Categorie Archief Geen onderdeel van een categorie

Tinus UmansdoorTinus Umans

The right Network Monitoring Tool for the job – Part 2

Na een uitgebreide zoektocht naar alle mogelijkheden omtrent industriële network monitoring, kwamen we uit op een lijst van meer dan 200 tools. Zowel bekende als minder bekende tools werden hierin opgenomen. Zoveel tools één voor één analyseren en onderzoeken zou te lang duren en is ook niet echt relevant voor de Vlaamse Industrie.

Uit deze longlist hebben we dus een shortlist opgesteld. Deze lijst werd bepaald op basis van de input die we kregen van onze trouwe partners, de industriële focus van de tools zelf en uiteraard ook de resultaten van onze bevraging. Deze bevraging naar cyber beveiliging binnenin de bedrijfswereld werd in samenwerking met Agoria georganiseerd. Voor meer informatie en een tussentijdse rapportering van de resultaten, klik hier.

Aan de hand van al deze input kwamen we uiteindelijk bij de volgende lijst:

Verschillende tools met elkaar vergelijken is uiteraard niet evident. Hiervoor hebben we dan ook een uitgebreide checklijst samengesteld. De tools zullen onder andere beoordeeld worden op basis van hun gebruiksvriendelijkheid. Hoe gemakkelijk kan de software geïnstalleerd worden en geconfigureerd worden. En uiteraard, hoe eenvoudig het is om ermee te werken. Er wordt ook onderzocht wat de algemene functionaliteiten zijn. Zowel OT functionaliteiten speciaal ontworpen voor een industrieel netwerk, alsook de IT functionaliteiten. Er wordt uiteraard ook geëvalueerd wat de performance is van deze tools en welk prijskaartje hieraan vasthangt.

Ook zullen de tools onderworpen worden aan enkele praktijktesten. Zo zullen we verschillende gesimuleerde aanvallen uitvoeren op het netwerk dat de tools moet monitoren. Dit kan gaan van meer gekende malware aanvallen, naar hoe goed de tools reageren op onze eigen scripts.

De resultaten van dit onderzoek zullen uiteindelijk op deze blog verschijnen.

Wenst u meer informatie over dit onderzoek, of wilt u graag een andere Network Monitoring Tool onder onze aandacht brengen, aarzel dan niet en contacteer ons via info@ic4.be!

AvatardoorTijl Deneut

APT Detectie voor ICS

Industrial Network Monitoring Tools komen in veel vormen en maten. Dat er heel wat parameters zijn die een rol spelen staat ook buiten kijf, want deze tools moeten niet alleen heel goed zijn om “gewoon” IT verkeer te detecteren en onderzoeken, maar daar bovenop ook de wondere wereld van industriële protocollen begrijpen. Deze twee werelden; in de volksmond vaak IT / OT genoemd; botsen vaak met elkaar en dat op meer dan één manier.
Eén van de belangrijke parameters, als je naar de kern van de zaak gaat, is uiteraard aankoop prijs. En dan is er uiteraard een zeer interessante ondergrens: €0.

Inleiding

Open source network monitoring is meestal gratis qua aankoop. Er kruipt uiteraard wat meer energie en tijd in het opzetten van zo’n systeem en het troubleshooting is ook vaak een vast onderdeel van de installatie, maar de aankoopprijs is niet te verslaan.
Dit artikel is een samenvatting van een onderzoeksproject uitgevoerd door medewerkers D. Rusek en S. Roobol van Deloitte in een post doctoraatsstudie voor de Universiteit van Amsterdam. Hun vraag “Hoe kan netwerk analyse gebruikt worden om de aanwezigheid van Advanced Persistent Threats te detecteren in een Industrieel Controle Systeem.
Oftewel, hoe kunnen opensource tools ingezet worden in de strijd tegen kwaadaardig netwerk verkeer op industriële systemen.

