De beveiliging van OT-omgevingen gaat erop vooruit, maar ze blijft jaren achterlopen op die van IT-netwerken. Uit een recent rapport van Fortinet blijkt bovendien dat OT geen lessen heeft geleerd van IT en daarom dezelfde fouten maakt.
Een ezel stoot zich geen twee keer aan dezelfde steen, maar een bedrijf helaas wel. Fortinet bracht recent een nieuw rapport uit, gebaseerd op een bevraging bij 570 OT-professionals. De vragen hebben betrekking op de beveiliging van de OT-systemen van bedrijven.
Daaruit blijkt dat OT-beveiliging hetzelfde traject volgt als IT-beveiliging. Van geleerde lessen is weinig sprake. “De geschiedenis herhaalt zich”, betreurt Patrick Commers. Hij is Cybersecurity Evangelist bij Fortinet in België en werkt al twaalf jaar voor de beveiligingsspecialist. Commers heeft zo z’n eigen visie op het rapport en deelt die graag met ons.
Belang van OT-security
OT of Operational Technology, omvat kritieke infrastructuur binnen bedrijven. Denk niet aan de pc’s en opslagservers, wel aan de geconnecteerde machines zoals MRI-scanners, elektriciteitstransformatoren, slijpmachines aan de lopende band of gaspijpleidingen. OT is dus een essentiële component van fabrieken, ziekenhuizen en de installaties verantwoordelijk voor onze nutsvoorzieningen: gas, elektriciteit, water.
OT vormt de kern van heel wat organisaties. Als die beschadigd raakt, betekent dat inkomstenverlies in de privé. Hoe lang kan jouw organisatie niets produceren voor de centen opraken? In de nutsinfrastructuur staan er zelfs effectief mensenlevens op het spel. OT was traditioneel een geïsoleerde omgeving waar functionaliteit en betrouwbaarheid boven beveiliging stonden. Met de integratie van IT en OT is de airgap tussen beiden helemaal verdwenen en dat hebben cybercriminelen ook gezien.
lees ook
Fortinet voegt nu ook firewalls toe aan flexibel licentieprogramma
Er is dus al even een shift bezig van OT richting IT. Dat geldt ook voor cyberaanvallen. Geregeld kan je zelfs spreken van een fusie. Desalniettemin hinkt OT nog steeds achterop, zeker wat betreft beveiliging. De manier waarop er nu naar OT wordt gekeken is vergelijkbaar met hoe dat zo’n vijf jaar geleden naar IT was en dat wil helaas zoveel zeggen als ‘achterstand’.
Verantwoordelijkheidsshift
De eerste bevinding van Commers is wel een positieve. “De eindverantwoordelijkheid van OT en bijbehorende security schuift steeds meer op richting het IT-team”, weet hij. “Ze ligt steeds vaker bij de CISO. Dat is zeker niet slecht en best logisch.” Bij grote incidenten is er steeds meer een impact op zowel IT als OT. “Aanvallen gaan via de ene omgeving en infecteren de andere of omgekeerd. Een eindverantwoordelijke die IT en OT combineert is dus een positieve evolutie.”
Het zou volgens Commers een goede zaak zijn als België de Europese NIS2-richtlijn volgend jaar al omzet naar een feitelijke wet, inclusief een stevige vermeerdering van sectoren die zich daaraan moeten houden. Sectoren waar IT de scepter zwaait, maar ook de chemie en maakindustrieën zoals voeding.
Zo’n wet zou bijvoorbeeld het effect van supply chain-aanvallen kunnen beperken. Als zowel producent, leverancier en klant een deftige beveiliging hebben wordt het al een stuk moeilijker om via één schakel in de keten een aanval uit te voeren.
Ten cyberaanval
De tweede bevinding draait rond het aantal en de soorten aanvallen. Dat een kwart van de respondenten aangeeft dat ze geen intrusies in de OT hebben gehad, vindt Commers positief. Het is dan ook een stijging met negentien procent tegenover een vorige bevraging. Daartegenover staat dan weer dat driekwart wél een incident heeft gekend, wat nog steeds hoog is.
Ransomware en phishing blijken nog steeds de meest populaire aanvalsvectoren te zijn. Die trend wordt mee gevoed door het feit dat oplossingen voor aanvallen netjes as-a-service beschikbaar zijn. “Er zijn nu heuse ransomware-kits te koop, inclusief helpdesk”, zegt Commers. “Die zijn zo gebruiksvriendelijk dat zelfs criminelen met een erg beperkte technische achtergrond ermee aan de slag kunnen.”
