4min

Tags in dit artikel

, ,

Industrieën over de hele wereld vertrouwen in toenemende mate op operationele technologie (OT) en industriële controlesystemen (ICS) om hun bedrijfskritische infrastructuren te ondersteunen. Tegelijkertijd worden ze geconfronteerd met een aanzienlijke toename van cyberdreigingen.

Volgens CISA onderzoekt de Russische regering de opties voor cyberaanvallen op kritieke infrastructuursystemen. Ook hebben we gezien dat andere kwaadwillenden in het verleden kritieke infrastructuur doelbewust hebben aangevallen. De vraag is dus: hoe kunnen we de bedrijfskritische cyber-assets beschermen die cruciaal zijn voor het welzijn van een land.

Waarom richten cybercriminelen zich op kritieke infrastructuur?

Er zijn verschillende redenen waarom cybercriminelen kritieke infrastructuur als doelwit kiezen. De meeste aanvallen op ICS- en SCADA-systemen (Supervisory Control and Data Acquisition) zijn financieel of politiek gemotiveerd.

Financieel gemotiveerde aanvallers proberen overheidsdiensten te treffen met ransomware, omdat dergelijke middelen vaak draaien op verouderde hardware en/of software en kwetsbaar kunnen zijn voor bekende exploits. Ransomware-aanvallers hopen ook dat de bedrijfskritische aard van zulke doelwitten organisaties ertoe dwingt om losgeld te betalen, zodat degenen die afhankelijk zijn van de diensten die zij verlenen, worden beschermd.

Politiek gemotiveerde aanvallers proberen ondertussen kritieke nationale infrastructuur te verstoren in tijden van crisis of wanneer er belangrijke gebeurtenissen plaatsvinden, zoals verkiezingen, noodsituaties op het gebied van de gezondheid en oorlogen. Dergelijke politiek gemotiveerde aanvallen reiken vaak verder dan de beoogde doelwitten en veroorzaken bijkomende schade aan andere organisaties. Tijdens de Russische invasie in Oekraïne richtten kwaadwillenden zich op kritieke infrastructuur van organisaties binnen en buiten de regio. Deze door de staat gesponsorde cyberoperaties omvatten DDoS (Distributed Denial-of-Service)-aanvallen en de inzet van destructieve malware tegen de Oekraïense regering en organisaties die kritieke nationale infrastructuur (critical national infrastructure, CNI) bezitten.

Aanvallen op kritieke infrastructuur om paniek te zaaien, kunnen onder meer bestaan uit aanvallen op de financiële systemen, de gezondheidszorg of het elektriciteitsnet van het land. Cybercriminelen hebben – in verschillende spraakmakende incidenten – organisaties van grote waarde en organisaties aangevallen die belangrijke diensten verlenen. Dit waren onder andere een aanval op Viasat KA-SAT-modems in Europa middels AcidRain, door de Russische staat gesponsorde DDoS-aanvallen, de Colonial Pipeline-aanval, een ransomware-aanval op JBS Foods en een supply chain-aanval op Kaseya Limited.

Hoe maken cybercriminelen misbruik van kritieke infrastructuur?

Verschillende factoren dragen bij aan de verwoestende effecten op een organisatie. Hier volgen enkele van de manieren waarop cybercriminelen de mogelijkheden voor potentiële cyberaanvallen verkennen:

  • Het uitbuiten van kwetsbare systemen: ongepatchte en verkeerd geconfigureerde apparaten in de kritieke infrastructuur vormen een aanzienlijk risico. Aanvallers zoeken naar kwetsbaarheden in de standaard- en bedrijfseigen ICS-protocollen, waaronder MMS (Manufacturing Message Specification), GOOSE (Generic Object Oriented Substation Event) van de IEC 61850-standaard, MODBUS (supervisie en controle), DNP3 (energie en water), BACNET (gebouwautomatisering) en IPMI (Baseboard Management Control). Zij weten dat het beperken van schade niet altijd mogelijk is en proberen deze zwakke punten uit te buiten.
  • Het uitvoeren van denial-of-service (DoS)-aanvallen: kwaadwillenden kunnen zich toegang verschaffen via een aangetast IT-systeem, verkenning uitvoeren en zich lateraal naar het OT-netwerk verplaatsen om een denial-of-service-aanval uit te voeren.
  • Het inzetten van ransomware en/of wipers: een recent rapport van CISA laat een toename zien van geraffineerde ransomware-incidenten met grote gevolgen voor organisaties met kritieke infrastructuur. CISA, de FBI en de NSA hebben incidenten met ransomware waargenomen in 14 van de 16 Amerikaanse kritieke infrastructuursectoren, waaronder de Defense Industrial Base, Emergency Services, Food and Agriculture, Government Facilities en Information Technology Sectors. Zij hebben ook vastgesteld dat verscheidene ransomware-groepen code hadden ontwikkeld om kritieke infrastructuur of industriële processen te stoppen.

Aanbevolen actieplannen om ICS-systemen te beschermen

Het beveiligen van de infrastructuur vereist een nieuwe aanpak voor het beperken van cyberaanvallen die gericht zijn op de kwetsbaarheden binnen OT/ICS-systemen. Hier volgen enkele aanbevolen actieplannen die zullen helpen essentiële OT-activa te beschermen in de onderling verbonden wereld van vandaag:

  • Voer regelmatig security assessments van OT-systemen (ICS/SCADA) uit.
  • Identificeer OT- en IT-netwerken en implementeer netwerksegmentatie tussen IT- en OT-netwerken. Netwerksegmentatie beperkt de mogelijkheden van kwaadwillenden om op het OT-netwerk over te schakelen; zelfs als het IT-netwerk gecompromitteerd is.
  • Identificeer bedrijfsmiddelen in het OT-netwerk en elimineer mogelijke kwetsbaarheden over een grote reeks aanvalsvectoren.
  • Beveilig endpoints om verdachte, kwaadaardige activiteiten in industriële netwerken te onthullen. Identificeer, detecteer en bestudeer verdachte activiteiten die duiden op laterale bewegingen binnen IT- en OT-netwerken.
  • Bescherm inloggegevens. Russische, door de staat gesponsorde APT-actoren maken gebruik van buitgemaakte inloggegevens.
  • Implementeer procedures voor gegevensbackup op zowel het IT- als het OT-netwerk. Test backup-procedures regelmatig en zorg ervoor dat backups worden geïsoleerd van het netwerk, om zo de verspreiding van malware tegen te gaan.

Conclusie

Kritieke infrastructuur is van vitaal belang voor de veiligheid en gezondheid. Deze essentiële diensten worden vaak onderhouden door organisaties met kleine budgetten die gebruikmaken van verouderde hardware en software.

Om de veiligheid van essentiële bedrijfsmiddelen te waarborgen, moeten organisaties robuuste actieplannen opstellen. Deze plannen moeten autonome endpointbeveiligingscontroles omvatten die de noodzaak van een groot SOC kunnen verminderen, terwijl het ICS-netwerk continu wordt bewaakt op verdachte en kwaadaardige activiteiten.

Dit is een ingezonden bijdrage van SentinelOne. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.