Beispiel 1: Brute-Force-Angriff

Im Falle eines Brute-Force-Angriffs auf eine ungeschützte Anwendung innerhalb eines OT-Netzes erweist sich virtuelles Patching als hilfreich, um Attacken zu vereiteln. Eine virtuelle Patch Engine, die häufig in Intrusion Detection and Prevention Systems (IDS/IPS) integriert ist, kann so konfiguriert werden, dass sie Muster erkennt, die auf einen Brute-Force-Angriff hindeuten.

So würde das virtuelle Patching den Angriff abwehren: Die virtuelle Patch Engine überwacht kontinuierlich die eingehenden Anfragen an die Anwendung. Erkennt sie ein Muster, das sich wiederholt und bei dem innerhalb eines kurzen Zeitraums eine hohe Anzahl von Anmeldeversuchen erfolgt, die einen vordefinierten Schwellenwert überschreiten, schlägt sie Alarm. Die virtuelle Patch Engine erkennt, dass solche schnellen Anmeldeversuche auf einen Brute-Force-Angriff hindeuten, und passt ihre Regeln dynamisch an. Beim Überschreiten des festgelegten Schwellenwerts werden nachfolgende Anfragen von derselben Quelle gekennzeichnet und gelöscht. Dieser Schwellenwert wird so festgelegt, dass zwischen typischen menschlichen Nutzungsmustern und automatisierten, potenziell bösartigen Anmeldeversuchen unterschieden werden kann. Das IDS/IPS, das mit dem virtuellen Patch ausgestattet ist, greift in Echtzeit ein. Es verweigert weitere Benutzeraktivitäten von der markierten Quelle und verhindert so den Brute-Force-Angriff. Diese unmittelbare Reaktion schützt die angreifbare Anwendung und verringert das Risiko eines unbefugten Zugriffs.

Beispiel 2: Injection-Angriff

Im Szenario eines Injection-Angriffs, bei dem ein Hacker die unsachgemäße Validierung von Anmeldedaten ausnutzt, um die Authentifizierungslogik der Anwendung zu manipulieren, fungiert das virtuelle Patching als proaktiver Abwehrmechanismus.

So würde das virtuelle Patching den Angriff abwehren: Die in das IDS/IPS integrierte virtuelle Patch Engine ist mit intelligenten Regeln ausgestattet, die ungewöhnliche Muster bei der Eingabe von Anmeldedaten feststellen können. Sie erkennt die Anzeichen eines Injection-Angriffs aufgrund von Abweichungen von erwarteten Datenformaten oder Validierungskriterien.

Wird ein potenzieller Injection-Versuch identifiziert, greift die virtuelle Patch Engine ein, bevor der bösartige Befehl das angreifbare System erreicht, und schützt so die ursprüngliche Logik des Programms. Sie verweigert die Ausführung der geänderten Logik und stellt sicher, dass die Authentifizierungslogik des ursprünglichen Programmierers intakt bleibt.

Der Injection-Angriff wird effektiv vereitelt, da die virtuelle Patch Engine als Gatekeeper die unautorisierten Änderungen am Authentifizierungsablauf der Anwendung verweigert und damit die Benutzeraktivität unterbindet. Dadurch wird der Angreifer daran gehindert, Zugang zu sensiblen Informationen zu erlangen, was die Integrität des Systems aufrechterhält.