Cybersecurity Wirksame Sicherheit mit Simulationstechnik

Der Artikel erklärt warum das Erstellen und Testen von Sicherheitsanwendungen mit virtueller Hardware und Systemsimulationstechnik wichtig ist.
Der Artikel erklärt warum das Erstellen und Testen von Sicherheitsanwendungen mit virtueller Hardware und Systemsimulationstechnik wichtig ist.

Weltweit nehmen die Angriffe auf IT-Systeme zu. Embedded-Entwickler stellt das vor Herausforderungen. Wie das Erstellen und Testen von Sicherheitsanwendungen mit virtueller Hardware und Systemsimulationstechnik effektiver durchzuführen ist, lesen Sie hier.

Ausgeklügelte Cyber-Angriffe nehmen weltweit zu. Mit der Ausweitung des Internet of Things (IoT) und der Gerätekonnektivität, erstrecken sich die Ziele von Cyber-Attacken über Verteidigung und IT hinaus auf kritische Infrastrukturen, Luft- und Raumfahrt, Automobil, Gesundheitswesen, Schwerindustrie, Transport und Kommunikation. Sozusagen auf jedes Segment, in dem es digitale Informationen zu stehlen oder zu missbrauchen gibt oder in dem das Potenzial für Betriebsunterbrechungen oder Schäden besteht.  

Der Schutz kritischer Systeme vor netzwerkbedingten Bedrohungen und das Verhindern des Einsatzes infizierter Systeme sind Prioritäten sowohl für die Regierung als auch für die Industrie. Es sind heute Technologien verfügbar, die den Sicherheitsingenieuren einen erheblichen Vorteil bei der Bekämpfung von Bedrohungen verschaffen können. Zunächst gilt es jedoch, das aktuelle Modell für Forschung und Entwicklung im Bereich der Cybersicherheit zu überprüfen.

Cyer-Abwehr: »De-Konstruktion« von Angriffen

Cyber-Abwehr bezieht sich auf das Bemühen, Wege zu finden, um Systeme gegen Angriffe zu schützen, einschließlich der Analyse, wie Angriffe geschehen, wie sie funktionieren, wie sie sich im Laufe der Zeit auswirken und ihre Auswirkungen sowie die Entwicklung von Gegenmaßnahmen. Das Verständnis der Art der Angriffe und das Aufdecken von System-Schwachstellen sind entscheidend für das Entwickeln wirksamer Verteidigungsmechanismen.

Die Verteidigung gegen Cyber-Attacken umfasst zwei Hauptaktivitäten:

  • Einsatz der Verteidigung: Die Entwicklung und Bereitstellung eines koordinierten Pakets von Schutzfähigkeiten, die Konfiguration der Fähigkeiten zum Bereitstellen der erforderlichen Schutzmaßnahmen, das Verifizieren der Abwehr und das Aufrechterhalten der Fähigkeiten mit ihren richtigen Konfigurationen.
  • Forensik: Untersuchung, wie ein Angriff erfolgt, was der Angriff zu erreichen beabsichtigt, wie sich das eindringende Element verhält und wie das Angriffselement funktioniert. Das Verständnis der Art eines Angriffs im Detail ist der Schlüssel zur Entwicklung geeigneter Cyber-Gegenmaßnahmen.

Das Entwickeln, der Einsatz und das Testen effektiver Cyber-Abwehrmaßnahmen in eingebetteten Geräten sind besonders herausfordernd. Eingebettete Geräte haben in der Regel Ressourcenbeschränkungen wie begrenzte Rechenleistung und Verarbeitungskapazität. Sie sind oft für einen einzigen, einzigartigen Zweck konzipiert und verwenden weniger verbreitete Busse und Schnittstellen. Das Einrichten von Testlabors zum Durchführen von Cyber-Tests auf Systemebene an einer repräsentativen Auswahl von Geräten in großem Maßstab stellt eine logistische und kostenmäßige Herausforderung dar. Es ist auch schwierig, Sicherheitstests an Live-Systemen durchzuführen, ohne sie vollständig »einzufrieren«, was nicht leicht zu bewerkstelligen ist, da die meisten Systeme jederzeit verfügbar sein müssen. Außerdem ist oft kein Backup oder redundanter Dienst verfügbar. Es ist zwar möglich, einen Hardware-Knoten herunterzufahren und die restlichen Systeme am Laufen zu halten, aber das kann das Systemverhalten verzerren und daher kein Hinweis darauf sein, wie sich eine Sicherheitsmaßnahme in einem realen Angriffsszenario verhält.

Das Testen von Cyber-Abwehrsystemen umfasst Techniken wie Fuzz-Tests oder automatisierte Tests, bei denen ungültige, unerwartete oder zufällige Daten in ein System eingespeist werden, um die Ursachen für einen Systemausfall zu ermitteln, sowie Penetrationstests (oder »Pen-Test«), bei denen ein System angegriffen wird, um Sicherheitsschwächen aufzudecken, Zugriff auf Daten zu erhalten und Systemfunktionen zu übernehmen oder zu verhindern, und bei denen die Ergebnisse dann an den Systemeigentümer gemeldet werden.

Die Systembetreiber merken möglicherweise nicht einmal, dass sie angegriffen werden. Ausgeklügelte Angriffe können sich über einen langen Zeitraum hinweg entwickeln, mit scheinbar zufälligen Ereignissen, die isoliert betrachtet harmlos erscheinen, aber kollektiv und im Laufe der Zeit Schaden anrichten können. Die Cyber-Jagd kann schwer fassbar sein – intelligente Angriffe können zunächst als zufällige und einfache Fehler erscheinen. Cyber-Abwehrteams müssen Gegenmaßnahmen entwickeln, die ständig aktiv sind, die Angriffe erkennen und verhindern können und die versuchte Angriffe dem Sicherheitsteam melden.