Phishing blijft populair omdat de menselijke kant nu eenmaal de zwakste schakel in een organisatie blijft. Iemand ver- of misleiden om ergens op te klikken blijft een makkelijke manier om een aanval te starten: “Een goed nagemaakte mail met daarin een link of attachment kan al voldoende zijn.”, aldus Commers. We mogen er dan ook vanuit gaan dat er in de toekomst meer gerichte aanvallen op OT gaan zijn.
Een goed nagemaakte mail met daarin een link of attachment kan al voldoende zijn.
Cijfers
De impact op OT of IT is samen te vatten in enkele cijfers. Iets meer dan de helft van de incidenten had alleen impact op IT. Er is een behoorlijk grote stijging te merken (van 21 naar 32 procent) waar IT en OT beiden getroffen werden. Dat kan worden uitgelegd door de onderlinge connectie van de twee omgevingen. De overige incidenten (zeventien procent) hadden enkel invloed op OT. Die twee laatsten samen betekent toch dat 49 procent een incident had met betrekking tot de operationele omgeving.
Een (veiligheids)incident of inbraak gebeurt volgens Fortinet wanneer een ‘slechte partij’ een omgeving is binnengedrongen en heeft geprobeerd om actie te ondernemen. De inbraak op zichzelf kan al dan niet een grote impact hebben.
Opvallend: uit de bevraging bleek toch een heel sterke stijging van supply chain-aanvallen. Vooral in de maakindustrie. “In die sector heb je veel leveranciers waarvan één bedrijf afhankelijk is”, verklaart Commers.
Mogelijke oplossingen en valkuilen
Een eerste bedenking legt meteen de eigenlijke kern van het probleem bloot. “OT-security loopt nog een paar jaar achter”, benadrukt Commers. Er is dus dringend nood aan een inhaalbeweging. “Dat is zelfs niet alleen bij OT-security het geval”, zucht hij. “Er zijn genoeg organisaties waar het op IT-vlak ook nog niet loopt zoals het hoort.”
De meest geïmplementeerde oplossing is best oud: NAC (network and access control). Visibiliteit is een belangrijke eerste stap en daar kan NAC bij helpen. Commers: “Een eerste fase moet een inventarisatie van alle netwerktoestellen zijn. Dat is het minimum minimorum, zonder visibiliteit kan je niets beveiligen.” Na zichtbaarheid komt een SOC (security operations center) om te managen en monitoren.
Er zijn genoeg organisaties waar het op IT-vlak ook nog niet loopt zoals het hoort.
Vervolgens maken teveel organisaties dezelfde fout bij OT als vroeger bij IT-security. Ze stapelen een veelvoud aan point-solutions van verschillende aanbieders op elkaar. Dat maakt de zaken complex en moeilijk om te beheren. “Er zijn nu al onvoldoende IT-profielen voor handen”, waarschuwt Commers. “Als je dezelfde fout maakt bij OT, ga je niet meteen wél de juiste profielen vinden om een dozijn dashboards in het oog te houden.”
Gevaar vanop afstand
Door die stijging van Supply Chain-aanvallen is het een logisch gegeven dat er ook meer en meer wordt gekeken naar remote management van toestellen. Connecties vanop afstand naar een toestel of omgeving zijn traditioneel niet zo veilig, dus secure remote access zit in de lift.
“De grootste stijging qua nieuwe implementaties zien we bij oplossingen die kijken naar de dreiging van een APT (Advanced Persistent Threat)”, merkt Commers. “Denk aan sandboxing of technieken om aanvallers te misleiden, zoals honeypot/lures. Dat zijn early warning-systemen die tijdig kunnen waarschuwen als er iets niet klopt.” Commers benadrukt dat vroege detectie erg belangrijk is in kritische IT-omgevingen.
Een goeie oplossing vormt een gelaagd model. “EDR en XDR zijn de laatste verdedigingslinies.”, zegt Commers. Zij laten pas iets weten wanneer een dreiging actief wordt. Een sandbox waarschuwt vroeger. Het systeem bestaat al tien jaar in IT, maar krijgt nu pas bij voet aan grond in OT-security. Zaken die al bijna achterhaald lijken in IT worden nu pas toegepast in OT.
