OT security

Top vijf OT security bedreigingen

9 min. leestijd
Placeholder for Engineers manufacturingEngineers manufacturing

Share

Industriële besturingssystemen (Industrial Control Systems - ICS) worden gebruikt in bijna alle infrastructuren die fysieke processen hanteren. Applicaties variëren van energieproductie en -distributie, gas- en watervoorziening tot industriële automatisering, verkeersleidingsystemen en faciliteitenbeheer.

Veel aanvallen op Operationele Technologie (OT) systemen lijken zich te richten op oudere apparatuur waarop ongepatchte software draait, wat erop wijst dat OT netwerken steeds meer het doelwit worden van op IT gebaseerde legacy aanvallen die niet langer effectief zijn tegen IT netwerken. De industrie als geheel ziet echter ook een verontrustende toename van speciaal gebouwde OT aanvallen die gericht zijn tegen SCADA (supervisory control and data acquisition) en ICS.

Malware die specifiek op ICS en SCADA systemen gericht is, wordt al meer dan een decennium ontwikkeld en ingezet. Aanvallen die specifiek op OT systemen zijn gericht lijken toe te nemen, waarbij veiligheidssystemen steeds vaker een doelwit vormen. Voor OT organisaties die verantwoordelijk zijn voor kritieke infrastructuur moet elke vorm van compromittering uiterst serieus genomen worden.

Uitdagingen voor OT security

Gezien de toenemende frequentie van incidenten en nieuw ontdekte kwetsbaarheden voor ICS, moeten de verantwoordelijke personen deze problemen dringend aanpakken. Daarom moeten ze rekening houden met het risico en de potentiële schade van zowel ongerichte malware als gerichte, hoogwaardige aanvallen op ICS infrastructuren.

Dit geldt zowel voor infrastructuren die rechtstreeks met het internet verbonden zijn als voor infrastructuren die indirect door cyberaanvallen gecompromitteerd kunnen worden. Cybercriminelen richten hun pijlen ook op apparatuur door zich te richten op de grote verscheidenheid aan OT protocollen die er zijn. Terwijl IT systemen gestandaardiseerd zijn op TCP/IP, gebruiken OT systemen een grote verscheidenheid aan protocollen - vele daarvan zijn specifiek voor functies, industrieën, en geografische gebieden. Dit kan een uitdaging vormen omdat security managers ongelijksoortige systemen moeten maken om hun omgeving te beveiligen, waardoor complexiteit ontstaat door het aanbod en de producten van verschillende leveranciers. Net als bij legacy IT-gebaseerde malware aanvallen worden deze structurele problemen nog verergerd door slechte beveiligingshygiënepraktijken binnen veel OT-omgevingen; vaak als gevolg van digitale transformatie-inspanningen.

De volgende top vijf OT security bedreigingen geven een overzicht van de meest kritieke en de meest voorkomende bedreigingen voor operationele technologie.

1. Malware infiltratie via externe hardware en verwijderbare media

Op kantoor en bij ICS netwerken worden verwisselbare media zoals externe hardware en USB flash drives ook vaak thuis gebruikt. Notebooks, bijvoorbeeld, waarop externe gegevens en onderhoudssoftware staan, worden waarschijnlijk op verschillende (openbare) plaatsen en in verschillende organisaties gebruikt. Van oudsher is ICS veiligheidsbewustzijn vooral gericht op beschikbaarheid en fysieke beveiliging, zoals toegangsbeperkingen, veiligheid en bescherming tegen invloeden van buitenaf. Daarom is het bewustzijn over de effecten van malware en de technieken die cybercriminelen gebruiken om systemen te infiltreren, bij de werknemers vaak gering.

Er zijn meerdere voorbeelden van malware (en ransomware) die industrieën financiële, operationele en reputatieschade hebben toegebracht. Mogelijke bedreigingsscenario's zijn uitvoerbare bestanden en toepassingen die kwaadaardige code bevatten, met als gevolg het lekken van gegevens en besmetting met malware. Bij toegang tot kantoornetwerken of infrastructuur kan een besmette notebook computer snel systemen en onderdelen met kwaadaardige code besmetten, zodra de notebook in het ICS netwerk wordt gebruikt.

