Ze zijn minder zichtbaar dan laptops, tablets en smartphones, maar daarom niet minder bepalend voor ons dagelijks leven: de zogenaamde Industrial Control Systems (ICS) en SCADA-systemen (Supervisory Control and Data Acquisition).
Deze systemen regelen cruciale nutsvoorzieningen zoals water of stroom en zijn onmisbaar in de procesindustrie voor het besturen van tal van activiteiten. Onder ICS en SCADA zijn ook de HVAC-omgevingen voor klimaatcontrole en de CCTV-systemen voor toegangscontrole te scharen. Gezamenlijk vervullen ze een kritische rol en zijn daardoor gevoelig voor aanvallen van cybercriminelen.
Kwetsbaarheden
ICS-omgevingen en SCADA-systemen zijn ouder dan de kantoorautomatiseringssystemen. Ze maken gebruik van verschillende en vaak merkgebonden protocollen. Deze zijn ontwikkeld voor volledig geïsoleerde omgevingen, waardoor er niet of nauwelijks is gekeken naar mogelijke veiligheidsissues. Daar komt bij dat steeds meer organisaties hun ICS- of SCADA-systemen de laatste jaren hebben verbonden met het internet om bijvoorbeeld data te verzamelen of processen op afstand te besturen. Dat heeft gezorgd voor meer onveiligheid. Al in 1997 zijn de eerste serieuze kwetsbaarheden ontdekt.
Steeds meer organisaties hebben hun ICS- of SCADA-systemen verbonden met het internet. Dat heeft gezorgd voor meer onveiligheid.
Stroomuitval
Dat heeft onder meer geleid tot aanvallen die brede publiciteit hebben getrokken. In 2015 kwam in Oekraïne een groot aantal huizen zonder stroom te zitten na een cyberaanval op een elektriciteitscentrale. In hetzelfde jaar meldde Verizon dat een niet nader genoemd waterleidingbedrijf het slachtoffer was van online aanvallers die erin slaagden de samenstelling van het drinkwater aan te passen. De aanvallers wisten bepaalde Programmable Logic Controllers (PLC’s) over te nemen en zo het productieproces te beïnvloeden.
Het kan lang duren voordat een virus tot leven komt, wat de detectie ervan bemoeilijkt
Aanvalsfasen
Bij een aanval op een kritisch systeem is de Cyber Attack Lifecycle niet wezenlijk anders dan bij de aanval op een modern datacenter of endpoints. Deze verlopen in de regel in zes stappen.
Fase 1: Verkenning
De hackers gaan op jacht naar hun potentiële doelwitten en zoeken de zwakke plekken. Ze dringen binnen via de aanwezige beveiliging, webapplicaties, interne apparaten of via met internet verbonden systemen. Ze doen dit door een gat te slaan in de beveiliging, phishing-mails, een inbraak in het pand of door een medewerker om te kopen.
Fase 2: De eerste aanval
Een aanval op een ICS- of SCADA-systeem verloopt meestal via besmetting van een laptop of pc die aan het interne netwerk is gekoppeld en zo verbinding heeft met de industriële systemen. Overigens is een aanval ook mogelijk via een onverwachte ingang, zoals een point-of-sale-apparaat, een medisch apparaat, persoonlijke smartphones of tablets, printers en internet of things-devices zoals slimme thermostaten.
Fase 3: Hacker aan de macht
Het eerste binnengedrongen apparaat wordt gebruikt als springplank naar het volledige netwerk. Het kan heel lang duren voordat een virus tot leven komt wat de detectie ervan bemoeilijkt.
Fase 4: Tijd om te verspreiden
Wanneer de aanvaller eenmaal een plek heeft gevonden in het interne netwerk, zoekt hij een weg naar andere systemen. Daarbij zal hij zich als het kan, voordoen als geautoriseerde gebruiker. Zo blijft zijn bestaan meestal onopgemerkt. Dit proces wordt ook wel ‘lateral movement’ genoemd.
Fase 5: Doel bereikt
In deze fase heeft de hacker meerdere ingangen tot de systemen en mogelijk al honderden of duizenden interne systemen besmet.
In de laatste fase van de Cyber Attack Lifecycle is de schade voor de organisatie aanzienlijk, wanneer de aanval niet tijdig wordt afgeslagen. De hacker steelt data, gaat processen verstoren of beïnvloeden of dreigt daarmee.
Bescherming
Hoe kan een organisatie zich beschermen tegen aanvallen op haar ICS- en SCADA-omgevingen? Om te beginnen is het van belang om inzicht te creëren in alle systemen die via het internet te benaderen zijn. Daarbij kan het raadzaam zijn om te bepalen of internetverbinding echt nodig is voor het bedrijfsproces. Inzicht op papier is niet hetzelfde als praktisch inzicht. Daarom is het zaak om de papieren werkelijkheid in de praktijk te toetsen met een scantool en met periodieke penetratietests.
Platform creëren
Verder zijn uiteraard up-to-date firewalls en antivirussoftware belangrijk, maar onvoldoende om een organisatie volledig te beveiligen tegen cyberaanvallen. Daarvoor is een omvattend Security Intelligence Platform nodig, dat voorziet in slimme, zelflerende beveiligingssoftware. Deze intelligente beveiliging verzamelt bedrijfsgegevens op één locatie en levert rapportages, inzichten en alerts. Met deze software, die bijvoorbeeld afwijkend gebruikersgedrag signaleert, is een proactieve verdedigingslinie te creëren. Door op het juiste moment de juiste informatie te leveren, is er minder tijd en geld nodig om een bedreiging te ontdekken en aan te pakken.
Threat Lifecycle Management
Een dergelijk platform is de basis voor end-to-end Threat Lifecycle Management. Dat is een gestroomlijnd, intern proces van slimme monitoring, geautomatiseerde actie en snel herstel. De stappen in dat proces zijn:
- Verzamelen van informatie door gecentraliseerde, geautomatiseerde, beschermende monitoringssystemen.
- Creëren van inzicht in de IT-omgeving.
- Kwalificeren van opgespoorde bedreigingen.
- Onderzoeken van de bedreigingen met behulp van geautomatiseerde, organisatiebrede systemen.
- Neutraliseren van de bedreigingen.
- Herstellen van de oude situatie.
Dit vereist naast de traditionele beveiligingsmiddelen aan de randen van het netwerk geavanceerde monitoring en User and Entity Behavior Analytics (UEBA), waarmee een organisatie bedreigingen vroegtijdig op het spoor komt en zo direct tegenmaatregelen te nemen zijn.
Rob Pronk, Regional Director Central and Northern Europe bij LogRhythm
>> Dit artikel is ook te lezen in Security Management nummer 9
>> Wilt u weten hoe u de digitale weerbaarheid van uw organisatie kunt vergroten, download dan hier de whitepaper Trends in cybersecurity.