De resulterende paper kan hier gevonden worden: https://www.delaat.net/rp/2019-2020/p21/report.pdf en de bijhorende presentatie staat hier: https://delaat.net/rp/2019-2020/p21/presentation.pdf

Setup

Bij het onderzoek werd uitgegaan van bestaande software die reeds jaren ervaring heeft met algemene network monitoring. Een oplossing werd gevonden in de opvolger van Bro (https://github.com/bro), genaamd Zeek. Bro werd overigens uitvoerig besproken en gedemonstreerd tijdens ons voorgaande Tetra project “Veilige Industriële Netwerken”: https://www.insecurity.be/verboten/presentaties/presentatie_gc5_NSM_for_ICS.pdf

Bro werd intussen “geforked” en hernoemd naar Zeek: https://github.com/zeek/zeek , maar het opzet blijft hetzelfde: een open source framework dat enerzijds een basis analyse aanbiedt, zo efficiënt mogelijk probeert te werken en toch flexibel is dankzij een eigen Zeek scripting language. Deze Zeek Scripting Language is waar dit onderzoek start. Extra Zeek scripts zijn gemaakt of aangepast voor o.a. ARP spoofing, DNS tunneling, modbus, profinet en S7comm. Dit om monitoring te kunnen uitvoeren op live systemen of op reeds eerder gecapteerde data in de vorm van een pcap bestand.

Scripts gecreëerd om Zeek de kans te geven meer begrip te geven aan de data

Op een standaard Linux machine is het opzetten vrij eenvoudig:

En de gratis network monitoring tool is klaar voor gebruik, deze bevat standaard een aantal definities (zichtbaar in de folder /opt/zeek/share/zeek/base/) en zal zelfs automatisch e-mails versturen bij overtredingen.

Detectie

Er zijn een aantal modellen die kunnen gebruikt worden om niveaus, types en ernst van bedreigingen te bepalen. Voor IT omgevingen wordt vaak het MITRE ATT&CK framework gebruikt dat hier terug te vinden is: https://attack.mitre.org. Dit bevat onderverdelingen van technieken die gebruikt worden bij security issues en bedreigingen.
Sinds januari 2020 bestaat er ook een industriële versie van dit framework: ATT&CK for Industrial Control Systems, https://collaborate.mitre.org/attackics
Dit framework helpt dus met de classificatie van het type bedreiging die wordt gedetecteerd.

De verschillende stappen van een aanval moeten ook gecategoriseerd kunnen worden. Is een bedreiging onderdeel van de eerste fase en zitten we dus vroeg in de aanval, of gaat het bijv. over een laterale beweging van een stuk malware dat reeds geruime tijd in de organisatie zit?
Om dit in kaart te brengen bestaat er voor de IT wereld de zogenaamde Cyber Kill Chain van Lockheed Martin: https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html.
Maar ook hier bestaat een tegenganger voor de industriële wereld, SANS heeft in 2015 de Industrial Control System Cyber Kill Chain ontwikkeld hiervoor: The Industrial Control System Cyber Kill Chain (sans.org)

Er bestaan ook andere versies van deze ICS Cyber Kill Chain.
In 2016 werd deze voorgesteld: Cyber Kill Chain applied to ICS | INCIBE-CERT (incibe-cert.es)
En in 2018: Kill Chain for Industrial Control System (semanticscholar.org)

Dit onderzoek heeft beide systemen; Mittre ATT&CK ICS en de SANS ICS Cyber Kill Chain naast elkaar gezet.

Mapping van het ATT&CK framework en de ICS Killchain

Om uiteindelijk te oordelen of een bepaald soort gedetecteerd verkeer nu onderdeel is van een aanval of niet, werd door de onderzoekers een flowchart ontwikkeld. Deze zal op basis van de log-files uit Zeek een flowchart overlopen door deze te mappen op het ICS Mitre framework.

Flowchart van de anomaly mapper

Het onderzoek

In samenwerking met de onderzoekers van IC4 werden een aantal benchmark scenario’s geselecteerd. Deze werden manueel en op onverwachte momenten uitgevoerd om het gedrag van een potentiële bedreiging te simuleren.

