Cybercriminelen richten steeds vaker hun pijlen op de operationele infrastructuur van een bedrijf, naarmate die meer en meer verbonden raakt. Dat vraagt om een nieuwe security-aanpak, die zoekt naar convergentie tussen IT aan de ene kant en OT aan de andere kant, om zo het gehele bedrijfsnetwerk beter en efficiënter te beveiligen.
Cyberaanvallen op kritieke OT-infrastructuur nemen explosief toe
De hoeveelheid aanvallen op industriële controlesystemen (ICS) en andere operationele technologie is sinds 2018 met 2.000 procent toegenomen. Het aantal incidenten met OT-systemen lag vorig jaar hoger dan in de drie jaar daarvoor samen.
Dat blijkt uit de nieuwe Threat Intelligence Index van IBM X-Force voor 2020. De meeste waargenomen aanvallen maakten gebruik van een combinatie van bekende kwetsbaarheden binnen SCADA- en ICS-hardwarecomponenten enerzijds of bruteforce-pogingen via password spraying anderzijds.
IBM stelt vast dat de groeiende convergentie tussen IT- en OT-infrastructuur zich ook vertaalt in toenemende securityrisico’s. Een aanvaller kan zich via een inbraak in de IT-systemen proberen doorverplaatsen naar de OT-omgeving om operationele systemen lam te leggen.
Kwetsbare systemen
Het probleem is dat OT-systemen nog veelal gebruik maken van legacy hardware en software, die vol kwetsbaarheden zitten en moeilijk te patchen zijn. Zelfs als die systemen niet zelf rechtstreeks met het internet verbonden zijn, kan een aanvaller ze via laterale bewegingen door het netwerk toch nog besmetten met malware.
IBM X-Force verwacht dat aanvallen tegen ICS-doelwitten zullen blijven stijgen in 2020. In 2019 werden meer dan 200 nieuwe ICS-gerelateerde kwetsbaarheden publiek gemaakt, en de onderzoekers verwachten zich aan verschillende nieuwe aanvalscampagnes tegen industriële netwerken wereldwijd.
Industriële IoT
Nauw gerelateerd aan de bedreigingen voor OT-omgevingen, is ook de opkomst van het industriële IoT, en de risico’s die dat met zich meebrengt. Naar verwachting 38 miljard apparaten zullen dit jaar met het internet worden verbonden en een steeds groter deel daarvan situeert zich in bedrijven.
De onderzoekers van IBM bestudeerden de schadelijke IoT-malware 'Mirai' en stelden vast dat heel wat aanvallen in het voorbije jaar zijn verschoven van consumentenelektronica naar zakelijke apparatuur. “Besmette apparaten met netwerktoegang kunnen door aanvallers worden gebruikt als ingangspunt om voet aan de grond te krijgen in een bedrijfsnetwerk”, klinkt het in het rapport.
Van daaruit kan dan bijvoorbeeld verder een weg worden gebaand naar de OT-omgeving, als bedrijven hun netwerk niet voldoende gesegmenteerd hebben.
Explosieve groei
Dergelijke explosieve groei is natuurlijk te verklaren doordat deze aanvallen nog niet zo wijdverspreid zijn als op IT-systemen. In absolute cijfers gaat het om een veel kleiner aandeel, maar er is wel degelijk iets aan de hand. Het aantal incidenten met OT-systemen lag vorig jaar hoger dan in de drie jaar daarvoor samen.
Om het probleem in kaart te brengen, sprak Techzine met Antoine d’Haussy, OT-expert bij securityleverancier Fortinet. Hij legt meteen de vinger op de zere wonde. “Vroeger was de OT-omgeving gescheiden van IT, maar met de digitalisering is dat veranderd. Daardoor is het aanvalsoppervlak vergroot.”
Patchen problematisch
De grote uitdaging is dat OT-systemen zich niet eenvoudig laten patchen, omdat ze doorgaans permanent up and running zijn en downtime geld kost. Als bedrijven al moeite hebben om hun IT-omgeving up-to-date te houden, dan geldt dat zeker voor hun operationele infrastructuur. De Industroyer-malware die in 2016 het elektriciteitsnet in de Oekraïnse hoofdstad Kiev platlegde, maakte misbruik van een kwetsbaarheid in hardware van Siemens, die de fabrikant al in 2015 had gepatcht. De update werd evenwel niet op tijd uitgevoerd.
