Ransomware en industriële besturingssystemen

Chris van den Hooven van Hudson Cybertec legt uit hoe organisaties zich kunnen beschermen tegen ransomware-aanvallen

Op 7 mei 2021 werd de infrastructuur van de Colonial Pipeline platgelegd door een ransomware-aanval. Ransomware is een vorm van kwaadaardige software die is ontworpen om bestanden op een apparaat te versleutelen, waardoor alle bestanden en de computersystemen die daarop zijn gebaseerd onbruikbaar worden. De impact van de aanval op de grootste oliepijpleiding in de VS was enorm. De herstart van de pijpleiding begon op 12 mei en de werkzaamheden waren op 15 mei weer normaal.

Het toenemende ransomware probleem

Een ransomware-aanval is mogelijk op elk type IT-infrastructuur. Er zijn veel succesvolle aanvallen op allerlei organisaties geweest. Een van de meest recente aanvallen vond plaats op Kaseya, een bedrijf dat beheer- en beveiligingssoftware levert aan managed service providers . Door Kaseya aan te vallen, hebben de aanvallers uiteindelijk meer dan 1.500 organisaties getroffen.

Het “businessmodel” van dergelijke aanvallers blijkt zeer succesvol te zijn. De ransomware groepen hebben blijkbaar geïnvesteerd in nog betere aanvalstools. Een gebruikelijke reactie op een ransomware-aanval is het herstellen van de systemen vanaf de back-up. Als reactie daarop zijn de aanvallers begonnen met het exfiltreren van gegevens voordat de ransomware software het aangevallen systeem versleutelt. De aanvaller zal dreigen bedrijfsgeheimen te lekken of te veilen.

Een ICS beschermen tegen ransomware

Een ransomware-aanval kan succesvol zijn tegen een industrieel besturingssysteem (ICS), maar de meeste aanvallen zijn gericht op bedrijfssystemen. In de publicatie Threat landscape for industrial automation systems – Statistics for H2 2020 publiceerde beveiligingsbedrijf Kaspersky een percentage ICS-computers waarop kwaadaardige software werd aangetroffen (en geblokkeerd). Voor de olie- en gasindustrie was dat een alarmerende 44%. Ransomware-dreigingen voor ICS nemen toe. ‘Gezien het belang van kritieke infrastructuur voor de nationale veiligheid en Amerika’s manier van leven, zijn toegankelijke OT-assets een aantrekkelijk doelwit voor kwaadwillende cyberactoren,’ aldus het Cybersecurity and Infrastructure Security Agency (CISA). Uiteraard geldt deze uitspraak voor vele delen van de wereld, waaronder Europa.

De regeringen reageren

Als reactie op het toenemende ransomware-probleem heeft de Transportation Security Administration van de VS op 20 juli 2021 een tweede beveiligingsrichtlijn uitgevaardigd, bedoeld om kritieke pijpleidingen te beschermen tegen cyberaanvallen. In Europa is een voorstel goedgekeurd voor een herziene richtlijn inzake de beveiliging van netwerk- en informatiesystemen. Een andere manier waarop regeringen lijken te reageren is door de aanvallers aan te vallen. In het geval van de Colonial Pipeline hebben Amerikaanse rechtshandhavingsagenten met succes ruwweg 2,3 miljoen dollar van het betaalde losgeld teruggehaald. In het geval van de aanval op Kaseya lijkt de ransomware-groep achter deze aanval, REvil genaamd, te zijn verdwenen. De reden hierachter is onbekend, maar algemeen wordt aangenomen dat een of andere regering hen heeft gedwongen te verdwijnen.

Beschermen tegen ransomware

Voor een succesvolle cyberaanval, waaronder een ransomware-aanval, zijn verschillende stappen nodig. De cybersecurityspecialisten van Lockheed Martin waren de eersten die deze stappen omschreven als The Cyber Kill Chain. Een van de stappen kan zijn het stelen van een bedrijfsbadge of het stelen van sleutels van een achterdeur, waardoor de aanvaller op elk gewenst moment toegang kan krijgen. Om een dergelijk scenario te voorkomen, hebben organisaties allerlei maatregelen getroffen.

