Om de kans op een cyberaanval te minimaliseren, worden Industrial Control Systems (ICS) verondersteld te worden uitgevoerd in een fysiek geïsoleerde omgeving. Dit is echter niet altijd het geval. In het verslag over het ICS-dreigingslandschap onthulden deskundigen van Kaspersky Lab dat 13.698 ICS hosts blootgesteld waren aan internet. Deze ICS hosts behoren naar alle waarschijnlijkheid tot grote organisaties uit de sectoren energie, transport, ruimtevaart, olie en gas, chemie, auto en industrie, voeding en dranken, overheid, financiële en medische instellingen. 91,1% van deze ICS hosts heeft zwakke plekken die op afstand kunnen worden misbruikt. Maar het ergste moet nog komen – 3,3% van de ICS hosts binnen deze organisaties bevatten kritische en op afstand uitvoerbare kwetsbaarheden.
Het aan internet blootstellen van ICS-componenten biedt veel mogelijkheden, maar ook veel zorgen over de veiligheid. Enerzijds zijn met internet verbonden systemen flexibeler wat betreft het snel kunnen reageren op kritieke situaties en de implementatie van updates. Anderzijds geeft de uitbreiding van internet cybercriminelen de kans om op afstand kritische ICS-componenten te besturen, wat kan leiden tot fysieke schade aan de apparatuur en potentieel gevaar voor de hele kritische infrastructuur.
Geavanceerde aanvallen op ICS-systemen zijn niet nieuw. In 2015 voerde een georganiseerde groep van hackers, genaamd BlackEnergy APT, een aanval uit op een energiebedrijf in Oekraïne. In hetzelfde jaar vonden nog twee, vermoedelijk met cyberaanvallen in verband staande incidenten plaats in Europa: op een staalfabriek in Duitsland en op de Frederic Chopin luchthaven in Warschau.
In de toekomst zullen meer aanvallen van deze aard plaatsvinden aangezien het aanvalsoppervlak groot is. Deze 13.698 in 104 landen vormen slechts een klein gedeelte van het totaal aantal hosts met ICS-componenten aan boord die beschikbaar zijn via internet.
Om met ICS werkende organisaties hun eventuele zwakke plekken te helpen identificeren, produceerden deskundigen van Kaspersky Lab een rapport over ICS-dreigingen. Hun analyse was gebaseerd op OSINT (Open Source Intelligence) en informatie uit openbare bronnen zoals ICS CERT, waarbij de onderzoeksperiode werd beperkt tot het jaar 2015.
De belangrijkste bevindingen van het rapport over het Industrial Control Systems dreigingslandschap zijn:
- In totaal zijn 188.019 hosts met ICS-componenten die beschikbaar zijn via internet geïdentificeerd in 170 landen.
- De meeste van de op afstand beschikbare hosts waarop ICS-componenten zijn geïnstalleerd, bevinden zich in de Verenigde Staten (30,5% – 57.417) en Europa. In Europa is Duitsland koploper (13,9% – 26.142 hosts), gevolgd door Spanje (5,9% – 11.264 hosts) en Frankrijk (5,6% – 10.578 hosts). Nederland staat op de 11eplaats met 1,9%.
- 92% (172.982) van de op afstand beschikbare ICS hosts heeft kwetsbaarheden. 87% van deze hosts bevat kwetsbaarheden van gemiddeld risico, terwijl het bij 7% ervan gaat om kritische kwetsbaarheden.
- Het aantal kwetsbaarheden in ICS-componenten is de afgelopen vijf jaar vertienvoudigd. Dit aantal ging van 19 kwetsbaarheden in 2010 naar 189 in 2015. De meest kwetsbare ICS-componenten waren Human Machine Interfaces (HMI), elektrische apparaten en SCADA-systemen.
- Van alle extern beschikbare ICS-apparaten maakt 91,6% (172.338 verschillende hosts) gebruik van zwakke internet-verbindingsprotocollen, wat voor aanvallers de mogelijkheid opent om ‘man in the middle’ aanvallen uit te voeren.
“Ons onderzoek toont aan: hoe groter uw ICS-infrastructuur, hoe groter de kans op ernstige veiligheidslekken. Het is niet de schuld van een enkele software- of hardwareleverancier. Gezien zijn aard is de ICS-omgeving een mix van verschillende onderling samenhangende componenten, waarvan vele zijn verbonden met internet en voor veiligheidsvraagstukken zorgen. Er is geen 100% garantie dat een bepaalde ICS-installatie op een gegeven moment niet ten minste één kwetsbaar onderdeel heeft. Dit betekent echter niet dat er geen manier is om een fabriek, een elektriciteitscentrale of zelfs een blok in een ‘smart city’ te beschermen tegen cyberaanvallen. Eenvoudigweg zich bewust zijn van beveiligingsproblemen in componenten die binnen een bepaalde industriële faciliteit worden gebruikt, is de basisvoorwaarde voor het veiligheidsbeheer van de faciliteit. Dat was een van de doelstellingen achter ons rapport: om een geïnteresseerd publiek hiervan bewust te maken”, aldus Andrey Suvorov, Head of Critical Infrastructure Protection bij Kaspersky Lab.
Teneinde de ICS-omgeving te beschermen tegen mogelijke cyberaanvallen, adviseren Kaspersky Lab-veiligheidsdeskundigen het volgende:
- Voer een security audit uit: nodig deskundigen uit die zijn gespecialiseerd in industriële beveiliging. Dit is waarschijnlijk de snelste actie die in het rapport wordt beschreven om veiligheidslekken te identificeren en te verwijderen.
aanvulling: voor een zeer kleine investering kan Wonderware Benelux op basis van de technologie van CyberX een ‘Vulnerability Assessment’ uitvoeren waarna u een uitgebreid rapport krijgt met daarin alle kwetsbaarheden die uw huidige ICS / OT netwerk weergegeven. Een voorbeeld van zo’n rapport kunt u opvragen op www.cyberx.nl - Vraag om inlichtingen van buitenaf: moderne IT-beveiliging is gebaseerd op kennis over potentiële aanvalsvectoren. Hierover inlichtingen krijgen van gerenommeerde leveranciers helpt toekomstige aanvallen op de industriële infrastructuur van een bedrijf te voorspellen.
- Bescherming binnen en buiten de perimeter: fouten kunnen en zullen gebeuren. Een goede beveiligingsstrategie moet aanzienlijke middelen wijden aan het detecteren van en reageren op aanvallen, om aanvallen te kunnen blokkeren voordat deze kritisch belangrijke objecten bereiken.
- Evalueer geavanceerde beveiligingsmethoden: Default Deny (Standaard Weigeren) scenario voor SCADA-systemen, regelmatige integriteitscontroles voor controllers, gespecialiseerde netwerkbewaking om de algehele beveiliging van een bedrijf te verbeteren en de kans op een succesvolle inbreuk te verkleinen, zelfs als enkele inherent kwetsbare knooppunten niet kunnen worden gepatcht of verwijderd.
11 juli 2016 Bron: http://infosecuritymagazine.nl/
meer info over de mogelijkheden van CyberX als continue bewaker van uw OT netwerk tegen Cyber Terrorisme of een voorbeeld van een Vulnerability Assessment kunt u vinden op www.cyberx.nl