Bovendien zijn er ook kwetsbaarheden in apparatuur van verschillende fabrikanten, waar simpelweg (nog) geen patch voor is uitgegeven. D’Haussy merkt op dat security bij industriële controlesystemen nooit een prioriteit was, omdat deze toestellen in het verleden niet met de rest van het bedrijfsnetwerk of het internet werden verbonden. “Er is een inherente zwakte in OT-systemen. Er worden tientallen verschillende protocollen gebruikt, die onveilig zijn by design. Er is vaak geen sprake van encryptie of enige vorm van authenticatie.”
Van IT naar OT
Industroyer is, net zoals het befaamde Stuxnet, een voorbeeld van een bedreiging die specifiek voor OT-systemen werd ontwikkeld. Deze tactiek vraagt gespecialiseerd werk en wordt vooral gebruikt door zogenaamde APT-groepen, die veelal werken met de steun van natiestaten en kritieke infrastructuur viseren.
Steeds meer duiken evenwel ook IT-gebaseerde aanvallen tegen OT-infrastructuur op. Door de inherente onveiligheid van OT-systemen en de opkomst van het industriële Internet of Things, kan een aanvaller zich zonder al te veel moeite lateraal door het netwerk verplaatsen, van de IT-kant naar de operationele kant, als het slachtoffer onvoldoende bescherming heeft ingebouwd.
“Die strategie zien we vooral bij criminelen, die erop uit zijn om geld te verdienen, bijvoorbeeld via ransomware”, stelt d’Haussy vast. Er zit veel geld in de industriële wereld. Aanvallers richten zich op de maakindustrie, transport of infrastructuur en banen zich een weg via achterpoortjes in het IT-netwerk naar de OT-omgeving om de operationele activiteiten van het slachtoffer te verstoren. Het betalen van losgeld is dan vaak een economisch interessantere keuze dan dat de activiteiten nog langer stil blijven liggen.
Eén security-architectuur
Het huwelijk van IT en OT zorgt dus voor belangrijke uitdagingen op vlak van security. Hoe biedt je daar een antwoord op? “Je moet de IT- en OT-teams kunnen samenbrengen. Er zit een enorme kennis en passie aan beide kanten. Het gaat niet over de ene groep die de andere leidt. Zorg dat ze samenwerken rond dezelfde doelen en ga daarvoor op zoek naar de juiste samenwerkingstools”, weet d’Haussy. Hij onderscheidt drie stappen die bedrijven daarbij als leidraad kunnen gebruiken:
- Zorg voor een strategische afstemming van gemeenschappelijke beveiligingsdoelen tussen IT en OT.
- Maak gebruik van industriestandaarden en -richtlijnen (zoals NIST en NERC CIP) om een geconvergeerde security-architectuur uit te bouwen. Zorg dat je teams samenwerken rond deze standaarden.
- Implementeer geleidelijk erkende IT-beveiligingstechnologieën in de OT-omgeving. Denk daarbij aan next-generation firewalls, role-based access control, intrusion detection, 2FA, netwerksegmentatie, sandboxing enzovoort.
Samenwerking
Fortinet zet als securityleverancier zelf ook in op die convergentie. De oplossingen die het bedrijf voor OT heeft ontwikkeld, haken mooi in op de SecurityFabric voor IT-netwerken. “Eén en dezelfde fabric helpt bij de convergentie, maar de set producten die je in OT zal gebruiken is nog wel net iets breder”, merkt d’Haussy op. Zo is intrusion detection voor industriële controlesystemen heel wat gespecialiseerder, vanwege de duizenden verschillende protocollen die worden gebruikt.
D’Haussy legt uit: “Er zijn leveranciers die specifiek gespecialiseerd zijn in intrusion detection voor ICS-sysemen. Daar partneren we mee. Zij gaan om met asset inventory en threat detection, en integreren met onze fabric. Wanneer een bedreiging wordt gedetecteerd, kunnen we ons firewallbeleid automatisch laten aanpassen om deze te blokkeren. Het systeem wordt als het ware virtueel gepatcht, wat belangrijk is aangezien OT-systemen zo slecht worden geüpdatet”.
Terwijl cybercriminelen historisch gezien vooral geïnteresseerd waren in het stelen van data, verschijnen OT-netwerken tegenwoordig steeds vaker op hun radar. Het zijn relatief makkelijke doelwitten en het potentieel om schade aan te richten is enorm. We onthouden van ons gesprek met d’Haussy dat je voor het beschermen van een operationele omgeving het warm water niet opnieuw hoeft uit te vinden. Bestaande tools en processen uit de IT-wereld kunnen naar de OT worden vertaald en een samenwerking tussen beide teams is van vitaal belang voor een degelijke bescherming.
Bron: Techzine, IBM X-Force