port Mirroring auf dem Switch des Netzwerks aktiviert und der Netzwerkverkehr auf diese Weise ausgeleitet wird.

Das BSI dankt den beitragenden Partnern für die Unterstützung und Begleitung des Entwicklungsprozesses. Stellvertretend seien hier in alphabetischer Reihenfolge genannt: FireEye und NCCIC (vormals ICS-CERT).

Das Archiv beinhaltet die Snort-Regeln und den zugehörigen Lizenztext.

RAPSN SETS (zip, 11KB, Datei ist nicht barrierefrei)