Mijn complimenten als uw organisatie heeft besloten om een kwetsbaarhedenanalyse (vulnerability assessment) te laten plaatsvinden of de opdracht heeft gegeven aan een cybersecuritybedrijf om een penetratietest (pentest) uit te laten voeren op uw infrastructuur, webapplicaties, mobiele apps of softwarecode. Hieruit blijkt dat u cybersecurity-bewust bent en belang hecht aan de cyberweerbaarheid van uw organisatie. Bravo!
Hoewel deze tools stuk voor stuk individueel goed zijn en in combinatie met elkaar vaak nog beter zijn, bieden zij niet de vereiste cyberweerbaarheid die een organisatie nodig heeft in de huidige uitdagende wereld. Hierin vinden steeds geavanceerdere aanvallers innovatieve manieren om toegang te krijgen tot de infrastructuur van uw organisatie.
Exploitabillity
Begrijp mij niet verkeerd, een kwetsbaarhedenanalyse is nog steeds een goed idee op het moment dat er een voorbereidend plan aan ten grondslag ligt en duidelijk is bepaald hoe de resultaten van deze analyse worden gemanaged. Een pentest is dan vaak de volgende stap om de uitbuiting (exploitabillity) van de ontdekte kwetsbaarheden te testen, zodat deze kunnen worden gemanaged en de situatie kan worden verbeterd. Pentesting wordt ook aangeraden als van tevoren duidelijk is welk apparaat, systeem of element van het netwerk van de infrastructuur moet worden getest en waarom. Dit gebeurt omdat er een security-incident heeft plaatsgevonden, dat andere tests kwetsbaarheden hebben aangetoond, dat de organisatie aan nieuwe regels moet voldoen of dat het wordt vereist door een verzekeraar.
Het probleem met beide benaderingen is echter dat ze de cyberweerbaarheid van de organisatie slechts voor een beperkt deel (van de infrastructuur) en voor een korte periode vergroten. Vooral die korte periode is een probleem. Als de pentest gereed is en het project is afgerond, dan kunnen de volgende dag weer nieuwe kwetsbaarheden worden ontdekt. Daarnaast zijn een kwetsbaarhedenanalyse en een pentest voornamelijk gericht op het it-domein en worden de ot- en iot-domeinen niet of nauwelijks bekeken.
Blinde vlek
Dit heeft als gevolg dat bepaalde ‘blinde vlekken’ (mogelijke kwetsbaarheden in het ot- en iot-domein) niet worden gedetecteerd, die vervolgens door hackers kunnen worden misbruikt om toegang te krijgen tot de infrastructuur van de organisatie. Technisch gezien moet namelijk na elke update op ieder relevant systeem, de gehele technische infrastructuur opnieuw worden getest en ge-audit, wat uiteindelijk een repetitieve pentest noodzakelijk maakt, maar ook uiterst kostbaar wordt.
Een standaard pentest is sowieso al kostbaar vanwege de vereiste voorbereidingstijd, de uitvoering (enkele dagen tot weken), de benodigde analyses en het gedetailleerde eindrapport dat moet worden opgesteld. Met andere woorden, een pentest is een dure momentopname van de huidige situatie die 24 uur nadat hij heeft plaatsgevonden achterhaald kan zijn. Dit betekent concreet dat het ot-/iot-aanvalsoppervlak (aanvalsoppervlak is het geheel van mogelijke toegangsvectoren voor hackers) van de geteste organisatie niet optimaal is afgedekt met als gevolg dat er blinde vlekken open blijven voor hackers. En een hacker heeft maar één blinde vlek nodig om toegang te krijgen.
Menselijke fouten
Om deze blinde vlekken te voorkomen, zouden organisaties – naast een kwetsbaarhedenanalyse en/of pentest – moeten kiezen voor continue securitymonitoring van de gehele ot-/it-/iot-infrastructuur. Niet alleen het ‘continue’ aspect is belangrijk in dit verhaal, maar ook het monitoren van de ot- en iot-elementen op securityaspecten is essentieel. De securitymonitoring dient continu plaats te vinden om de simpele reden dat de infrastructuur van een organisatie constant in beweging is. Regelmatig worden nieuwe kwetsbaarheden ontdekt, gaan systemen kapot en/of worden vervangen en maken mensen fouten (lees: verkeerde configuraties of onjuiste implementaties van systemen).
Een ander argument om ook de ot- en iot-systemen 24/7 te monitoren, is dat een verandering in de infrastructuur niet alleen geldt voor it-systemen, maar evenzo van toepassing is op ot- en iot-systemen. Neem bijvoorbeeld een temperatuursensor (iot) van een koelcel of in een datacenter die kapot gaat en moet worden vervangen. Als deze vervanging niet wordt gemonitord op security, dan kan deze sensor onbeveiligd en direct aan het internet worden gekoppeld, met alle gevolgen van dien. Dat lijkt dan ogenschijnlijk een kleine blinde vlek, maar kan verstrekkende gevolgen hebben.
Aantrekkelijke doelen
Daarnaast is het goed te beseffen dat het aantal cyberaanvallen op ot- en iot-systemen de laatste jaren aanzienlijk is toegenomen. Deze toename is een logisch gevolg van het feit dat deze systemen vaak aan het interne netwerk, en soms zelf rechtstreeks aan het internet, worden gekoppeld. Aangezien deze systemen nooit secure by design voor het internet zijn ontwikkeld en meestal geen of minimaal ingebouwde securitytools hebben, zijn deze systemen inherent onveilig en kwetsbaar. Dit maakt deze systemen zeer aantrekkelijke doelen voor hackers.
Om de cyberweerbaarheid te verbeteren, hetgeen ook wordt vereist in de NIS2-directive, moeten organisaties volledige zichtbaarheid hebben over hun complete ot-/it-/iot-infrastructuur. Simpelweg omdat men niet kan beveiligen waar men geen zicht op heeft en niet weet. Zodra de gehele infrastructuur inzichtelijk is gemaakt, zal deze ook constant moeten worden gemonitord op security. Hierbij is het wel van belang dat deze securitymonitoring wordt verricht vanuit een security operations center met analisten die ook daadwerkelijk kennis hebben over de ot-/iot-omgeving en wijzigingen in de infrastructuur kunnen duiden. Deze monitoring is een uiterst belangrijke aanvulling op de kwetsbaarhedenanalyse en de pentest. In tegenstelling tot een kwetsbaarhedenanalyse of pentest is deze continue securitymonitoring geen momentopname of een snapshot van de huidige situatie. Een ander verschil met een kwetsbaarhedenanalyse of pentest is dat deze monitoringaanpak zich niet beperkt tot aanvallen van buiten, maar ook alle infrastructurele veranderingen en dus ook configuratiewijzigingen van de interne systemen en netwerken detecteert.
Continue securitymonitoring
Samenvattend is te concluderen dat een kwetsbaarhedenanalyse of een pentest weliswaar een bijdrage levert aan het verbeteren van de cybersecurity van een organisatie, maar wel een beperkte. Echter, als een organisatie haar cyberweerbaarheid daadwerkelijk wil verbeteren en ook wil voldoen aan internationale compliance-standaarden zoals de NIS2, dan mag continue securitymonitoring niet ontbreken. Een kwetsbaarhedenanalyse is goed; een additionele pentest is beter, maar een combinatie met continue securitymonitoring is het beste!
