Bescherming van kritieke infrastructuur door middel van monitoring van applicatieprestaties

Gezien recente aanvallen op bestaande infrastructuur, is de cyberbeveiliging van embedded systemen ingebouwd in kritieke infrastructuur is misschien nog wel belangrijker dan hun fysieke beveiliging.

Nu de regering van president Biden begint te streven naar $ 2,9 biljoen aan investeringen in kritieke infrastructuur (zoals het energienetwerk, landelijke communicatienetwerken en transportnetwerken) en met het recente nieuws van de verwoestende DarkSide ransomware-aanval die de koloniale pijpleiding in de oostkust verlamde, kwetsbaarheid van zowel bestaande als voorgestelde systemen voor kwaadwillende actoren is opnieuw een hot topic. Gezien de recente aanvallen op bestaande infrastructuur, is de cyberbeveiliging van embedded systemen die in kritieke infrastructuur zijn ingebouwd misschien nog wel belangrijker dan hun fysieke beveiliging.

Verdedigen tegen exploits van dergelijke massaal onderling verbonden apparaatnetwerken vormt een aanzienlijke uitdaging voor apparaatontwikkelaars, codeontwikkelaars en cyberbeveiligingsexperts. Operators moeten embedded systemen monitoren, niet alleen om de juiste werking van het apparaat te garanderen en voortdurend te controleren op kwaadwillende activiteiten. Niet-geïdentificeerde fouten die leiden tot apparaatstoringen, of het nu gaat om hardwarestoringen of criminele aanvallen, hebben mogelijk grootschalige en verwoestende gevolgen.

Het bouwen van de meest robuuste en verdedigbare infrastructuur vereist implementatie van systemen die de betrouwbaarheid van embedded apparaten op elk niveau beoordelen:hardware, firmware en software. In dit artikel kijken we naar de vooruitgang in cyberbeveiligingsinspanningen voor de applicaties die infrastructuur-IoT-apparaten besturen en hoe trends in het monitoren van applicatieprestaties het ontwerp van embedded systemen beïnvloeden.

Kritische infrastructuur versus IT-infrastructuur

Bezorgdheid over de beveiliging van het IoT in kritieke infrastructuur is verstrekkend, aangezien nieuwe investeringen in infrastructuur miljoenen embedded verbonden apparaten zullen toevoegen die moeten worden bewaakt en beschermd. Elk nieuw embedded systeem en elke verbinding die het maakt, vormt een kans voor een aanval.

Figuur 1. Naarmate er miljoenen embedded connected devices worden gecreëerd, zullen de veiligheidsproblemen groter worden, aangezien er nu veel meer devices zijn die gecontroleerd moeten worden. (Bron:freepik)

Kritieke infrastructuur is helaas een vage term. Laten we onze definities definiëren om verwarring te voorkomen. De OT, of Operationele Technologie, verwijst naar de fysieke hardware die wordt gebruikt om apparaten te bewaken en fysieke processen te besturen. De IT, of informatietechnologie, verwijst naar de software die wordt gebruikt om informatie binnen die apparaten te verwerken. Maar de scheidslijn tussen de OT en de IT vervaagt steeds meer naarmate de fysieke wereld online komt. De term IoT is gebruikt om naar dit fenomeen te verwijzen.

IT-infrastructuur is ook onbetwistbaar cruciaal voor het IoT-ecosysteem en kan een subset zijn van de overkoepelende term. Voor onze doeleinden verwijst kritieke infrastructuur naar de infrastructuur van het Biden American Jobs Plan.

Gebruikmakend van de definitie van de Amerikaanse Patriot Act uit 2001, omvat dit systemen waarvan de beperking "een slopende impact zou hebben op de veiligheid, de nationale economische veiligheid, de nationale volksgezondheid of veiligheid, of een combinatie van die zaken."

IoT en embedded systemen zullen de primaire componenten zijn van nieuwe infrastructuur en zullen de mogelijkheden van bestaande infrastructuur verbeteren.

Hoewel kritieke infrastructuur en IT-infrastructuur verschillend zijn, is de beveiliging van beide van het grootste belang. Aanvallen op de IT-infrastructuur zijn veel gemakkelijker uit te voeren, maar kunnen even rampzalige gevolgen hebben, zoals de afgelopen jaren is gebleken bij aanvallen op watervoorzieningssystemen.

