Door: Redactie - 13 juni 2023 |
Informatietechnologie (IT) moet vloeiend verbinding maken met de buitenwereld om een stroom van digitale informatie – van endpoints en e-mail systemen tot cloud en hybride infrastructuren – te kanaliseren. Tegelijkertijd maakt deze hoge mate van connectiviteit IT-systemen bijzonder kwetsbaar voor cyberaanvallen. Operationele technologie (OT), die de werking van fysieke processen controleert, is nog gevoeliger. OT is vaak afhankelijk van routines en gestandaardiseerde processen om de continuïteit van activiteiten te handhaven. Zelfs de kleinste verstoring kan rampzalige gevolgen hebben. Een vertraging van slechts enkele seconden op een PLC (Programmable Logic Controller) kan bijvoorbeeld een productielijn aanzienlijk verstoren, wat leidt tot stilstand en aanzienlijke herstelkosten. In het ergste geval kunnen verstoringen van OT zelfs de veiligheid van mensen in gevaar brengen.
Organisaties met OT hebben, traditioneel gezien, geprobeerd om de potentiële impact van IT op de OT-omgeving te beperken door ze volledig te scheiden. Ze hebben als het ware een ‘air gap’ gecreëerd tussen deze omgevingen, zodat eventuele cyberdreigingen die IT-systemen binnendringen zich niet verspreiden naar gevoelige, kritische OT-systemen. Deze air gap is een soort ‘digitale kasteelgracht’ waardoor gegevens OT-omgevingen niet kunnen binnenkomen of verlaten, tenzij ze handmatig worden overgebracht.
Ondanks dat de air-gapped benadering zinvol is, is deze verre van perfect. Veel organisaties omarmen tegenwoordig IT/OT-convergentie om te profiteren van de digitale transformatie van hun OT. IT/OT-convergentie zijn verbindingen tussen IT- en OT-netwerken. Deze gaan dus ‘over’ de air gap. Dit wordt vaak ‘Industrie 4.0’ genoemd. Voorbeelden hiervan zijn de Industriële Cloud (of ICSaaS), het Industriële Internet of Things (IIoT) en andere systemen die meer efficiëntie en uitgebreide mogelijkheden bieden in vergelijking met traditionele vormen van OT. IT/OT-convergentie kan ook helpen het gebrek aan mensen op te vangen door convergentie-processen eenvoudiger en efficiënter te maken.
Veel organisaties hebben echter te maken met onbekende punten van IT/OT-convergentie. En zelfs als een organisatie een echte air gap heeft (wat bijna niet te bevestigen is zonder volledig inzicht in IT- en OT-omgevingen), kunnen kwaadwillenden op verschillende manieren ‘over’ de air gap ‘springen’. Volledig inzicht in IT- en OT-ecosystemen vanuit één bron van waarheid is dus essentieel voor organisaties die hun OT goed willen beveiligen. Niet alleen om eventuele punten van IT/OT-convergentie inzichtelijk te maken en het bestaan van een air gap te bevestigen, maar ook om te zien wanneer een aanval langs de air gap glipt.
Behalve onbekende IT/OT-convergenties, is zelfs een perfecte air gap kwetsbaar voor een aantal aanvalsvectoren, waaronder de volgende:
Afgezien van de gevoeligheid voor geavanceerde technieken, tactieken en procedures (TTP’s), zoals thermische manipulatie en magnetische velden, zijn meer algemene kwetsbaarheden van air-gapped omgevingen niet-gepatchte systemen die onopgemerkt blijven, gebrek aan inzicht in het netwerkverkeer, potentieel schadelijke apparaten die onopgemerkt op het netwerk komen en verwijderbare media die fysiek op het netwerk worden aangesloten.
Als de aanval zich eenmaal binnen OT-systemen bevindt, kunnen de gevolgen desastreus zijn, of er nou een air gap is of niet. Het is daarom belangrijk om te weten hoe een air gap van invloed is op de ‘time-to-triage’ en het herstel tijdens een incident. Het bestaan van een air gap kan bijvoorbeeld de mogelijkheden van een leverancier om toegang te krijgen tot het netwerk voor digitaal onderzoek en respons beperken.
In 2018 waarschuwde het Amerikaanse Department of Homeland Security (DHS) voor de TTP’s van Russische cybercriminelen die bekendstaan als Dragonfly en Energetic Bear. Uit verdere berichtgeving bleek dat deze groepen air gaps konden ‘overbruggen’ en de mogelijkheid hadden om netwerken uit te schakelen.
Deze aanvallers kregen met succes toegang tot gevoelige systemen in de energiesector en andere kritieke sectoren door verkopers en leveranciers te benaderen via spear-phishing en watering hole-aanvallen. Deze leveranciers waren gemachtigd tot air-gapped systemen en brachten de infectie onbedoeld in deze systemen tijdens het verlenen van ondersteunende diensten zoals het installeren van patches.
Dit incident toont aan dat zelfs als een OT-systeem volledig digitaal geïsoleerd is, deze air gap nog steeds één van de grootste kwetsbaarheden van elk systeem niet volledig kan wegnemen: menselijke fouten. Ook als een organisatie tot het uiterste gaat om een ‘Kooi van Faraday’ te bouwen om elektromagnetische straling tegen te gaan, blijven menselijke fouten bestaan. Afgesloten systemen zijn nog steeds gevoelig voor social engineering. Denk aan de tactieken die Dragonfly en Energetic Bear gebruikten om leveranciers te misleiden, waardoor organisaties de infectie gewoon door de voordeur binnen lieten.
Organisaties die willen vaststellen of er sprake is van een air gap en deze willen handhaven terwijl hun IT- en OT-omgevingen zich ontwikkelen, zullen veel baat hebben bij de uitgebreide zichtbaarheid en het situationele bewustzijn dat een zelflerende AI voor cyberbeveiliging hen kan bieden. Door kleine afwijkingen van het normale patroon van een apparaat, mens of netwerk op te sporen, detecteert zelflerende AI – ongeacht de bron of oorzaak – zelfs de meest genuanceerde dreigingen. Dit geldt zelfs voor cyberaanvallen die langs de air gap glippen.
Auteur: Max Lesser, Head of U.S. Policy Analysis and Engagement Darktrace
Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.