Die Forensik ist im Wesentlichen eine Form des Reverse Engineering – Ermittler arbeiten sich rückwärts, um die Ursache eines Angriffs zu ermitteln. Viele ausgeklügelte Angriffe sind jedoch so konzipiert, dass sie ein Reverse Engineering verhindern – sie verstecken sich unterhalb der Betriebssystemebene, im BIOS oder in der Firmware. Diese Angriffe können auch Spuren von sich selbst löschen, so dass für ein Forensik Team wenig übrig bleibt, wenn der Angriff aufgedeckt wird. In einigen Fällen können Angriffe sogar erkennen, ob sie analysiert werden, und das Verhalten ändern, um die Entdeckung ihrer wahren Natur zu vermeiden.

Untersuchen von Angriffen und Entwickeln von Abwehrmaßnahmen

Wie können Sie also Forensik betreiben, wenn ausgeklügelte Malware dazu dient, Ermittlungsversuche zu vereiteln? Wie können Sie Schwachstellen in kritischen Infrastruktursystemen, die aus speziellen eingebetteten Geräten bestehen, erkennen und beheben? Wie können Sie tatsächlich klüger als Eindringlinge werden?

Wären die Kosten kein Thema, könnten Sie einen so genannten »Cyber-Schießstand« aufbauen, ein vollständig isoliertes Netzwerk aus physischen Computern, dessen einziger Zweck darin besteht, Cyber-Malware und Gegenmaßnahmen zu testen – vergleichbar mit einem Golfplatz für  Schwungübungen oder einem Schießstand für Zielübungen. Aber dieses Unterfangen ist in der Regel sehr kostspielig und erfordert eine physische Ausrüstung – sei es ein ganzes Flugzeugcockpit, eine Kraftwerksausrüstung oder Instrumente für den Operationssaal – die alle in einem Labor zusammen verkabelt sind. Die Kosten und die physische Beschaffenheit einer Cyber Range begrenzen seine Kapazität, die oft deutlich unter dem tatsächlichen Bedarf liegt. Darüber hinaus erfordern Cyber Ranges in der Regel besondere Fähigkeiten in Verbindung mit den einzigartigen Eigenschaften und Schnittstellen eines bestimmten Systems. Angesichts der Einschränkungen und des daraus resultierenden Wertes ist einer physischen Cyber Range für viele Organisationen weder ausreichend noch kosteneffizient.

Eine weniger kostspielige, flexiblere und effektivere Alternative ist der Einsatz virtueller Hardware und einer vollständigen System-Simulationstechnik. Die Verwendung von virtueller Hardware und Simulation hat zwei Vorteile:
1.    Es können Tests durchgeführt werden, die auf physischer Hardware nicht möglich sind wie das »Austricksen« von Malware, so dass sie sich auf bestimmte Weise verhält und sich dadurch entblößt und nicht versteckt werden kann.
2.    Es kann eine virtuelle Cyber Range geschaffen werden, die soweit nötig vollständig skaliert ist, mit allen Varianten, die zur Erforschung der Systeme erforderlich sind, und auf die jeder Ingenieur des Cyber-Forschungs- und Entwicklungsteams zugreifen kann.

Wind River Simics ist ein Beispiel für diese Art von Technik. Simics ist ein vollständiger Systemsimulator – er simuliert nicht nur Prozessoren und Platinen, sondern komplette vernetzte Systeme, auf denen der gesamte Software-Stack unmodifiziert läuft, einschließlich BIOS, Firmware, Betriebssystem und Softwareanwendungen. Virtuelle Simics-Plattformen simulieren die Ziel-Hardware, auf der die Software laufen soll.

Simics hat sich als ein effektives Forschungs- und Entwicklungswerkzeug für die Cyber-Sicherheit in der Luft- und Raumfahrt und im Verteidigungssektor erwiesen und die Erfahrung ist auf andere Branchen übertragbar. Simics ist zur Unterstützung der Forschung und Entwicklung auf verschiedene Weise einsetzbar.

Nicht nachweisbare Analyse

Software verhält sich auf einer virtuellen Simics-Plattform genauso wie auf physischer Hardware. Die gesamte Software, von der Anwendungsebene bis hinunter zum BIOS und zur Firmware, kann auf Simics unmodifiziert ausgeführt werden. Software-Build-Systeme und Entwicklungswerkzeuge müssen nicht modifiziert werden, und die Software wird auf dieselbe Weise geladen wie auf physischer Hardware. Das bedeutet, dass aus der Sicht der Software kein Unterschied zwischen Simics und physischer Hardware besteht. Und im Gegensatz zu einem Debug-Agent ist Simics nicht leicht zu erkennen. Das bedeutet, dass Sie eine Selbstanalyse und eine »non-intrusive-Analyse« eines Cyberangriffs durchführen können, da die Malware nicht weiß, dass sie auf Simics ausgeführt wird, was es schwierig macht, sich zu verstecken.

Cyber-Forensik-Ingenieure haben viele der gleichen Herausforderungen wie BIOS-Entwickler – sie müssen genau verstehen, wie Software auf niedriger Ebene funktioniert. Eine der Hauptanwendungen von Simics liegt in der Entwicklung von BIOS- und Firmware-Code, wobei die virtuelle Hardware in »High Fidelity« zum physischen Target entwickelt wird.