Het is niet voldoende om een sterk organisatiebeleid te voeren, virusbescherming aan te bieden en bewustmakingscampagnes over het gebruik van externe apparatuur zoals USB flash drives en notebooks te voeren. Om te voorkomen dat malware infecties grote schade aanrichten, moeten OT security oplossingen IT teams op zijn minst voorzien van hulpmiddelen voor het beheer van gebruikerstoegang, beleidshandhaving en endpoint beveiligingscontroles, en volledige versleutelingsmogelijkheden.

2. Menselijke fouten

Werknemers en extern personeel, zoals onderhouds- of bouwvakkers, die in een ICS-omgeving werken, vormen vaak een uitdaging voor de beveiliging.

Systemen kunnen gecompromitteerd worden door ongeoorloofde of verkeerd geconfigureerde software en hardware. Werknemers kunnen (ongewild) malware installeren via e-mails, spelletjes, of door bijvoorbeeld USB-apparaten in hun notebooks te steken. Vaak zijn ze zich niet bewust van de risico's die zulke acties met zich meebrengen.

IT teams worden ook regelmatig op de proef gesteld door de hoeveelheid next-generation firewalls die beheerd en bijgewerkt moeten worden of die regelmatig geconfigureerd moeten worden. Het laten installeren van een niet geverifieerde update of patch op netwerk- of beveiligingscomponenten kan ertoe leiden dat ze functionele en zelfs kritieke problemen krijgen. Het toestaan van ongeoorloofde toegang via mobiele endpoints, bijvoorbeeld, is een veel voorkomend gevolg van iemand die onjuiste regels aan de firewalls heeft toegevoegd.

Natuurlijk kan beveiliging nooit gegarandeerd worden door technische controles alleen. Organisatorische voorschriften zijn nodig, evenals het uitvoeren van kwalificaties en opleidingsprogramma's over het bewustzijn van cybersecurity. Organisaties moeten beleidslijnen invoeren voor kritieke processen in het ICS netwerk, zoals normen betreffende beveiliging en configuratiebeheer, die de betrokkenheid van security experts en andere relevante rollen regelen. Zo wordt gegarandeerd dat veranderingen of updates pas worden doorgevoerd nadat ze zijn geraadpleegd. In dit verband is het belangrijk alle afspraken te documenteren, ondersteund door aanvullende regelingen zoals het gebruik van het vier-ogen principe.

De meeste OT aanvallen hebben het gemunt op de zwakste delen van OT netwerken. Veel van deze aanvallen maken vaak gebruik van de complexiteit die veroorzaakt wordt door een gebrek aan standaardisatie van protocollen, en een soort impliciete vertrouwensstrategie die in veel OT omgevingen lijkt door te dringen. Deze trend beperkt zich niet tot specifieke plaatsen of sectoren. Bij bijna elke ICS/SCADA leverancier nemen exploits in volume en prevalentie toe.

3. DDoS aanvallen en IoT-botnets

Bedrijven hebben steeds meer verschillende soorten IoT-technologieën met hun netwerk verbonden, waaronder passieve RFID, real-time plaatsbepaling (actieve RFID, ultrabreedband, echografie, enz.), GPS-tracering, veiligheidssensoren, netwerksensoren, en conditiesensoren. Deze toestellen gebruiken ook een breed scala van communicatieprotocollen, waaronder Wi-Fi, cellulaire systemen zoals CDMA/GPRS/4G, mesh netwerken, telematica, en near-field communicatie (NFC).

Elk van deze technologieën brengt niet alleen zijn eigen unieke beveiligingsproblemen met zich mee, maar die worden nog verergerd door veel van de beveiligingsproblemen die inherent zijn aan IoT apparatuur die met slechte code is gebouwd, waarin backdoors en wachtwoorden rechtstreeks in de firmware zijn ingebouwd, of die als headless apparatuur werkt, waardoor zelfs eenvoudige updates en patches niet mogelijk zijn.

