De beveiliging van Operational Technology (OT)-omgevingen loopt enorm achter op die van IT-omgevingen. De gevolgen van een aanval op deze systemen kunnen rampzalig uitpakken. Tijdens de Tweakers Privacy & Security Meet-up laat Luciën Sikkens (CGI) zien hoe je inzicht krijgt in kwetsbaarheden met tooling zoals Wireshark, Nozomi Scadaguardian en de CGI-netwerkgrabber, gebaseerd op een Raspberry Pi.
De beveiliging van Operational Technology (OT-)systemen loopt zwaar achter op die van IT-systemen. Geen geruststellende gedachte, want OT is overal om ons heen aanwezig. Denk aan de lift waar je 's ochtends in stapt als je naar kantoor gaat, of de slagboom waarvoor je wacht wanneer er een trein langskomt. "Je moet er niet aan denken wat er gebeurt als hackers sluizen openzetten of met de watervoorziening in Nederland knoeien", zegt Luciën Sikkens, Director van het OT Security Centre of Excellence bij consultancybedrijf CGI. "Voor IT-beveiliging is veel aandacht. Terecht hoor. Je wil echt niet dat alle patiëntgegevens van een ziekenhuis plotseling in de verkeerde handen vallen. Maar tegelijkertijd is er meer bewustwording nodig rondom OT-beveiliging. De gevolgen van een aanval op deze systemen kunnen namelijk desastreus uitpakken. Je hoort nooit dat men zich zorgen maakt dat beademingsapparatuur gehackt wordt en daardoor platligt."
Zet een OT-bril op
Dus wat te doen? Best practices uit IT-security laten zich niet zomaar vertalen naar de OT-wereld. Luciën noemt een voorbeeld met een organisatie met honderden Windows XP-systemen in een industriële setting. "Met een IT-bril op zou je misschien zeggen: neem er afscheid van en ga naar Windows 10 of 11. Maar in deze omgevingen maakt men gebruik van programmable logic controllers (plc's), industriële computers die ontworpen zijn om jarenlang mee te gaan en soms niet beschikbaar zijn voor een nieuwere versie van een OS. Windows XP wordt bovendien gebruikt omdat de applicatie om een plc mee te programmeren vaak niet beschikbaar is voor nieuwere OS’en. Een ander voorbeeld: binnen IT-security zijn maatregelen zoals authenticatie en encryptie heel normaal. Vooral oudere OT-netwerken zijn insecure by design doordat ze gestript zijn van dergelijke maatregelen, om een zo hoog mogelijke beschikbaarheid te kunnen garanderen."
‘Vroeger’ waren dit soort kwetsbaarheden helemaal niet erg. Dit soort systemen was toch altijd al air gapped. "Dus met een hek eromheen en fysieke beveiliging op de locatie zelf. Alleen is er nu de uitdaging van Industrie 4.0, waarbij we willen dat alles cloud-connected wordt. Prima, maar als je een fabriek gaat connecteren met verkeer dat van buiten komt en het lukt een hacker om binnen te komen, dan bevindt hij zich in een walhalla. In zo'n omgeving zijn te weinig adequate securitymaatregelen getroffen."
Een probleem dat dan direct ook speelt, is dat een bedrijf gemiddeld slechts zo'n 60 tot 70 procent van de eigen assets goed in beeld heeft. Ook daardoor zijn de kwetsbaarheden en het attack surface van deze assets onbekend. Een hacker kan hiedoor ongezien in een OT-omgeving acteren. "Deels heeft dit te maken met de cultuur, als het gaat om security. Binnen OT-omgevingen is men vooral gefocust op fysieke veiligheid. Cyberrisico's zijn minder zichtbaar, maar dat wil natuurlijk niet zeggen dat deze dreigingen überhaupt niet bestaan."
