Threat Lifecycle Management ook cruciaal voor bescherming van ICS en SCADA

  1. 30 okt 2017
  2. 0 reacties
Rob_Pronk_062016

Rob Pronk, Regional Director Central, Northern & Eastern Europe bij LogRhythm

Industrial Control Systems (ICS) en SCADA-systemen (Supervisory Control and Data Acquisition) regelen cruciale nutsvoorzieningen zoals water of stroom. Ook zijn ze onmisbaar in de procesindustrie voor het besturen van tal van activiteiten. Ze vervullen een kritische rol en zijn daardoor gevoelig voor aanvallen van cybercriminelen. Vandaar dat geavanceerde beveiliging ook voor deze systemen van groot belang is.

Dat ICS en SCADA in toenemende mate gevoelig zijn voor aanvallen blijkt uit verschillende incidenten die brede publiciteit hebben getrokken. Zo kwam in 2015 in Oekraïne een groot aantal huizen zonder stroom te zitten na een cyberaanval op een elektriciteitscentrale. In hetzelfde jaar meldde de beveiligingsdivisie van Verizon dat een niet nader genoemd waterleidingbedrijf het slachtoffer was van aanvallers die erin slaagden de samenstelling van het drinkwater aan te passen. Aanvallers wisten bepaalde Programmable Logic Controllers (PLC’s) - belangrijke componenten van SCADA-systemen - over te nemen en zo het productieproces te beïnvloeden.

Het is op zich niet heel opmerkelijk dat ICS-omgevingen en SCADA-systemen gevoelig zijn voor cyberaanvallen. Ze zijn ontwikkeld met het oog op gebruik in volledig geïsoleerde omgevingen, waardoor er niet of nauwelijks is gekeken naar mogelijke veiligheidsissues. Daar komt bij dat steeds meer organisaties hun ICS- of SCADA-systemen de laatste jaren hebben verbonden met het internet om bijvoorbeeld data te verzamelen of processen op afstand te besturen. Dat heeft gezorgd voor meer onveiligheid. Al in 1997 zijn de eerste serieuze kwetsbaarheden ontdekt. Dat heeft geleid tot meer aandacht voor beveiliging. Deze trend werd verder versterkt door de eerdergenoemde incidenten die aangaven dat kritische infrastructuren belangrijke potentiële doelwitten zijn van cybercriminelen.

Bescherming

Om zich te beschermen tegen aanvallen op hun ICS- en SCADA-omgevingen is het voor organisaties van belang om inzicht te creëren in alle systemen die via het internet te benaderen zijn. Daarbij is het belangrijk steeds opnieuw te bekijken of een internetverbinding echt nodig is voor het bedrijfsproces. Daarnaast is het zaak om de uitgevoerde analyses in de praktijk te testen met behulp van beschikbare netwerkscantools en met periodieke penetratietests.

TLM: zes stappen

Verder is het net als bij het beschermen van datacenters en eindgebruikersapparatuur van belang om naast firewalls en antivirussoftware end-to-end Threat Lifecycle Management (TLM) in te zetten. Dit is een gestroomlijnd, intern proces van slimme monitoring, geautomatiseerde actie en snel herstel. TLM gaat uit van de volgende zes stappen.

power-plant-933630-615x409

Stap 1: Verzamelen van informatie

Een cyberaanval kent een lange aanloop van enkele stappen - de zogenaamde Cyber Attack Lifecycle. Voordat zo’n bedreiging überhaupt wordt ontdekt, moet er bewijs van zijn binnen de IT-omgeving. Die informatie is bijvoorbeeld te halen uit gegevens uit de beveiligingssoftware, zoals beveiligingsgebeurtenissen en -waarschuwingen. Maar ook opgeslagen data - per gebruiker, systeem, applicatie, etc. - die toont wie wat deed, waar en wanneer, biedt ondersteuning bij het opsporen van bedreigingen. Nog een stap verder is 360-gradeninzicht in alle netwerkactiviteiten. Dit voorkomt blinde vlekken in het netwerk - de ideale toegangsroute voor hackers. Gecentraliseerde, geautomatiseerde, beschermende monitoringssystemen die data verwerken van meerdere bronnen, geven dit diepgaande inzicht in netwerken.

Stap 2: Ontdekken

Wanneer er inzicht in de IT-omgeving is gecreëerd, is het tijd om de bedreigingen te ontdekken en aan te pakken, met behulp van zoek- en machine-analyses. Beveiligingsmedewerkers moeten doelgericht op zoek gaan naar bedreigingen en uitzonderingen. Dit kan onder meer met zelflerende software en andere geautomatiseerde technieken. Volgens Gartner is in 2018 25 procent van de beveiligingsproducten in een bepaalde mate zelflerend. Er is dus nog meer detectiehulp onderweg.

Stap 3: Kwalificeren

Opgespoorde bedreigingen moeten snel gekwalificeerd worden. Wat is de mogelijke impact van een ontdekte bedreiging op de organisatie? Is er meer onderzoek nodig en hoe snel is actie nodig? Wanneer bedreigingen efficiënt worden beoordeeld, kost dat minder tijd en minder arbeidskracht. Inefficiënte of onjuiste kwalificering kan ertoe leiden dat een serieuze bedreiging uren- of dagenlang onopgemerkt blijft.

Stap 4: Onderzoeken

Wanneer de bedreigingen na stap drie een label hebben, moet bepaald worden of er nog een aanval aan de gang is of dat er al een heeft plaatsgevonden. Snelle toegang tot geanalyseerde data en kennis over de bedreiging is van het grootste belang. Dat gaat het makkelijkst met geautomatiseerde, organisatiebrede systemen, waarin bijvoorbeeld de beveiligingsacties en onderzoeksfasen per afdeling inzichtelijk zijn voor het hele bedrijf.

Stap 5: Neutraliseren

Is de bedreiging ontdekt, dan zijn maatregelen nodig om schade aan het bedrijf te voorkomen. Iedere seconde telt, dus eenvoudig toegankelijke actieplannen en geautomatiseerde processen zijn essentieel. Net als in de onderzoeksfase zijn ook samenwerken en het delen van informatie binnen de organisatie - op het gebied van IT, de juridische afdeling, HR - van groot belang.

Stap 6: Herstellen

Zodra het voorval en het risico voor het bedrijf onder controle zijn, kan het herstel beginnen. Dit kan soms wel dagen of weken duren, afhankelijk van de impact van het incident. Om het herstel voorspoedig te laten verlopen, heeft het beveiligingsteam toegang nodig tot alle forensische informatie omtrent het onderzoeks- en actieproces.

Het effect van een cyberaanval op een datacenter verschilt niet heel veel van een aanval op een ICS-omgeving of SCADA-systeem. In beide gevallen is een goede voorbereiding en een optimaal werkende TLM-aanpak een prima basis voor veilig werken.