IoT-botnets werden een bekende cyberdreiging tijdens de Mirai aanval in 2000. Botnets worden bestuurd door Command and Control (C&C) netwerken. De hacker leidt deze C&C netwerken, die gebruikt kunnen worden om Distributed Denial of Service (DDoS) aanvallen uit te voeren.

Nu het gebruik van IoT apparaten snel is toegenomen, neemt ook de dreiging van botnet DDoS aanvallen toe. Omdat veel IoT apparaten ingebouwde beveiligingsmaatregelen ontberen, worden ze in botnets 'gerekruteerd' en gebruikt om DDoS aanvallen te initiëren.

Als verbindingen tussen ICS componenten onderbroken zijn, is bijvoorbeeld het zenden en meten van besturingsgegevens niet mogelijk. Een veel gebruikte tactiek om uitval van componenten en systemen te veroorzaken is een component te overbelasten met een zeer groot aantal vragen, waardoor het onmogelijk wordt tijdig een antwoord te geven. In sommige gevallen worden deze DDoS aanvallen over meerdere threat agents verdeeld.

Nu er steeds meer IoT apparaten zijn, betekent de nieuwe generatie van botnet DDoS aanvallen dat het aantal bedreigingen en hun verwoestende mogelijkheden voor Operation Technology de komende jaren zullen toenemen. Daarom wordt het afzwakken van enorme verkeersvolumes met DDoS beschermingsoplossingen beschouwd als een belangrijke cyberbeveiligingsprioriteit voor de komende jaren.

Bedreigingsscenario's omvatten DDoS aanvallen die door hacktivisten of door kopers van huurbare botnets worden opgezet en gericht zijn op internetverbindingen van centrale of afgelegen componenten. Interfaces van afzonderlijke componenten, zoals applicatieservers of databases, kunnen ook crashen als ze het doelwit zijn - door bijvoorbeeld de proceslogica te onderbreken.

4. Malware infectie via Internet en Intranet

In 2018 was Triton/Trisis gericht tegen besturingen van safety instrumented systems (SIS). Deze aanval is vooral verontrustend omdat het in veel opzichten de eerste echte cyber-fysieke aanval op OT systemen is. Hierna zijn er nog vele gevolgd zoals de bekende aanval op de Colonial Pipeline Company door de DarkSide-ransomware. En gezien het feit dat deze malware gericht is op een veiligheidssysteem, kan het resultaat van zo'n aanval potentieel veel erger zijn; niet alleen installaties vernietigen, maar ook levens in gevaar brengen.

Nauw verwant met menselijke fouten, zijn bedrijfsnetwerken vaak besmet met malware door menselijke fouten, maar ook door het gebruik van standaard componenten zoals web servers en databases. Browsers of e-mail clients zijn bijvoorbeeld meestal verbonden met het Internet, waarbij bijna elke dag nieuwe kwetsbaarheden ontdekt worden. Deze kwetsbaarheden worden gebruikt om malware in te zetten, waardoor kritieke of gevoelige informatie door de bedreiger wordt bemachtigd.

Bovendien wordt het handhaven van de IT beveiliging bemoeilijkt door de toenemende verspreiding van op ethernet gebaseerde netwerken en protocollen in ICS omgevingen en hun verbinding met bedrijfscomputing (fileservers, ERP en MES systemen). Als een bedreiger erin slaagt in het kantoornetwerk binnen te dringen, door bijvoorbeeld zero-day exploits uit te buiten, kan hij direct of via een volgende aanval in het ICS netwerk infiltreren. Helaas zijn veel anti-virussen en e-mailbeveiligingsproducten niet in staat deze aanvallen te detecteren, waardoor ze in stilte informatie verzamelen en schade aanrichten. Een veel gebruikte tactiek die door de daders wordt toegepast is de 'drive-by download' methode. De besmetting met malware gebeurt wanneer iemand gewoon een website bezoekt, of wanneer systemen die deel uitmaken van de controlekamer of besturingscontrole over het internet surfen. Andere veel voorkomende bedreigingsscenario's zijn SQL injectie, ongerichte malware zoals wormen en cross-site scripting.