Cyberbeveiliging van ingebedde systemen voor kritieke infrastructuur

Prominente cyberaanvallen op infrastructuur in combinatie met de algemene toename van cybercriminaliteit hebben ertoe geleid dat overheden wereldwijd veel aandacht hebben besteed aan IoT-apparaten en de beveiliging van embedded systemen.

Eind vorig jaar heeft het Amerikaanse congres de IoT Cybersecurity Act van 2020 aangenomen, die de beveiligingsnormen voor de inzet van IoT-apparaten door overheidsorganisaties aanscherpt. Hoewel de wet niet algemeen van toepassing is op alle IoT-implementaties in kritieke infrastructuur, is de kans groot dat het rimpeleffecten zal hebben die de industrie doordringen.

Terwijl het congres debatteerde over de IoT Cybersecurity Act, heeft het National Institute of Standards and Technology (NIST) twee documenten vrijgegeven die als leidraad dienen voor toekomstige IoT-beveiligingsnormen. De IoT Device Cybersecurity Capability Core Baseline definieert minimale beveiligingsnormen voor het beschermen van IoT-apparaten en hun gegevens.

De fundamentele cyberbeveiligingsactiviteiten voor fabrikanten van IoT-apparaten schetsen de stappen die fabrikanten van IoT-apparaten moeten nemen bij het beoordelen van welke cyberbeveiligingscontroles in een apparaat moeten worden geïntegreerd. Continue systeembewaking is een specifiek aandachtsgebied.

De Europese Unie versterkt ook haar regelgeving op het gebied van cyberbeveiliging om infrastructuurdreigingen aan te pakken. Eind vorig jaar is de EU begonnen met het overwegen van wijzigingen in haar richtlijn betreffende de beveiliging van netwerk- en informatiesystemen.

Ontwikkelaars van embedded systemen volgen deze juridische ontwikkelingen op het moment dat ze zich voordoen. Hoewel ze momenteel meer ambitieus dan operationeel zijn, zullen ze uiteindelijk leiden tot specifieke vereisten voor apparaatontwerp.

Trends in het monitoren van applicatieprestaties

Voor specifieke ideeën over het ontwerp van toekomstige cyberbeveiliging van embedded systemen kunnen ontwikkelaars kijken naar trends in andere IT-prestaties en beveiligingsgebieden, zoals monitoring van netwerkapplicatieprestaties (APM).

De toepassingen die embedded systemen in kritieke infrastructuur bewaken en besturen, zijn echter een doelwit voor toegewijde hackers. APM zal een essentieel aspect zijn van het handhaven van de beveiliging van kritieke infrastructuur. Ontwikkelaars van embedded systemen moeten zich bewust zijn van de interactie tussen APM-tools en hun apparaten en hoe trends in APM de ontwerpvereisten voor embedded systemen zullen beïnvloeden.

Het verzamelen en verzenden van gegevens stroomlijnen

Bestaande netwerken ondervinden al bandbreedteproblemen bij aangesloten apparaten. Stelt u zich eens voor hoeveel erger het probleem zal worden wanneer het aantal aangesloten apparaten met een orde van grootte of meer toeneemt. En als netwerkproblemen de verbinding tussen een ingebouwd apparaat en het externe bewakingssysteem verstoren, is het apparaat kwetsbaarder voor aanvallen.

Investeren in de diensten van een ervaren en goed opgeleide netwerkbeheerder kan een oplossing zijn. Verwacht wordt dat netwerkbeheer volgend jaar met meer dan 42.000 banen zal groeien, en het is gemakkelijk in te zien waarom. Netwerkbeheerders zijn verantwoordelijk voor het toezicht op de installatie van netwerkbeveiligingssystemen, het doorvoeren van verbeteringen in netwerken waar nodig en het installeren of repareren van hardware en software.

Lokale AI, zoals eerder besproken, kan een andere oplossing zijn. APM-ontwikkelaars kijken ook naar verbeterde verliesvrije compressiemethoden om de overdracht van kwaliteitsgegevens met beperkte bandbreedtevereisten te garanderen. Ontwikkelaars van ingebedde systemen moeten doorgaan met het onderzoeken van efficiëntere algoritmen voor gegevenscompressie aan boord.

