Alfred Pennyworth, de butler van Batman, zei ooit: “Sommige mannen zijn niet op zoek naar geld, zij willen gewoon de wereld zien branden”. Pennyworth’s woorden zijn relevant bij het bespreken van het doel van aanvallen op Industrial Control Systems (ICS) en Operational Technology (OT).

Een bijdrage van Dean Parsons, SANS Institute en CEO en Principal Consultant bij ICS Defense Force

De sterke groei van dit soort aanvallen vloeit voort uit onder meer geopolitieke spanningen, groeiende (zakelijke) digitalisering en IoT. Bovenal zijn deze aanvallen vaak specifiek gericht op kritieke infrastructuren (denk in Nederland aan de Rotterdamse haven of de Botlek). Eenmaal ‘binnen’ kunnen kwaadwillenden controlesysteemomgevingen beïnvloeden. Hierdoor dienen organisaties strategieën vóór en na de aanval voor te bereiden om zo de impact te minimaliseren. Een jaar geleden werden twee Australische mijnbouw- en metaalbedrijven het slachtoffer van een ICS/OT-aanval. TrickBot is een modulaire tool waarmee aanvallers e-mails en inloggegevens verzamelen en na het downloaden extra malware op een netwerk implementeren. Dit incident toont het groeiende tijdperk van cyberrisico’s aan en onderstreept het belang van getraind personeel met een technische achtergrond die ICS-netwerken effectief kunnen monitoren.

Vijf componenten

Een recent whitepaper van SANS Institute schetst de noodzaak voor een effectieve ICS/OT-beveiliging. Het rapport stelt dat preventievooroordelen een veel voorkomend thema is binnen cybersecurity-gemeenschappen. Hier zijn tussen de 60 tot 95% van de meest bekende en gebruikte security frameworks preventief van aard en loopt men achter met detectie en respons (waarin slechts 5% van middelen wordt geinvesteerd). Door toenemende ICS-aanvallen moeten organisaties zich goed voorbereiden.

Copy+paste van IT-beveiligingsmaatregelen in ICS- en OT-omgevingen kunnen negatieve gevolgen hebben: traditionele IT richt zich op data in rust of op data die onderweg zijn. ICS-systemen richten zich op data die fysieke invoerwaarden vertegenwoordigen en fysieke uitvoer controleren. ICS-omgevingen in ICS-sectoren moeten rekening houden met ICS-specifieke controles in plaats van IT-beveiligingscontroles. Het adopteren van een succesvol ICS/OT security framework bevat vijf kritische controles:

#1 ICS Incident Response

Een operationeel geïnformeerd incidentresponsplan is ontworpen met gerichte systeemintegriteit en herstelmogelijkheden om de complexiteit van het reageren op aanvallen in operationele omgevingen te verminderen. Ze vergroten ook de operationele veerkracht door de analyse van de hoofdoorzaak van potentiële storingsgebeurtenissen te vergemakkelijken. | Download het FERM Incident Responsplan hier

#2 Verdedigbare architectuur

Een effectieve verdedigbare ICS-architectuur ondersteunt zichtbaarheid, logboekverzameling, identificatie van bedrijfsmiddelen, segmentatie, industriële gedemilitariseerde zones en handhaving van procescommunicatie. Het helpt de kloof tussen technologieën en mensen te overbruggen.

“Een operationeel geïnformeerd incidentresponsplan is ontworpen met gerichte systeemintegriteit en herstelmogelijkheden om de complexiteit van het reageren op aanvallen in operationele omgevingen te verminderen. Ze vergroten ook de operationele veerkracht door de analyse van de hoofdoorzaak van potentiële storingsgebeurtenissen te vergemakkelijken.”

Dean Parsons, SANS Institute en CEO en Principal Consultant bij ICS Defense Force

#3 ICS-netwerkzichtbaarheidsmonitoring

Vanwege het ‘systemen van systemen’-karakter van ICS-aanvallen is het van belang om continue netwerkbeveiligingsmonitoring van de ICS-omgeving te implementeren met protocolbewuste toolsets en systemen voor system interaction analysis. Deze mogelijkheden kunnen operationele teams informeren over mogelijke kwetsbaarheden die moeten worden verholpen.

#4 Beveiliging van toegang op afstand

Door cloud based werkstructuren maken tegenstanders steeds vaker misbruik van toegang op afstand om OT-netwerken te infiltreren. In het verleden liep het primaire aanvalspad naar een OT-netwerk via het IT-netwerk van die organisatie, maar nu kunnen bedreigingsactoren ook hun hele ecosysteem van de supply chain benutten.

#5 Risk based kwetsbaarheidsbeheer

Een op risico gebaseerd programma voor kwetsbaarheidsbeheer stelt organisaties in staat de ICS-kwetsbaarheden te definiëren en te prioriteren. Vaak zijn het kwetsbaarheden waardoor onwelwillenden toegang kunnen krijgen tot het ICS of nieuwe (kwaadwillende) functionaliteit introduceren.

Deze vijf ICS-specifieke controles vormen een ICS-beveiligingsprogramma voor de kritieke infrastructuur in alle sectoren, op unieke wijze afgestemd op hun eigen risicoprofiel en technisch beveiligingsbeheer. De inspanningen van het hele bedrijf worden gecombineerd door de kracht van flexibele controles en goed gedefinieerde processen, die de groei van de inspanningen en de vastberadenheid van de organisatie benadrukken om gelijke tred te houden met de steeds snellere aard van ICS-aanvallen.

Door een op beveiliging gerichte strategie te creëren, die prioriteit geeft aan de veiligheid van het engineeringproces, kunnen organisaties met kritieke infrastructuur proactieve maatregelen nemen om hun verdediging tegen kwaadaardige aanvallers en slechte mannen te versterken, om hun mensen, gemeenschap en bedrijf te beschermen. Net als Batman.

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.
Besluit je na 3 maanden om participant te blijven, dan krijg je 1/3 van de fee ook direct als voucher retour.

Vind FERM ook op LinkedIn

Deel dit bericht