  • ARP spoofing: Man-in-The-Middle
  • 2 SSH sessies
  • RDP (Extern bureaublad) sessie
  • Instellen Siemens PLC uitgangen via S7comm
  • Instellen Siemens PLC variabelen via S7comm
  • Stoppen en starten van een Siemens PLC via S7comm
  • Opladen van een EXE bestand via FTP naar een PLC
  • Een TCP scan van een volledig netwerk
  • WannaCry werd uitgevoerd op een PC in het datacenter
  • Profinet DCP broadcast scanning én wijzigen van de naam van een PLC
  • DNS tunneling via speciaal aangemaakte DNS requests

Tot slot was de hoofdvraag: in hoeverre werden bovenstaande scenario’s herkend als potentieel kwaadaardig door de nieuw gemaakte Zeek scripts?

Resultaten en conclusies

Over het algemeen werden er heel wat zaken correct gedetecteerd.

Ongewone zaken, zoals het gebruik van HTTPS over poort TCP/80 werden correct geïdentificeerd en zat ook in de ontwikkelde scripts. Ook al was het geen onderdeel van de scenario’s.
De ARP spoofing was vrij simpel: Zeek kan ARP replies die geen bijhorende request hebben detecteren en op die manier met vrij grote zekerheid vaststellen dat een spoofing/poisoning aanval gaande is.
Bij SSH verbindingen werd bijv. in het script ingesteld dat alles buiten de kantooruren een hoger risico bevat, dus ook hier werd alles gedetecteerd.
Voor S7comm is het een ander verhaal, dit propriëtaire protocol heeft meerdere versies (een COTP versie en een native CPU versie), en terwijl bijv. het wijzigen van uitgangen en variabelen wel gedetecteerd werd, was dat bij het stoppen starten van de PLC niet het geval. Deze laatste gebruikt een COTP protocol dat nog niet door Wireshark of andere S7comm analyzers wordt herkend (ook wel S7comm Plus genoemd).
Het WannaCry virus werd om nog onverklaarbare redenen niet gedetecteerd.
De andere werden correct geïdentificeerd en ook gemapped aan bijv. de verkennings (discovery) fase van de Kill Chain.

Uiteindelijk werden de meeste zaken wel degelijk correct geïdentificeerd.

Naast het onderzoek op de live demo omgeving van IC4 werd ook een bestaande capture file gebruikt: van de 160 gekende en aangegeven bedreigingen in deze capture file werd door Zeek en de bijgevoegde scripts 120 bedreigen correct geïdentificeerd.

Op basis van deze data en het eigen onderzoek werden ratio’s berekend: Positive Predictive Value (voorspelling van bedreigingen), True Positive Rate (effectieve bedreigingen herkend) en de Matthews Correlation Coefficient (die rekening houdt met de grootte van de sample size).

Ratio’s van voorspellingen en geïdentificeerde bedreigingen

Uiteraard gaan alle credits aan Dominika Rusek en Steffan Roobol van Deloitte en OS3.

U kan alle verdere details lezen in de paper: https://www.delaat.net/rp/2019-2020/p21/report.pdf

Tinus UmansdoorTinus Umans

Cyber in Manufacturing Industries : a Survey

Het is niet langer ongewoon dat kritische industriële systemen vanaf het internet toegankelijk moeten zijn. De term “remote access” is ondertussen al goed ingeburgerd in het industriële landschap. Een simpele zoekopdracht naar ‘ICS’ systemen op gespecialiseerde sites levert ons echter een lange lijst op met HMI-interfaces die toegankelijk zijn voor het volledige internet, waardoor iedereen functionaliteiten op de HMI kan aanspreken. En dat is uiteraard nog maar het puntje van de ijsberg.

