NotPetya's harde lessen over SCADA-cybersecurity

Dinsdag 27 juni 2017, een ochtend zoals elk andere in Kiev, de plaats waar Linkos Group is gevestigd. Het is een klein familiebedrijf dat M.E. Doc ondersteunt, boekhoudsoftware die wordt gebruikt door bijna 90% van de binnenlandse bedrijven in Oekraïne. Maar binnen enkele minuten zou deze specifieke ochtend heel anders uitpakken voor de IT-systemen van het bedrijf - en voor de rest van de wereld.

Plotseling ontwikkelde de updateserver van M.E.Doc een tweede leven en lanceerde een nieuw soort update: een zichzelf voortplantende destructieve malware die nu bekend staat als NotPetya.

Zoals Wired Magazine zegt, werd NotPetya al snel de meest verwoestende cyberaanval in de geschiedenis. Een ransomware-code die zich snel verspreidde van het beoogde doelwit, Oekraïne, naar de rest van de wereld, zonder onderscheid te maken tussen het platleggen van regeringen, internationale scheepvaart en ziekenhuizen. Iedereen of iets met een internetverbinding kon worden geraakt.

Het ging niet alleen om de levens die werden verstoord of de miljarden dollars aan financiële verliezen. De NotPetya-aanvallen verbraken de illusie dat de air-gapped zware industrie grotendeels immuun was voor cyberaanvallen. NotPetya legde volledige bedrijfssystemen plat en dwong machines en productiefaciliteiten offline, wat de cyberkwetsbaarheid van enorme sectoren als energie, olie en gas, productie, farma en auto-industrie aan het licht bracht.

Eerder gingen cybersecurity-experts ervan uit dat gegevens de belangrijkste focus van aanvallen waren, aangezien criminelen databases plunderden voor persoonlijke informatie en creditcardgegevens. Maar NotPetya liet zien dat elke basis van bedrijven kan worden verlamd.

Het werd overduidelijk dat cyberaanvallen niet alleen gericht konden zijn op IT-systemen, maar ook op de kritische operationele technologie (OT) -systemen die sensoren, apparaten en software beheren die worden gebruikt in industriële operaties. Zelfs als een OT-systeem air-gapped is - fysiek gescheiden van onbeveiligde IT-omgevingen - kan het slachtoffer worden van malware zoals NotPetya.

Het probleem met Air-Gapping en SCADA
Laten we duidelijk zijn. De veronderstelling dat OT-omgevingen air-gapped kunnen worden om al deze problemen te voorkomen, is altijd een mooie dagdroom geweest. Er zijn meerdere argumenten waarom het niet gemakkelijk is om jouw operationele technologische systemen te air-gappen:
 

  • Air-gapped is vaak niet echt air-gapped. Je hebt nog steeds beheerders nodig die jouw OT-omgeving beheren en die vaak verbinding maken vanuit jouw IT-omgeving. NotPetya bewees dat bedrijven dit concept niet serieus genoeg nemen.
  • Een air-gapped omgeving vereist constante in- en uitgaande gegevensoverdracht. Dit kan worden beheerd via technische controles zoals gegevensdiodes of goedgekeurde mobiele opslagapparaten zoals USB-drives. De kosten die nodig zijn om deze controles te implementeren, zijn zo enorm dat de meeste bedrijven het niet eens proberen.
  • Een explosief aantal OT-componenten vereist cloud- of machine-to-machine-connectiviteit. Air-gapping zal in de zeer nabije toekomst waarschijnlijk vrijwel onmogelijk worden in OT-onderling verbonden omgevingen.

Zelfs nadat de kwaadaardige STUXNET-worm in 2010 werd ontdekt, hebben maar weinig organisaties hun systemen voor Supervisory Control en Data Acquistion (SCADA) goed beveiligd. SCADA-mechanismen bewaken en besturen OT-systemen en -apparatuur in de zware industrie, wat storingen in realtime aangeeft aan het personeel op de fabrieksvloer.

Vanwege een gebrek aan ervaring met cyberrisico's en een sterke concurrentiedruk, wordt SCADA-software echter vaak gebouwd zonder beveiliging in gedachten. Decennia lang bracht dit OT-infrastructuren in gevaar, waardoor de centrifuges van kerncentrales of robotapparaten van fabrikanten kwetsbaar werden voor aanvallen - kwetsbaar, ongepatcht en onbeheerd door IT- of beveiligingsprofessionals.

Al deze kwetsbaarheden worden urgenter vanwege het veranderende cybercriminaliteitslandschap. De verschuiving van klantgerichte naar bedrijfsgerichte aanvallen en van dataspionage naar ransomware zijn de twee belangrijkste trends die onmiddellijke en effectieve tegenmaatregelen vereisen.

Als OT van cruciaal belang is voor jouw bedrijf, stel jezelf dan twee eenvoudige vragen: hoeveel OT-beveiligingsspecialisten versus IT-specialisten gebruik ik en hoeveel monitoring van use-cases heb ik in OT versus IT?

Organisaties moeten meer aandacht besteden aan cybersecurity van OT-netwerken, SCADA en informatie- en communicatietechnologiesystemen. Het ontwikkelen van veilige software en het patchen van kwetsbaarheden zou de beste manier zijn om deze te benaderen. Er zijn al tal van geweldige initiatieven, zoals het Siemens Charter of Trust, om bewustzijn en betrokkenheid bij dit onderwerp te creëren. Maar momenteel wordt slechts één van de tien kwetsbaarheden gepatcht door organisaties, en die statistiek zal waarschijnlijk niet dramatisch veranderen met het exploderende aantal OT- en Internet of Things (IoT) -apparaten in de wereld.
 

