Cyberaanvallen verschuiven van IT naar OT: security moet ook mee

operational technology

Cybercriminelen richten steeds vaker hun pijlen op de operationele infrastructuur van een bedrijf, naarmate die meer en meer verbonden raakt. Dat vraagt om een nieuwe security-aanpak, die zoekt naar convergentie tussen IT aan de ene kant en OT aan de andere kant, om zo het gehele bedrijfsnetwerk beter en efficiënter te beveiligen.

“Cyberaanvallen op kritieke OT-infrastructuur nemen explosief toe”, kopten we nog maar pas op deze website. De hoeveelheid aanvallen op industriële controlesystemen (ICS) en andere operationele technologie is sinds 2018 met 2.000 procent toegenomen, zo blijkt uit recent onderzoek van IBM X-Force. 

Dergelijke explosieve groei is natuurlijk te verklaren doordat deze aanvallen nog niet zo wijdverspreid zijn als op IT-systemen. In absolute cijfers gaat het om een veel kleiner aandeel, maar er is wel degelijk iets aan de hand. Het aantal incidenten met OT-systemen lag vorig jaar hoger dan in de drie jaar daarvoor samen.

Om het probleem in kaart te brengen, sprak Techzine met Antoine d’Haussy, OT-expert bij securityleverancier Fortinet. Hij legt meteen de vinger op de zere wonde. “Vroeger was de OT-omgeving gescheiden van IT, maar met de digitalisering is dat veranderd. Daardoor is het aanvalsoppervlak vergroot.”

Patchen problematisch

De grote uitdaging is dat OT-systemen zich niet eenvoudig laten patchen, omdat ze doorgaans permanent up and running zijn en downtime geld kost. Als bedrijven al moeite hebben om hun IT-omgeving up-to-date te houden, dan geldt dat zeker voor hun operationele infrastructuur. De Industroyer-malware die in 2016 het elektriciteitsnet in de Oekraïnse hoofdstad Kiev platlegde, maakte misbruik van een kwetsbaarheid in hardware van Siemens, die de fabrikant al in 2015 had gepatcht. De update werd evenwel niet op tijd uitgevoerd.

Als bedrijven al moeite hebben om hun IT-omgeving up-to-date te houden, geldt dat zeker voor hun operationele infrastructuur.

Bovendien zijn er ook kwetsbaarheden in apparatuur van verschillende fabrikanten, waar simpelweg (nog) geen patch voor is uitgegeven. D’Haussy merkt op dat security bij industriële controlesystemen nooit een prioriteit was, omdat deze toestellen in het verleden niet met de rest van het bedrijfsnetwerk of het internet werden verbonden. “Er is een inherente zwakte in OT-systemen. Er worden tientallen verschillende protocollen gebruikt, die onveilig zijn by design. Er is vaak geen sprake van encryptie of enige vorm van authenticatie.”

Van IT naar OT

Industroyer is, net zoals het befaamde Stuxnet, een voorbeeld van een bedreiging die specifiek voor OT-systemen werd ontwikkeld. Deze tactiek vraagt gespecialiseerd werk en wordt vooral gebruikt door zogenaamde APT-groepen, die veelal werken met de steun van natiestaten en kritieke infrastructuur viseren.

Steeds meer duiken evenwel ook IT-gebaseerde aanvallen tegen OT-infrastructuur op. Door de inherente onveiligheid van OT-systemen en de opkomst van het industriële Internet of Things, kan een aanvaller zich zonder al te veel moeite lateraal door het netwerk verplaatsen, van de IT-kant naar de operationele kant, als het slachtoffer onvoldoende bescherming heeft ingebouwd.

“Die strategie zien we vooral bij criminelen, die erop uit zijn om geld te verdienen, bijvoorbeeld via ransomware”, stelt d’Haussy vast. Er zit veel geld in de industriële wereld. Aanvallers richten zich op de maakindustrie, transport of infrastructuur en banen zich een weg via achterpoortjes in het IT-netwerk naar de OT-omgeving om de operationele activiteiten van het slachtoffer te verstoren. Het betalen van losgeld is dan vaak een economisch interessantere keuze dan dat de activiteiten nog langer stil blijven liggen.

Aanvallers banen zich een weg via achterpoortjes in het IT-netwerk naar de OT-omgeving om activiteiten te verstoren.

Eén security-architectuur

Het huwelijk van IT en OT zorgt dus voor belangrijke uitdagingen op vlak van security. Hoe biedt je daar een antwoord op? “Je moet de IT- en OT-teams kunnen samenbrengen. Er zit een enorme kennis en passie aan beide kanten. Het gaat niet over de ene groep die de andere leidt. Zorg dat ze samenwerken rond dezelfde doelen en ga daarvoor op zoek naar de juiste samenwerkingstools”, weet d’Haussy. Hij onderscheidt drie stappen die bedrijven daarbij als leidraad kunnen gebruiken:

  • Zorg voor een strategische afstemming van gemeenschappelijke beveiligingsdoelen tussen IT en OT.
  • Maak gebruik van industriestandaarden en -richtlijnen (zoals NIST en NERC CIP) om een geconvergeerde security-architectuur uit te bouwen. Zorg dat je teams samenwerken rond deze standaarden.
  • Implementeer geleidelijk erkende IT-beveiligingstechnologieën in de OT-omgeving. Denk daarbij aan next-generation firewalls, role-based access control, intrusion detection, 2FA, netwerksegmentatie, sandboxing enzovoort.

Samenwerking

Fortinet zet als securityleverancier zelf ook in op die convergentie. De oplossingen die het bedrijf voor OT heeft ontwikkeld, haken mooi in op de SecurityFabric voor IT-netwerken. “Eén en dezelfde fabric helpt bij de convergentie, maar de set producten die je in OT zal gebruiken is nog wel net iets breder”, merkt d’Haussy op. Zo is intrusion detection voor industriële controlesystemen heel wat gespecialiseerder, vanwege de duizenden verschillende protocollen die worden gebruikt.

Eén fabric helpt bij de convergentie, maar de set producten die je in OT zal gebruiken is nog wel net iets breder.

D’Haussy legt uit: “Er zijn leveranciers die specifiek gespecialiseerd zijn in intrusion detection voor ICS-sysemen. Daar partneren we mee. Zij gaan om met asset inventory en threat detection, en integreren met onze fabric. Wanneer een bedreiging wordt gedetecteerd, kunnen we ons firewallbeleid automatisch laten aanpassen om deze te blokkeren. Het systeem wordt als het ware virtueel gepatcht, wat belangrijk is aangezien OT-systemen zo slecht worden geüpdatet”.

Terwijl cybercriminelen historisch gezien vooral geïnteresseerd waren in het stelen van data, verschijnen OT-netwerken tegenwoordig steeds vaker op hun radar. Het zijn relatief makkelijke doelwitten en het potentieel om schade aan te richten is enorm. We onthouden van ons gesprek met d’Haussy dat je voor het beschermen van een operationele omgeving het warm water niet opnieuw hoeft uit te vinden. Bestaande tools en processen uit de IT-wereld kunnen naar de OT worden vertaald en een samenwerking tussen beide teams is van vitaal belang voor een degelijke bescherming.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.