Rhebo, ein deutscher Cybersecurity-Entwickler für den OT und IIoT-Bereich, hat nun eine Lösung entwickelt, die helfen kann Sicherheitsgefährdungen, die in Zusammenhang mit Log4Shell-Exploits stehen zu detektieren.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Log4Shell: langanhaltendes schwer zu lösendem Problem
Log4Shell hat sich für die Sicherheitsarchitektur des industriellen Segments als ein langanhaltendes Problem erwiesen. Die bereits seit einiger Zeit bekannte Schwachstelle ermöglicht es unautorisierten Programmen eigene Codes in den sehr weit verbreiteten Log4j-Bibliotheken auszuführen. Bisher besteht auf absehbare Zeit keine Chance diese Gefahr mit Patches wirklich nachhaltig zu beheben.
Das Einzige, was derzeit halbwegs zu funktionieren scheint, ist das komplette Abschalten betroffener Funktionen durch Updates. Ein Vorgehen, welches für die die darauf angewiesen sind, als kein gangbarer Weg gilt. Vor allem, weil einige dieser Industrieunternehmen als Teil der kritischen Infrastruktur angesehen werden.
Überforderte Anwender
Selbst Nutzer die versuchen, diese Lücke eigenhändig zu schließen, sehen sich zuweilen mit echten Herausforderungen konfrontiert. Zum einen wissen nicht immer alle Beteiligten, wo die Bibliothek mit ihren Systemen kooperiert und mit welchen Anwendungen sie verknüpft ist. Dann löst ein einmaliges Patchen mit dem Java-Update auch nicht die gesamte Problemlage. Denn das Log4j-Einfallstor wurde zwischenzeitlich immer mal wieder verändert. So dass nicht immer klar ist, welche Version nun dagegen wirklich hilft.
Verspätete Updates
Hinzu kommt, dass selbst die Abdichtung des eigenen Systems für einige bereits zu spät sein könnte. Analysten gehen davon aus, dass sich Angreifer schon in vielen IT-Strukturen eingerichtet haben dürften. Durch die Schaffung von Backdoors sind so tiefgreifende Eingriffsmöglichkeiten entstanden, die sich durch normale Aktualisierungen nicht mehr beheben lassen. Als Beleg für diese These gelten registrierte erhöhte Netzwerkscans und Angriffe im letzten Jahr.
BSI empfiehlt Anomalie-Erkennung
Deshalb empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Betroffenen technische Lösungen anzuwenden, die zumindest ungewöhnliche Vorkommnisse in den eigenen IT-Strukturen erkennen können. Als beispielhaft dafür werden regelbasierte Anfrageauswertungen und die Überwachung und Analyse aller Netzwerkvorgänge per Anomalie-Erkennung genannt.
Rhebo: Next Generation Intrusion Detection
Rhebo bietet mit seiner Next Generation Intrusion Detection nun allen Betroffenen eine Lösung. Mittels dieses OT-Monitoring kann sämtliche ein – und ausgehende Kommunikation in Netzwerken auf Auffälligkeiten überwacht werden. Neuartiges Verhalten, das ein Indiz für schädliche Aktivitäten sein kann, wird in Echtzeit an die Verantwortlichen gemeldet, um genauer überprüft zu werden.
Darunter fallen u.a. Zugriffe auf Produktionsvorgänge, Spoofing-Attacken, laterale Bewegungen aber auch Backdoor Aktivitäten. Selbst bereits übernommene und als sicher geltende Accounts und Programme werden so identifiziert und gesichert. Rhebo bietet für Interessierte neben der Hilfe zur Inbetriebnahme bei der Anomalie-Erkennung auch Risikobewertungen und Sicherheitsanalysen an.