Waarom non-intrusief analyseren zo belangrijk is
Door de (veiligheids)cultuur en de leeftijd van apparatuur is het vaak onduidelijk welke assets men allemaal heeft en waar de kwetsbaarheden zitten. De eerste stap om een OT-omgeving veiliger te maken, is het creëren van inzicht. "Wij doen dit met netwerk-analyseoplossingen. Dat kan bijvoorbeeld met producten zoals Nozomi Scadaguarian of alternatieven zoals Claroty of Forescout. Het is heel belangrijk dat wij dit non-intrusief doen." Hierbij speelt cultuur eveneens een belangrijke rol, vertelt Luciën. "Als we praten over IT-security, hebben we het over vertrouwelijkheid, integriteit en beschikbaarheid van data en systemen. Meestal ook in die volgorde. In een OT-omgeving is het precies andersom. Beschikbaarheid is, na fysieke veiligheid, het belangrijkste aandachtspunt. Het analysewerk dat we doen, mag daarom nooit van invloed zijn op de productieomgeving. Daarnaast is het van belang dat we ook de taal spreken van de OT-omgeving. In plaats van TCP/IP-communicatie heb je te maken met bus-protocollen. Talen die we niet spreken in IT, maar wel in OT. En als je een analyse uitvoert op een netwerk moet je weten welke plc's aanwezig zijn - bijvoorbeeld Siemens- of Yokogawa-systemen - en hoe deze werken. "
Luciën en zijn collega’s voeren doorgaans een zo breed mogelijke assessment uit in OT-omgevingen. "We doen ook interviews met betrokken personen en lopen rond in de fabrieksomgeving om te kijken wat er geïnstalleerd is. In mijn sessie voor de Tweakers-meet-up zal ik wat meer focussen op de waarde die we halen uit de netwerkanalyse. We prikken in op het netwerkverkeer, capturen het en luisteren mee. In sommige gevallen kan dit heel simpel met Wireshark op een pc, maar het kan ook met een netwerkgrabber op een Raspberry Pi. Soms ook in combinatie met data-diodes, zodat er alleen verkeer naar buiten kan en niet andersom." De netwerkgrabbers nemen het verkeer lokaal op. Eenmaal ontkoppeld uit de omgeving kan Luciën de opname koppelen aan een omgeving met bijvoorbeeld gespecialiseerde Nozomi-analysesoftware.
Vacatures
Benieuwd naar het werk bij CGI? Bekijk dan onderstaande vacatures.
Raspberry Pi maakt het werk simpeler
"Omdat we over een lange periode netwerkverkeer capturen, zien we welke assets met elkaar communiceren en via welke protocollen. Dat geeft al veel informatie over waar kwetsbaarheden zich bevinden. Sommige protocollen, bijvoorbeeld SMB 1.x, worden veel gebruikt in ransomware-aanvallen. Dan moet je systemen gaan hardenen zodat je dit protocol niet meer kunt aanspreken."
Het gebruik van de netwerkgrabber geeft een aantal voordelen, vooral op plekken waar meerdere extractiepunten voor data nodig zijn om inzichten te krijgen. "Vroeger moest je dan met tien laptops naar een fabriek toe. Met tien Raspberry Pi's gaat dit veel simpeler, zeker omdat wij ze ook nog zo hebben voorgeconfigureerd dat een beheerder bij onze klant ze zelf in het eigen netwerk kan plaatsen zonder dat er kennis over Wireshark voor nodig is. Dat stelt ons in staat de apparaten te sturen naar locaties die minder toegankelijk zijn, bijvoorbeeld omdat ze zich in het buitenland bevinden of in een afgeschermde omgeving."
Wat kunnen deelnemers aan de Tweakers Meet-up Privacy & Security verwachten van de sessie van Luciën? "Ik wil hen graag een solide begrip bijbrengen van OT-omgevingen en hoe kwetsbaar ze zijn, maar ook waarom dat zo is. Vervolgens laat ik zien hoe je met een voor OT aangepaste aanpak de omgeving, de assets en de kwetsbaarheden inzichtelijk kunt maken om daarmee tot een mitigatieplan te komen. En als ik met mijn verhaal IT-professionals kan enthousiasmeren voor OT-security is dat nog eens extra mooi meegenomen!"
Benieuwd geworden naar de talk van Luciën tijdens de Tweakers Meet-up Privacy & Security? Meer weten over het programma of wil je alvast je tickets reserveren? Check het hier!
Dit artikel is geen redactioneel artikel, maar een advertorial en tot stand gekomen dankzij CGI en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers-events zoals Meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].
:strip_exif()/i/2003714424.jpeg?f=fpa)
:strip_icc():strip_exif()/u/299339/anonpict.jpg?f=community){kind=small}
/u/5028/assassins-creed-II-iconwarped.png?f=community){kind=small}
We/ze lossen het niet op, men blijft op iedere mogelijke manier muurtjes bouwen terwijl de afhankelijkheid alleen maar groeit + koppelingen met IT-attacksurfaces. Gewoon wachten tot het een keer heel breed mis gaat, bewust of onbewust.
:strip_icc():strip_exif()/u/480920/crop560beea971308_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/41281/avt.jpg?f=community){kind=small}