Regelmatige en tijdige patching van besturingssystemen en toepassingen in de kantoor- en back-end netwerken en, indien van toepassing, in ICS netwerken is essentieel om malware infiltratie te voorkomen. Ook het controleren van logbestanden op ongewone verbindingen of verbindingspogingen en het zorgen voor optimale hardening van alle IT componenten (diensten, computers) die in de kantoor- en ICS omgevingen gebruikt worden is van vitaal belang.

5. Compromising cloud componenten

Beveiligingsspecifieke componenten worden af en toe als cloud beveiligingsoplossing aangeboden. Deze oplossingen winnen ook aan terrein in de ICS sector. Leveranciers van oplossingen voor remote onderhoud, bijvoorbeeld, plaatsen clientsystemen voor toegang op afstand in de cloud. Oplossingen in de cloud bieden schaalbaarheid, pay-per-use modellen en redundantie.

Eigenaren van assets hebben echter beperkte controle over de beveiliging van deze componenten terwijl ze met de lokale productie verbonden zijn. Dit levert OT beveiligingsrisico's voor de cloud op, zoals verstoorde communicatie tussen de lokale productie en uitbestede (cloud) componenten door DDoS aanvallen. Aanvallen op andere cloud-diensten kunnen ook tot storingen (nevenschade) leiden wanneer klanten van een cloud-aanbieder onvoldoende gescheiden zijn.

Wat kun je doen tegen OT security bedreigingen?

  • Overleg met leveranciers over mogelijke aanvalsvectoren via het managementsysteem, streef ernaar het (de) gebied(en) te beperken via RBAC, multi-factor authenticatie en breid registratie uit van de leverancier van management/onderhoud op afstand naar je SIEM.
  • Zero Trust is belangrijk, ook bij het tegenhouden van OT security bedreigingen. Zero Trust beleid zal beginnen met het aanpakken van apparaatbeperkingen en onveilig-door-ontwerp PLC's, IoT sensoren en controllers.
  • Isoleer kritieke infrastructuur van kantoorautomatisering, productienetwerken, IT apparaten, en personeel met segmentatie en micro-segmentatie strategieën.
  • Implementeer twee-factor authenticatie, waaronder biometrie (b.v. vingerafdruk, stem, gezichtsherkenning, enz.), en stel rolgebaseerd Identity and Access Management (IAM) in voor alle medewerkers, en geprivilegieerd identiteitsbeheer (PIM) voor beheerders. Beperk de toegang tot "verouderde beheerpoorten" (d.w.z. serial poort) en voer registratie van gebruik in.
  • Investeer in en bouw aan SCADA/ICS, OT, en IoT specifieke security expertise.
  • Zorg voor voortdurende logging en analyse van al het netwerkverkeer (security analytics) met SIEM.
  • Overleg met overheidsinstanties zoals het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) en voer gemeenschappelijke normen in zoals ISA/IEC-62443 of ISA-99.
  • Voer kritieke netwerkbeveiligingscontroles in, zoals NGFW, IPS, en Sandboxing aan de edge van de OT omgeving; verhoog de centralisatie van apparatuurbeheer en besluitvorming; versleutel gegevens en verkeer; en stel, gezien de uiterst gevoelige aard van de sensoren en systemen die in kritieke infrastructuuromgevingen worden ingezet, passieve bewaking en controles binnen de OT omgeving in.

Ontdek wat Nomios kan doen voor de maakindustrie

Als industriële onderneming ben je op zoek naar efficiëntie, kostenbesparing en inzicht in de nieuwste technologische trends. De ontwikkelingen in beveiliging en netwerktechnologie gaan snel. We willen je graag helpen met onze diensten speciaal voor de maakindustrie.

Neem contact met ons op

Wil je meer weten over dit onderwerp?

Onze experts en salesteams staan voor je klaar. Laat je contactgegevens achter en we nemen spoedig contact met je op.

Nu bellen
Placeholder for Portrait of french manPortrait of french man
Artikelen

Meer updates