Gebruik van kunstmatige intelligentie en machine learning

De afgelopen jaren is er een toegenomen afhankelijkheid van AI en machine learning om APM te verbeteren. Zozeer zelfs dat Gartner het veld van AIOps definieerde. AIOps heeft tot doel de focus van APM te verschuiven van het reactief identificeren en corrigeren van problemen naar het proactief identificeren van problemen voordat ze zich voordoen.

Figuur 2. Een van de grootste ontwikkelingen van de afgelopen jaren is de toenemende afhankelijkheid van APM van kunstmatige intelligentie. (Bron:pixabay)

Daarnaast past AIOps AI toe om herstelactiviteiten te automatiseren na identificatie van een probleem. Ontwikkelaars van embedded systemen kunnen AI op dezelfde manier beschouwen als een primair hulpmiddel bij het bouwen van proactieve identificatiefunctionaliteit voor cyberaanvallen op applicatieniveau.

Terwijl kunstmatige intelligentie momenteel wordt gebruikt om embedded systemen te trainen, vindt een groot deel van de training plaats buiten de embedded apparaten. Training op afstand biedt grotere hoeveelheden verwerkingscapaciteit met een hoger vermogen om snel om te gaan met de grote hoeveelheden gegevens die de ontwikkeling van AI-modellen stimuleren.

Er is echter een groeiend gebruik van AI aan de rand, en ontwikkelaars van embedded systemen zouden de levensvatbaarheid van AI aan boord moeten overwegen om lokaal beveiligingscontroletaken uit te voeren. Omdat de computationele vereisten van AI-modellen echter hoog zijn, moeten ontwikkelaars van embedded systemen zich blijven concentreren op het verminderen van de overhead van traditionele AI-methoden om ze beter toe te passen in een lokale omgeving.

Geconvergeerde monitoring van applicaties en infrastructuur

Elk aspect van de werking van een embedded systeem moet worden beschermd, of het nu gaat om de onderliggende hardware van de applicaties die erop draaien. De afhankelijkheid van monitoring van afzonderlijke componenten maakt plaats voor een meer holistische kijk op de werking van het systeem.

Toepassing van observeerbaarheidsprincipes (bij voorkeur in combinatie met robuuste monitoring) kan een beter algemeen begrip opleveren van de realtime embedded systeemprestaties, waardoor afwijkingen en potentiële aanvallen beter kunnen worden geïdentificeerd.

Automatisering

Het is bijna onmogelijk voor netwerkbeheerders en andere IT-professionals om handmatig alle gegevens en analyses bij te houden die nodig zijn voor een modern cyberbeveiligingsprogramma. Automatisering is daarom een ​​essentieel onderdeel van toekomstige inspanningen op het gebied van cyberbeveiliging. Hoewel APM bijvoorbeeld effectief is om het bestaan ​​van een aanval te beoordelen, is het effectiever in combinatie met systemen die automatisch en proactief kwetsbaarheden identificeren.

Volgens cybersecurity-expert Barbara Ericson van Cloud Defense:"Je kunt traditionele en lineaire kwetsbaarheidsscanners gebruiken of adaptieve kwetsbaarheidsscanners gebruiken om naar specifieke dingen te zoeken op basis van eerdere ervaring. Gelukkig kunnen kwetsbaarheidsscanners worden geautomatiseerd als u goede software voor kwetsbaarheidsbeheer aanschaft. Door uw scans te automatiseren, zorgt u ervoor dat uw organisatie voortdurend wordt beoordeeld op nieuwe dreigingen en hoeft u niet te veel mankracht te verspillen aan regelmatig geplande scans.”

Ontwikkelaars van ingesloten apparaten moeten ook doorgaan met het verbeteren van de automatisering voor het bewaken van mogelijke aanvallen op apparaten of de bijbehorende applicaties, en automatische corrigerende maatregelen implementeren voor geïdentificeerde problemen.

Conclusie

Naarmate de VS substantiële infrastructuurupgrades nastreeft, zal de hoeveelheid IoT in kritieke infrastructuur exponentieel toenemen. En die toename gaat noodzakelijkerwijs gepaard met een toename van de dreiging van cyberaanvallen. Ontwikkelaars van ingesloten apparaten moeten zich opnieuw concentreren op het implementeren van nieuwe cyberbeveiligingscontroles aan boord om de betrouwbaarheid en beveiliging van kritieke infrastructuur te waarborgen.