FERM Port Cyber Café
News 17 september 2020

Verslag FERM Port Cyber Café: legacy systemen in IT en OT

Vanmiddag vond een nieuwe editie van het FERM Port Cyber Café plaats. Een virtuele bijeenkomst uiteraard, volledig in het teken van updaten: niet lullen maar patchen! En hoewel het eigenlijk weer een Port Cyber Kantoor is deze keer, voor de tweede maal op rij, blijven we het natuurlijk Port Cyber Café noemen.

Virtueel Port Cyber Café: legacy systemen

Het Port Cyber Café staat deze keer in het teken van legacy systemen en het up-to-date houden van IT en OT. Alom bekend is het advies om je software regelmatig te updaten met de laatste versie, of in goed Rotterdams ‘niet lullen maar patchen’. Maar waar standaard kantoorautomatisering en IT-toepassingen regelmatig nieuwe versies van hun software uitbrengen, is de keuze voor OT zoals besturingssystemen vaak eenmalig en/of specifiek voor de toepassing ontwikkeld. Daardoor kunnen nieuwe en oudere technologie door elkaar heen gaan lopen. Welke risico’s ontstaan er, en hoe kan je daar effectief mee omgaan?

Om daar in deze FERM-bijeenkomst opnieuw bij stil te staan – in ons overzicht met verslagen van eerdere edities vind je meerdere sessies rond IT/OT –, hebben we na de gebruikelijke 'actualiteitenintro' van vaste moderator Chris van ’t Hof (van nieuwsberichten over patching tot de laatste Grapperhausjes) tijd ingeruimd voor een presentatie van Sebastiaan Koning, om vervolgens in gesprek te gaan aan de hand van enkele stellingen. Het doel was ook deze keer om er een interactieve sessie van te maken, dus met alle gelegenheid om vragen te stellen via de chat – waar na een rustige start in de chat toch weer dankbaar gebruik van werd gemaakt. 

Sebastiaan Koning is Senior Cybersecurity Consultant bij cyber security solution provider Hudson Cybertec. Zijn presentatie is gericht op Legacy & Patch Management voor Industrial Automation & Control Systems (IACS), wat praktisch in drie onderdelen werd verdeeld.

Deel 1: Patchen in IACS  wel of niet?

"Waarom patchen als het werkt?" is een veel gehoorde vraag. Er moet immers altijd een reden zijn om een update door te voeren, nietwaar? Bovendien is het vaak een vervelende handeling, of komt het net even niet uit om een en ander door te voeren. Dat kennen we allemaal wel, zo'n pop-up die verzoekt om een nieuwe update te installeren – die worden iets te vaak weer weggeklikt.

Tegelijkertijd zijn er een toenemend aantal cyberdreigingen – kwetsbaarheden, gerichte aanvallen en allerhande bijkomstige schade – die maken dat patchen juist alleen maar belangrijker. En dat is niet alleen maar een gevoel, want met een grafiek laat Sebastiaan zien dat er sinds 2010 een dramatisch groei in vulnerabilities valt waar te nemen.

Daarom is het van groot belang voor alle assets (IT en OT) in kaart te brengen welke risico's er spelen. Zijn deze risico's digitaal (cyber) of fysiek (mechanisch)? Bestaan er patches? Wat zijn de gevolgen als een update mislukt? Is er wel een reden dat een update nodig is? Omdat we specifiek praten over het updaten van legacy systemen, moeten we namelijk wel rekening houden met de potentiële risico's die de updates zelf meebrengen, bijvoorbeeld: een afwijkende werking na de update; corrupte configuratie; apparaat (her)start niet door een firm-/hardware defect – et cetera. Daarom is er een concreet stappenplan voor updates voor IACS: een bruggetje naar deel 2. 

Deel 2: Patchprocedure voor IACS

In het tweede blok is er aandacht voor The Patch State Model: een op het oog complex plaatje waarin bij nadere inspectie heel overzichtelijk te vinden is welke stappen je kunt of moet nemen in welke situatie. Dat proces valt ook in een tweede grafische weergave te vangen: een circulair proces dat de volgende 5 fases doorloopt: Patch testing -> Patch deployment -> Verification & reporting -> Information gathering -> Monitoring & evaluation. 

Uiteraard zijn die verschillende fases ook weer in een aantal stappen te vangen. Voor patch testing doorloop je bijvoorbeeld 'file authenticity', 'review changes', 'install procedure', 'qualification & verification', 'removal/roll-back procedure' en 'risk mitigation'. Werk stap voor stap en nauwkeurig, en gebruik een checklist: 

- Zorg voor een duidelijk RACI (Het RACI-model is een matrix die gehanteerd wordt om de rollen en verantwoordelijkheden van de personen die bij een project of lijnwerkzaamheden betrokken zijn weer te geven)

- Zorg voor een actueel overzicht van alle assets

- Zorg voor geverifieerde back-ups voor het patchen

- Zorg voor een representatieve testomgeving, die overeenkomt met de werkelijkheid

- Zorg voor een gefaseerde uitrol en een emergency procedure 

- Track, validate & report

Deel 3: Wat te doen als patchen niet mogelijk is

Rondom IACS-patchbeleid moet gezorgd worden voor mitigerende maatregelen, zowel organisatorisch (beleid en procedures, bewustwording, standaardiseren) als technisch (firewalls, uitschakelen of verwijderen van features, anticiperen op product lifecycles, virtual patching). In het slotstuk van de bijeenkomst werd in de presentatie onder meer virtual patching behandeld als voorbeeld van een alternatieve aanpak. Virtual patching is het snel ontwikkelen en op korte termijn implementeren van een beveiligingsbeleid dat bedoeld is om te voorkomen dat er een uitbuiting plaatsvindt als gevolg van een nieuw ontdekte kwetsbaarheid. Een virtuele patch wordt ook wel een web applicatie firewall (WAF) genoemd.

Een patch is een snelle reparatieopdracht voor een stukje programmering. Meestal wordt een patch ontwikkeld en gedistribueerd als vervanging voor, of toevoeging aan, gecompileerde code. Een applicatie-firewall is een verbeterde firewall die de toegang tot het OS (besturingssysteem) van een computer door specifieke applicatieprogramma's beperkt. Een virtuele patch analyseert transacties met behulp van de beveiligingshandhavingslaag om te voorkomen dat kwaadwillig verkeer de kwetsbare applicatie bereikt. De virtuele patch voorkomt, indien deze effectief is, dat de exploitatie plaatsvindt zonder de broncode van de applicatie te wijzigen. Deze aanpak biedt verschillende voordelen ten opzichte van conventionele patches. 

Daarnaast is monitoren een optie. Een passieve uitlezing van de huidige situatie levert geen verstoring van de communicatie op. Kies wel voor een OT-gerichte oplossing (herkenning van OT-protocollen en datapatronen). Het is direct toepasbaar, zelfs op oude installaties. 

Over FERM en de Port Cyber Cafés

FERM is onderdeel van het Port Cyber Resilience Programma. Doel van het programma is het stimuleren van samenwerking tussen bedrijven in de Rotterdamse haven en het verhogen van het bewustzijn met betrekking tot cyberrisico’s om zo de best digitaal beveiligde haven van de wereld te worden.

De FERM Port Cyber Cafés zijn bedoeld om met experts uit het vak samen in een informele setting dieper in een actueel onderwerp rond cybersecurity in het Rotterdamse Havengebied te duiken. Kijk voor verslagen van eerdere edities op ferm-rotterdam.nl/port-cyber. De volgende bijeenkomst vindt plaats op donderdag 19 november.