Een recent rapport van The Shadowserver Foundation, waaruit blijkt dat Nederland ruim duizend onveilige ‘end-of-life’ (EoL) systemen telt die direct aan het internet hangen, schetst een zorgelijke situatie. Toch is dit probleem helaas niet nieuw, het is een fenomeen dat in alle sectoren en in verschillende vormen terugkomt. De vraag die elke CISO en IT-manager zichzelf moet stellen is: waarom gebruiken we deze systemen eigenlijk nog?
De praktijk is complex. Vaak ligt de oorzaak in interne processen die simpelweg niet waterdicht zijn. Systemen raken uit het zicht wanneer er nieuwe beheerders in dienst komen, documentatie ontbreekt, of men weet na een reeks fusies of migraties simpelweg niet meer dat een specifiek device ergens in het netwerk hangt. In andere gevallen is het een kwestie van verkeerde zuinigheid; de prioriteit ligt bij innovatie en zolang een oud systeem zijn werk doet, wordt vervanging uitgesteld. Een schrijnend voorbeeld hiervan komt naar voren in het nieuwe Managed XDR Global Threat Report van Barracuda, waarin de meest gedetecteerde kwetsbaarheid stamt uit 2013 – deze is dus al 13 jaar bekend. Het gaat daarbij om een fout in een verouderd encryptie-algoritme dat gebuikt wordt in legacy systemen zoals oude servers, embedded devices en applicaties. Vooral in OT-omgevingen, waar bedrijfscontinuïteit en beschikbaarheid altijd de hoogste prioriteit hebben, laat men oude systemen liever ongemoeid uit angst dat een update gevolgen heeft voor de operaties.
Harde lessen uit de praktijk: De Poolse energiesector
Dat het hier niet om theoretische risico’s gaat, bewijst een recente analyse van de Poolse CERT naar aanleiding van een gerichte aanval op de energiesector. Deze aanval werd niet uitgevoerd via een geavanceerde zero-day kwetsbaarheid of iets dergelijks, maar door simpelweg gebruik te maken van digitale achterdeurtjes die wagenwijd openstonden. Het rapport laat zien dat kwetsbare, verkeerd geconfigureerde en verouderde apparatuur de rode loper uitlegde voor aanvallers.
Wanneer je deze aanval analyseert, zie je een keten van fouten bij de End-of-Life (EoL) scenario’s en structureel gebrekkig beheer op verschillende niveaus. Dit begon bij de netwerk-firewalls, die misbruikt konden worden omdat ze draaiden op firmware met lang bekende kwetsbaarheden. De beveiliging was hier minimaal: er was geen Multi-Factor Authenticatie (MFA) ingesteld, VPN-interfaces waren direct toegankelijk vanaf het internet via standaardwachtwoorden en in de configuratie werden zelfs hard-coded inloggegevens voor RDP-verbindingen aangetroffen.
Deze kwetsbaarheid zette zich voort bij de industriële controllers (RTU’s), kritieke componenten voor de procesaansturing die direct benaderbaar bleken vanaf het firewall-netwerksegment, opnieuw met standaard inloggegevens en verouderde firmware. Tot slot vormden ook de seriële device servers een groot risico; de webinterfaces van deze koppelingen tussen industriële apparatuur en het netwerk stonden wagenwijd open voor internetverkeer en waren slechts beveiligd met een fabriekswachtwoord.
De rol in de internationale cybercrime-wereld
De risico’s reiken verder dan alleen dataverlies. Deze apparaten kunnen ongemerkt onderdeel worden van een wereldwijde aanvalsketen. Statelijke actoren maken graag misbruik van dergelijke kwetsbare systemen, als springplank voor aanvallen op andere organisaties, of om ze op te nemen in een botnet voor grootschalige supply chain-aanvallen.
Dit herinnert bijvoorbeeld aan de Olympische Spelen van 2021 in Japan: tijdens de openingsceremonie werd de IT-infrastructuur gecompromitteerd. Uiteindelijk bleek dat de aanvallers simpelweg legitieme software en onbeveiligde ingangen hadden misbruikt. Wanneer je niet weet wat waar staat, ben je feitelijk blind voor de wat de aanvaller doet.
Voor een veiliger netwerk geldt: meten is weten
Het probleem kan vaak worden opgelost zonder enorme investeringen, maar het vereist wel een fundamentele verandering in processen. Hoe pak je dit aan?
1. Attack Surface Management (ASM): implementeer tools die je aanvalsoppervlak continu in kaart brengen. Je kunt pas beveiligen wat je ziet. Veel organisaties schrikken als ze zien welke ‘vergeten’ schaduw-IT er naar boven komt bij een scan.
2. Beperk het aantal systemen dat verbonden is met internet: systemen die niet publiek toegankelijk hoeven te zijn, horen simpelweg niet aan het internet. Denk bijvoorbeeld aan ERP-applicaties of mailservers; deze interfaces moeten achter een robuuste securitylaag zoals een moderne firewall of een Zero Trust-oplossing.
3. Zorg voor strikte netwerksegmentatie: zorg ervoor dat OT- en IT-netwerken strikt gescheiden zijn. Als een verouderd device gecompromitteerd wordt, moet de schade beperkt blijven tot dat ene, geïsoleerde netwerksegment.
4. Basishygiëne en monitoring: vervang standaardwachtwoorden direct, stel MFA in op elke toegangspoort en monitor continu het verkeer van en naar legacy-devices.
5. Vervanging als prioriteit: uiteindelijk is er geen alternatief voor modernisering. Het draaiende houden van verouderde systemen vanwege de beschikbaarheid is een vorm van schijnveiligheid die vroeg of laat de bedrijfscontinuïteit juist nekt.
De duizend systemen die Shadowserver in Nederland heeft geïdentificeerd zijn slechts het topje van de ijsberg. Het is tijd dat organisaties hun digitale ‘rommelkamer’ saneren voordat een aanvaller dat voor hen doet. Daarbij is het ook belangrijk om te beseffen dat de beveiliging van dit soort systemen en devices onderdeel moet zijn van compliance met de aankomende Cyberbeveiligingswet (Cbw; de Nederlandse vertaling van NIS2). De Cbw gaat organisaties verplichten om hun IT/OT‑landschap in kaart te brengen, risico’s te evalueren en maatregelen te treffen die de continuïteit waarborgen. Als een oud netwerk- of OT-device zo kwetsbaar is dat het de continuïteit in gevaar brengt, dan zijn organisaties binnen de Cbw aansprakelijk wanneer ze dat device toch laten draaien.
Dit is een ingezonden bijdrage van Barracuda. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.