Aanvallen op de software supply chain hebben de technische wereld op scherp gezet. De gecompliceerde netwerken met uiteenlopende benaderingen van verschillende bedrijven en hun leveranciers zorgt voor een jungle van moeilijk te controleren systemen.
Connecties met het open netwerk of partnernetwerken blijven grotendeels onbekend en controles op ongewenste indringers en kwaadaardige code eindigen vaak aan de rand van het it-ecosysteem. Er is meer inzicht nodig om het aanvalsoppervlakken te verkleinen en alle datastromen binnen (en buiten) de organisatie te beschermen. Welke lessen moeten aanbieders van kritieke infrastructuur hebben geleerd een jaar na de Collonial Pipeline-hack?
Ongebruikte vpn-verbinding
De kwetsbaarheid waarmee de hackers de Colonial Pipeline konden infiltreren, was een ongebruikte vpn-verbinding. De cybercriminelen konden deze verbinding als gateway gebruiken omdat deze geen gebruik maakte van multi-factorauthenticatie en evenmin werd gecontroleerd op verdacht gedrag. Sinds deze spraakmakende aanval hebben veel bedrijven hun controles op dit soort kwetsbaarheden opgevoerd.
Cybercriminelen zitten echter niet stil. Er zijn chats gevonden op het darkweb waarin medewerkers van vitale organisaties tot dertigduizend dollar wordt aangeboden voor hun inloggegevens. Dit type insider-aanval omzeilt standaardbeveiligingscontroles en blijft meestal onopgemerkt door traditionele it-beveiliging. Ze vormen daarom een enorm gevaar: het maakt niet uit of de aanvallers hun authenticatie-informatie verkrijgen met medeweten van de gebruikers of dat ze deze achterhalen via phishing of andere hacktechnieken. Hoe dan ook is het belangrijk te beseffen dat de gebruiker nog steeds de zwakste schakel is in het beschermen van kritieke infrastructuur.
Technologische oplossingen moeten zich dus richten op het monitoren van afwijkend gedrag van individuele medewerkers. Een gedragsrisicoanalyse kan een oplossing zijn. Als een gebruiker plotseling toegang zoekt naar applicaties die niet passen bij zijn functieprofiel, moeten de alarmbellen afgaan. Tegenwoordig kan zogenaamde misleidingstechnologie dergelijk ongewoon gedrag aan het licht brengen met behulp van honey pots.
Windows 98- of XP-laptops
Dat kritieke infrastructuur kwetsbaar is voor supply chain-aanvallen is niet nieuw. Al langere tijd is de beveiliging van dergelijke infrastructuren verwaarloosd. Operationele technologie (ot)-systemen zijn vaak niet gekoppeld aan klassieke it-beveiliging. Bovendien bestaat de noodzaak om continuïteit te waarborgen. Dit kan niet zomaar worden stilgelegd voor upgrades. Door de lange levensduur van de productie- en controlesystemen voor vitale infrastructuren zijn er ook veel oudere besturingssystemen met deels verouderde software in deze omgeving. Het is niet ongebruikelijk dat technici vertrouwen op Windows 98- of XP-laptops om de firmware bij te werken. Er is geen twijfel dat deze apparatuur, die lang niet altijd zijn geüpdatet of gepatcht, een veiligheidsrisico kunnen vormen.
Naast het risico dat voortkomt uit de lange levensduur van ot-systemen en -apparatuur, zijn modernere systemen meestal al via sensoren naar de cloud uitgebreid en vereisen daarom een overgang naar het internet. Ook hier zijn er aanvalsvectoren die de aandacht van it-teams vereisen. Elke verbinding van derden via vpn’s betekent mogelijke toegang tot netwerkinfrastructuren. Het concept van privileged access op afstand via een browser kan hier de nodige veiligheid bieden. De medewerker heeft geen toegang meer tot de gehele netwerkomgeving maar kan wel de nodige upgrades of updates uitvoeren. Een dergelijke aanpak wordt mogelijk gemaakt door zero-trust en zijn op beleid gebaseerde, granulaire toewijzing van toegangsrechten op applicatieniveau.
Grenzen van de it-omgeving
Om productiesystemen en operationele technologie efficiënt te beveiligen, moet beveiliging vanuit it convergeren met de ot-omgeving. Zero-trust heeft zijn weg gevonden als onderdeel van hybride werkomgevingen voor toegang op afstand. In een volgende stap zou het onbeperkte overzicht van software die beschikbaar is in een bedrijfsinfrastructuur moeten worden vastgelegd. Het verantwoordelijkheidsgebied van de cio moet verder reiken dan de grenzen van de it-omgeving. Alleen als er wordt geïnventariseerd wat er in het bedrijf wordt gebruikt en wat nog onopgemerkt in de ot-infrastructuur sluimert, zijn hiaten worden te signaleren en defensieve maatregelen te nemen.
Het inzicht in ot-systemen werd vaak verwaarloosd en aanvallen zoals de Colonial Pipeline-hack tonen duidelijk het potentiële gevaar. Het overdragen van kennis en op zero-trust gebaseerde oplossingen geeft het nodige inzicht in alle datastromen en beveiligt de toegang van derden tot kritieke infrastructuren. En met behulp van threat intelligence kunnen operators naadloos alle datastromen monitoren.