Het spreekt dus van zich dat ook bij alle Agoria lidbedrijven dit onderwerp van cruciaal belang is. Daarom hebben we begin 2020 een vragenlijst opgesteld en de wereld ingestuurd in samenwerking met Agoria. Hiermee is het de bedoeling om te polsen naar de Cyber Security kennis en ervaringen (zowel positief als negatief), alsook de veel gebruikte technologieën binnenin de Belgische bedrijven.

Deze vragenlijst bestond uit 60 vragen en werd uitgestuurd naar meer dan 250 manufacturing bedrijven in België. De finale resultaten moeten nog verwerkt worden en vereisen dieper onderzoek, maar we kunnen al een tipje van de sluier lichten.

Verschillende bedrijven verspreidt over België hebben de vragenlijst ingevuld. Niet heel onverwacht is West-Vlaanderen sterk vertegenwoordigd, gezien IC4 een samenwerking is tussen Howest en UGent campus Kortrijk.

Cyber Awareness

Allereerst werd gevraagd naar gebeurde cyber aanvallen in het bedrijf. Werd het bedrijf reeds aangevallen en hoe lang geleden was dit.

60% van de bevraagde bedrijven gaf aan al slachtoffer geweest te zijn van een cyber aanval. Bij 63% van deze bedrijven gebeurde dat in de afgelopen 3 jaar. 26% van de bedrijven gaf aan nog geen slachtoffer geweest te zijn.

Om een cyber aanval goed te weerstaan is het vaak handig om een CISO in dienst te hebben, oftewel een Chief Information Security Officer. Dat is een persoon die zich voornamelijk bezig houdt met de cyber beveiliging van het bedrijf en de eerste persoon die aangesproken wordt bij een aanval. 98% procent van de bevraagde bedrijven volgt deze goede practice en gaf aan dat er een CISO aangesteld was binnenin het bedrijf. Helaas wordt dit bij 43% van de bedrijven enkel georganiseerd voor het IT-netwerk. Industriële netwerken blijven dus te vaak nog in de kou staan. Dezelfde trend nemen we waar als het gaat om security policies. 65% heeft dergelijke policies voor IT-omgevingen, tegenover 32% die dit ook voor industriële omgevingen heeft.

Om een aanval beter het hoofd te kunnen bieden, is het ook handig om een incident response plan te hebben. Zo’n plan is essentieel om koelbloedig te kunnen reageren tijdens een cyber aanval. Het verdeelt de taken en zorgt ervoor dat iedereen weet welke stappen er genomen moeten worden. 42% van de bevraagde bedrijven heeft zo’n plan, maar enkel voor IT-omgevingen. 23% heeft dit ook voor industriële omgevingen.
Naast een incident response plan, kan een bedrijf ook een business continuity plan opstellen. Adhv dit plan kan de productie (zoveel mogelijk) gegarandeerd worden tijdens een cyber aanval. Een disaster recovery plan helpt dan weer om na een aanval zo rap mogelijk de productie terug te kunnen opstarten.

Voor beide plannen liggen de cijfers gelijklopend met die van het incident response plan.

Rapportering

Het is ook essentieel om te weten wie u kunt contacteren in geval van een cyber aanval. Door zulke aanvallen te melden aan officiële instanties, helpt u mee bij het onderzoek naar grootschalige aanvallen & eventuele opsporing van de daders. Het correct in beeld brengen van cyber aanvallen over Belgische bedrijven kan ook sensibiliserend werken. Een eenvoudige vergelijking kan gemaakt worden met huisinbraken. Indien u weet dat meerdere huizen in uw straat al het slachtoffer waren van inbraken, zult u voordat u naar het werk vertrekt, toch nog eens controleren dat uw achterdeur wel zeker op slot is.
Een zelfde gedachtegang werkt ook in de industrie.

De verstandigste beslissing is om na een incident, zo snel mogelijk contact op te nemen met de politie of met het CCB, het Cybersecurity Center van België. In sommige gevallen wordt dat zelfs verplicht door de GDPR en NIS wetgeving, zoals het geval is bij databreaches.
Van de ondervraagden gaf 30% aan om naar de politie te stappen in geval van een cyber aanval. 18% stapt zelfs naar het CCB.