Sergej Epp

Hoe kunnen we dit probleem aanpakken vanu|it operationeel en architectonisch oogpunt?

Zero Trust: het verkleinen van het aanvalsoppervlak

Velen van jullie hebben gehoord over Zero Trust en zijn steeds strategischer wordende rol in cybersecurity. Het Zero Trust-concept - ontwikkeld door mijn Palo Alto Networks-collega John Kindervag - is van cruciaal belang, niet omdat het een technologie is (dat is het niet), maar eerder een cybersecuritystrategie en -filosofie die elke organisatie moet volgen bij het bouwen van digitale activa of het uitvoeren van digitale infrastructuur . Het draait allemaal om het verkleinen van het aanvalsoppervlak; als je een kwetsbaar systeem niet kunt patchen, wat zijn dan de volgende maatregelen om het risico te verminderen?

Zero Trust versnelt dit doel door de kroonjuwelen van jouw bedrijf in beveiligingsfocus te plaatsen, ze binnen een hard informatiegebied te scheiden waarin geen enkele gebruiker wordt vertrouwd, en al het verkeer wordt geïnspecteerd en geregistreerd.

Waarom zou je tenslotte vijf keer zo veel van je cybersecuritybudget besteden aan het beveiligen van je IT-systemen dan aan je OT-omgeving? En waarom zouden je kritische OT-middelen en je IT-systemen meerdere vertrouwde relaties met elkaar delen?

NotPetya toonde de risico's van te veel vertrouwen tussen IT-activa door een enkele server in Oekraïne te exploiteren om in slechts zeven minuten essentiële activa, waaronder IT, OT, back-ups en zelfs cybersecuritysystemen, te vernietigen. In dit geval, en in vele andere gevallen, leidde te veel vertrouwen tot een volledige black-out.

Elke keer dat je extra componenten toevoegt aan een "vertrouwenszone" zoals OT-technologie of IoT-apparaten, creëer je meer risico. Maar met de kroonjuwelen gesegmenteerd in een Zero Trust-netwerk (ZTN), kan de rest van het bedrijf veilig groeien. Alleen apparaten en componenten die cruciale activa zijn, moeten in een ZTN worden opgenomen.

Zichtbaarheid en handhaving van tegenmaatregelen
In het geval dat een Zero Trust-netwerk faalt, heeft de CISO zichtbaarheid van al het verkeer nodig en een manier om tegenmaatregelen in OT- en industriële controlesysteem (ICS) -netwerken af te dwingen. Zichtbaarheid kan alleen worden bereikt als beveiligingscontroles en teams de taal kennen die SCADA en ICS gebruiken om te communiceren; die de beveiliging in staat stelt kwaadaardige communicatie te zien. In de meeste situaties zijn netwerkcontroles (zoals periodieke kwetsbaarheidsscans en real-time verkeerscontrole) de enige manier om zichtbaarheid vast te stellen en tegenmaatregelen af te dwingen die schadelijk verkeer van apparaten blokkeren.

Aan de andere kant is er een voordeel bij het installeren van cybersecurity binnen OT-infrastructuren. Deze benaderingen hebben de neiging om op een zeer statische en deterministische manier te werken, waardoor elke ongebruikelijke activiteit gemakkelijk kan worden opgemerkt. Een dergelijke methode, ’behaviour whitelisting’, staat een gespecificeerde lijst met acties toe, maar blokkeert alle andere. Whitelisting en vergelijkbare beveiligingsmaatregelen zijn een must.

Hoeveel is jouw cyberweerbaarheid waard?
Cyberkinetische aanvallen die leiden tot de fysieke vernietiging van OT-infrastructuren, zoals we zagen bij de pogingen Shamoon, Triton en BlackEnergy, zijn geen sciencefiction. Organisaties hebben een veerkrachtstrategie nodig bij een cyberaanval.

Vraag jezelf en je collega's:

  • Is jouw bedrijfscontinuïteitsplan verantwoordelijk voor de vernietiging van OT-systemen?
  • Heb je een back-upschema klaar om de systemen opnieuw te flashen of zelfs volledig te vervangen?
  • Hoe lang duurt dat?
  • Heb je een goed doordacht communicatieplan?
  • Wat zijn de kosten als jouw OT-systemen een uur moeten worden stilgelegd ... of langer?
     

Je moet de antwoorden op deze vragen kennen en ze onderdeel maken van een alomvattend plan.

NotPetya als het omslagpunt
NotPetya was niet het eerste soort cyberdreiging dat OT trof, en het was zelfs niet ontworpen om OT-infrastructuren aan te vallen. We hebben herhaaldelijk een reeks andere bedreigingen gezien die speciaal zijn gebouwd om de veiligheid van onze werknemers en bedrijven in gevaar te brengen.

NotPetya was echter het kantelpunt: daarna realiseerden de meeste organisaties zich de risico's die werden veroorzaakt door systematische afhankelijkheden tussen IT en OT, de impact van dergelijke aanvallen op de bedrijfscontinuïteit en het belang van het kunnen herstellen van een ramp in één enkele gebeurtenis.

Aan het eind van de dag is het essentieel voor leidinggevenden om in gedachten te houden dat het beveiligen van OT en IT niet veel anders is – als je OT-beveiliging aanpakt met minstens dezelfde prioriteit als je IT en er gezamenlijke organisatorische focus en middelen voor inzet.

Sergej Epp
Chief Security Officer
Regio Centraal-Europa
Palo Alto Networks.