Een beveiligingscamerasysteem met gesloten circuit maakt het moeilijk om onopgemerkt in het gebouw rond te dwalen. Om een succesvolle cyberaanval, waaronder een ransomware-aanval, te voorkomen, is het cyberequivalent van deze maatregelen nodig. Men zou het internet in de gaten kunnen houden en merken dat het bedrijf wordt besproken als een potentieel doelwit. Het afdwingen van sterke authenticatie voor netwerktoegang maakt het moeilijker om een weg naar binnen te vinden en maakt het moeilijker om een wachtwoord te stelen. Het segmenteren van het netwerk maakt het moeilijker om toegang te krijgen tot de meest waardevolle systemen. Door het netwerk te monitoren en ongebruikelijk gedrag te onderzoeken, wordt het moeilijker voor een aanvaller om onopgemerkt te blijven.

Waar te beginnen

De aanvaller is in het voordeel omdat hij maar één achterdeurtje nodig heeft, terwijl de verdediger alles op orde moet hebben. Het kost een aanvaller tijd, soms maanden, om zijn doel te bereiken. Het voordeel verschuift van de aanvaller en het uitvoeren van een succesvolle aanval wordt veel moeilijker zodra er voldoende barrières zijn (netwerksegmentering, sterke authenticatie, enz.). Als er ook monitoring is, wordt het voor een aanvaller bijna onmogelijk om onopgemerkt te blijven. De waarde van monitoring is een van de redenen waarom Hudson Cybertec OT Insight heeft ontwikkeld, een oplossing voor netwerkmonitoring en compliance.

De IEC 62443 is een serie normen voor de beveiliging van industriële automatiserings- en controlesystemen (IACS). De IEC 62443-2-1 beschrijft hoe een beveiligingsprogramma voor industriële automatiserings- en besturingssystemen kan worden opgezet. De toepassing van deze norm zorgt voor een gestructureerde manier in het verbeteren van de cyberveiligheid van elk IACS-systeem. Het zal resulteren in voldoende barrières om een aanvaller te stoppen of af te remmen. Daarnaast zal monitoring de kwaadaardige activiteiten detecteren.

Bron: Tank Storage Magazine, november 2021

HUDSON CYBERTEC

In de spotlight

Wet- en regelgeving zoals de aankomende Europese NIS2 directive (Network & Information Security) verplicht u aantoonbaar in controle te zijn over uw OT omgeving.

IEC 62443 norm

De IEC 62443 norm biedt uw organisatie handvatten voor het verbeteren van de digitale beveiliging en veiligheid van uw IACS-omgeving. Implementatie van de norm verbetert het cybersecurityniveau van de OT-/ICS-/SCADA-omgeving van uw organisatie.

De IEC 62443 is het internationale cybersecurity normenkader voor de operationele technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van Industrial Automation and Control Systems (IACS).

lees meer

Het IEC 62443 Competence Center van Hudson Cybertec heeft een zeer ruime ervaring met deze norm. Wij spelen een actieve rol in de ontwikkeling van de norm, in samenwerking met de NEN, dragen deze internationaal actief uit en hebben een trainingsprogramma ontwikkeld rondom de IEC 62443.

lees meer

Het wordt voor organisaties steeds belangrijker om aan te kunnen tonen dat de digitale security van de OT-omgeving in overeenstemming is met normenkaders. Het is dan ook mogelijk om (delen) van uw IACS-omgeving te certificeren volgens de IEC 62443.

lees meer

Wanneer u meer wilt weten over deze norm en behoefte heeft aan training voor het toepassen ervan binnen uw eigen organisatie of bij uw opdrachtgevers, dan heeft Hudson Cybertec een aantal zeer interessante trainingen voor u.

lees meer

De IEC 62443 norm biedt organisaties handvatten voor het verbeteren van de digitale beveiliging en veiligheid van OT-/ICS-/SCADA-omgevingen.

lees meer

Hoe digitaal veilig is uw organisatie?

Benieuwd naar de mogelijkheden? Neem dan contact met ons op!

Neem contact op

Nieuwsbrief

Schrijf u in voor onze nieuwsbrief. We houden u dan op de hoogte van de laatste ontwikkelingen rondom onze dienstverlening op gebied van cybersecurity.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.