Certificering

Vanuit Europa worden ook verschillende standaarden aangeboden inzake cyber security. De voornaamste zijn de ISO 27001 en de IEC 62443.

De ISO 27001 spreekt zich voornamelijk uit over cybersecurity op vlak van IT, terwijl de IEC 62443 zich toespitst op security voor industriële automatisatie en controle systemen.

57% van de bevraagden gaf aan geen standaard toe te passen of ermee bezig te zijn, terwijl 17% onderzoekt of het mogelijk is. Enkel 12% van de bedrijven is bezig met een standaard te implementeren of heeft het al geïmplementeerd. Het merendeel focust zich om de ISO 27001 standaard. Enkel 2% heeft zich gecertificeerd voor de IEC 62443.

Enkele inzichten

  • 50 % van de bedrijven organiseert geen security awareness trainingen om zo het personeel weerbaarder te maken tegen cyber aanvallen.
  • 17% van de bedrijven geeft een security awareness training aan operatoren.
  • 45% van de bedrijven heeft geen aandacht voor de cyber security bij het aankopen van nieuwe industriële hardware.
  • 22% van de bedrijven heeft geen budget om cyber security te organiseren of verbeteren binnen de industriële omgeving.
  • 50% van de bevraagde bedrijven heeft geen cyber security verzekering. Een minderheid van 8% van de bedrijven heeft zo’n beveiliging.
  • 45% van de bedrijven verwacht dat ze waarschijnlijk tot zeer waarschijnlijk binnenin het jaar nog slachtoffer zullen zijn van een cyber aanval.

(Industriële) hardware en software

Onder ingenieurs wordt soms wel eens al lachend gezegd “if it ain’t broke, don’t fix it“. En dat blijkt ook uit onze bevraging. Amper 17% van de PLC’s werd in de afgelopen 5 jaar geïnstalleerd. Terwijl 33% van alle PLC’s wel aangesloten werd op een netwerk dat te bereiken is via het internet.
Het is natuurlijk niet zo dat een PLC automatisch onveilig is als het verbonden is met het internet, maar er zijn toch enkele risico’s die geanalyseerd moeten worden bij dergelijke setups.
15% van de PLC’s wordt trouwens nooit geüpdatet.

Een situatie waar niet vlug verandering in zal komen zonder bijkomende inspanningen, want amper 17% van de bevraagde bedrijven is van plan om komend jaar te investeren in de PLC omgeving.

32% van alle bedrijven gaf ook aan nog nooit een security audit te hebben uitgevoerd op de industriële omgeving. Hieronder verstaan we dan een pentest, waarin IT specialisten kwetsbaarheden zoeken op het netwerk, of een simpele kwetsbaarheid scan, die het netwerk afgaat en openstaande services onderzoekt.

Verder werd er ook nagevraagd welke protocollen voornamelijk gebruikt worden op het industrieel netwerk. Hoewel Ethernet TCP/IP geen uitsluitend industrieel protocol is, wordt deze bij 62% van de bedrijven gebruikt. Daarnaast vinden we de logische protocollen : profibus, profinet, OPC UA, Modbus TCP/IP, Ethernet/IP. Allen met een aandeel groter dan 10%. Opvallend is dat bij de bevraagde bedrijven OPC DA minder sterk aanwezig is dan OPC UA. Een trend die wij als industriële security onderzoeksgroep alleen maar kunnen aanmoedigen!