Verschil in aanpak
De grootste uitdaging bij OT-security is dat je niet zomaar de hele omgeving kan stilleggen. “Beveiliging moet veel meer non-intrusive zijn en vooral niets blokkeren.” Pakketjes stoppen in geval van twijfel kan wel bij IT, maar in een kliniek of fabriek kan dat niet zomaar. De hele omgeving, inclusief cruciale machines, zou zo maar eens offline kunnen gaan. De nadruk bij OT-beveiliging ligt daarom noodgedwongen op die visibiliteit.
Er is binnen OT ook meer en meer enthousiasme voor netwerksegmentatie. Dat is nog iets dat al lang bestaat in IT. “Eigenlijk is het hallucinant dat sommige organisaties daar nu pas naar kijken.”, vindt Commers. Bij netwerksegmentatie worden verschillende toestellen met verschillende niveaus van belang (of kwetsbaarheid) van elkaar gescheiden op het netwerk. Er is immers weinig reden om de goedkope beveiligingscamera van de achterpoort en het slimme slot van het magazijn op hetzelfde netwerk te zetten als de MRI-scanner.
(Gebrek aan) automatisatie
Commers laakt vooral het totaal gebrek aan automatisatie en integratie. “Dat moet in een volgende fase toch veranderen. Veel organisaties zullen moeten vaststellen dat hun amalgaam van oplossingen gewoon te complex is geworden.’
Het is een nagel waarop hij blijft hameren. In de achtervolging van OT op IT maken OT-beveiligers dezelfde fouten. Ze kiezen voor teveel verschillende tools en te weinig automatisatie, terwijl er nu al niet genoeg personeel beschikbaar is. “Dezelfde fouten worden herhaald.”
De criteria voor succes in OT zijn nog vaak de responstijden en productiviteit, zonder focus op security. Wederom hetzelfde als met de vroegere transformatie naar meer IT: snelheid en flexibiliteit en security kwam achteraf. Zolang men niet automatiseert en integreert in OT, zullen er volgens Commers steeds de zelfde fouten worden gemaakt. Zijn verzuchting laakt het gebrek aan vernieuwing: “Cybersecurityteams zijn nog altijd vastgeroest in hun traditionele securityconcept.”
Cybersecurityteams zijn nog altijd vastgeroest in hun traditionele securityconcept.
Beperkte zelfkritiek
In een laatste segment van het rapport lezen we hoe de bevraagden zichzelf nu bekijken wat betreft OT-beveiliging. Daarbij werd gebruik gemaakt van een maturiteitsschaal met vijf niveaus:
- 0 – geen segmentatie of visibiliteit op vlak van OT
- 1 – segmentatie en visibiliteit ingesteld
- 2 – toegang en profilering ingesteld
- 3 – voorspellend gedrag ingesteld
- 4 – benutten van orkestratie en automatisering
“Opvallend is dat sommige organisaties kritischer voor zichzelf zijn geworden.”, merkt Commers. “Vorig jaar plaatste 21 procent zich op niveau vier, dat is dit jaar acht procent minder.” Dat verandert wel bij niveau drie, daar stijgt dat percentage van 35 naar 44 procent. Volgens Commers toch een teken dat we er nog niet helemaal zijn. Hij verwacht dan ook nog wel incidenten in de toekomst.
Visie van Fortinet
Hoe moet het dan wel? Commers heeft een mooie lijst van actiepunten klaar, die begint met zichtbaarheid: “NAC vollen bak.”, klinkt het strijdvaardig.
- Zichtbaarheid, netwerksegmentatie en microsegmentatie zijn het absolute minimum
- Er zijn nog te veel point-solutions, complexiteit moet worden gereduceerd
- Meer automatisering
- IT erbij betrekken
- Actionable security
- Een mesh-architectuur met open ecosysteem
- Een firewall tussen IT en OT is het minimum, netwerk en firewall integreren is een goed idee
- Inspecteren, niet blokkeren
- Een klassieke VPN is te statisch, gebruik zero-trust voor remote access
- De uitdaging van IT nu, zijn die van OT binnen twee jaar
- Awareness-training, het menselijke aspect blijft belangrijk
NAC vollen bak.
Platform-aanpak
Organisaties moeten een platform-aanpak en de convergentie van het netwerk en de security durven doorvoeren. OT is een netwerk, maar met eigen specificaties. Het is best om geen onderscheid meer te maken tussen netwerk en security. Organisaties moeten inzetten op heel vroeg anomalieën detecteren. Niet blokkeren, maar wel direct actie te ondernemen. Beveiliging vindt gelukkig zijn weg naar het netwerk. Met de convergentie van switchen en security zitten bedrijven en organisaties volgens Commers: “Boenk eroep.”