Er werd ook onderzocht welke besturingssystemen er aanwezig waren bij verschillende bedrijven. Hoewel Windows 10, het nieuwste besturingssysteem van Microsoft, met 25% zeer goed scoort, blijft Windows 7 toch nog sterker vertegenwoordigd. Temeer opvallend, want sinds 17 januari 2020 biedt Windows geen nieuwe updates meer aan voor dit besturingssysteem. Alle nieuwe kwetsbaarheden die gevonden worden zullen dus niet meer gepatched worden. Wat toch wel een serieus beveiligingsrisico betekent. Sterker nog, 57% van alle bevraagde bedrijven hebben computers staan waarvoor nooit meer nieuwe updates zullen worden uitgebracht! De beveiliging van een netwerk is maar zo sterk als de zwakste schakel. Verouderde besturingssystemen zijn een schoolvoorbeeld van zo’n zwakke schakel.

Daarnaast werd er ook onderzocht hoe vaak systemen geüpdatet worden. 12% geeft aan nooit hun computer up te daten. Iets wat we toch sterk afraden. Amper 27% van de bedrijven laat de updates automatisch verlopen. Iets wat te begrijpen valt, gezien veel bedrijf-specifieke software niet goed overweg kunnen met updates, maar het blijft dus duidelijk een aandachtspunt onder de bedrijven.

(voorlopig) Besluit

Uit de voorlopige resultaten blijkt dat industriële security een grote uitdaging blijft voor Belgische bedrijven. De voorbije jaren zijn er grote sprongen gemaakt om de IT-omgeving van bedrijven veiliger te maken. Maar er wordt weinig aandacht geschonken aan de industriële kant van een bedrijf.

OT cyber security blijft dus een grote uitdaging. Nog groter zelfs dan IT beveiliging, waar het updaten van toestellen veel gemakkelijker is.

Een volledige analyse van alle antwoorden op de 60 vragen zal begin 2021 jaar gepubliceerd worden.

Indien u vragen heeft kunt u altijd een email sturen naar info@ic4.be .

Tinus UmansdoorTinus Umans

Oproep deelname TETRA-project : i5G4SME


5G kan de technologie enabler worden voor KMO’s die overgaan naar industrie 4.0. Dit project streeft naar een kennisverbreding over 5G en hoe dit ingezet kan worden voor industriële toepassingen. Door concrete use-cases, training, opleidingen en experimenten worden KMO’s klaargestoomd voor industrial 5G. Bij interesse, contacteer kurt.callewaert@howest.be voor 15/06/2020.

Meer lezen
Tinus UmansdoorTinus Umans

The right Network Monitoring Tool for the job


Welke Network Monitoring Tool verhoogd de cyber security van uw industrieel netwerk? Met deze onderzoeksvraag ging IC4 aan de slag in kader van de proeftuin. Uit een longlist van meer dan 200 tools worden de belangrijkste verder onderzocht om uiteindelijk getest te worden op de demokoffers.

Meer lezen
AvatardoorTijl Deneut

Beckhoff CVE-2019-16871

Windows Remote Code Execution via TwinCAT AMS/ADS

This is a writeup of a technical protocol analysis of TwinCAT. TwinCAT allows remote code execution as soon as a valid route is discovered.

Installing Beckhoff Engineering software on your Windows system can lead to unauthenticated Remote Code Execution as System.

Three prerequisites are necessary

  • TwinCAT Runtime Environment installed (any version including the most recent one at time of writing)
  • TwinCAT routes configured
  • Firewall allows TCP/48898
Meer lezen
AvatardoorTijl Deneut

MB Connect

MB Connect Line hard- and software investigated

Intro

While the awareness for cyber security in the ICT world has leapt forward in the last years, the awareness in the OT world definitely has not. Very few industrial devices are equipped with adequate cyber security measures. This shouldn’t be a surprise. For years, OT devices were left alone under the idea that “if it isn’t broken, don’t touch it”. These devices are also incredibly robust. A lot of companies still use devices that are more than a decade old! They are designed to last a lifetime, even in harsh environments.  But with industry 4.0 around the corner, more and more companies are connecting their OT devices to a network. Everything has to be connected. Data must be logged, machines have to be managed remotely.  Devices with an Ethernet port will be connected to a LAN network.
However, almost no industrial device employs a decent cyber security strategy. That’s where we come in.

Meer lezen