Ontwikkelen van een cyberbeveiligingsstrategie voor kritieke infrastructuur

• Bescherming van kritieke infrastructuur is al lang een prioriteit, maar veel organisaties blijven achter in hun reactie op cyberdreigingen.
• COVID-19 heeft de definitie van kritieke infrastructuur verruimd en herinnert ondernemingen er tegelijkertijd aan zich af te vragen welke systemen essentieel zijn voor de bedrijfsvoering. Dit artikel bouwt voort op het advies in hoofdstuk één van deze serie in "IoT-beveiligingsuitdagingen van de cloud tot aan de rand aanpakken".
• Organisaties die kritieke infrastructuur beheren, moeten een proactieve houding op het gebied van cyberbeveiliging ontwikkelen, maar door het coronavirus veroorzaakte verstoringen vergroten de uitdaging.

Inmiddels is de behoefte aan uitgebreide cyberbeveiliging voor kritieke infrastructuur duidelijk. Openbare accounts zijn wijdverbreid over het risico dat kwaadwillende actoren zich richten op het elektriciteitsnet, dammen, stemsystemen en andere door de federale overheid aangewezen kritieke infrastructuur. Maar de meeste organisaties die essentiële diensten leveren, hebben slechts stapsgewijze stappen genomen om cyberrisico's aan te pakken. "Veel [operationele technologie]-organisaties hebben behoorlijk ontluikende cyberbeveiligingsprogramma's", zegt Sean Peasley, een partner bij Deloitte.

De term 'kritieke infrastructuur' verwees aanvankelijk naar openbare werken zoals transportinfrastructuur en openbare nutsvoorzieningen, maar sinds de jaren negentig is de definitie gestaag uitgebreid. Sectoren die onder de noemer vallen zijn nu onder meer gezondheidszorg, energie en nutsbedrijven en diverse fabrikanten. "En praktisch gesproken ontdekken we in het tijdperk van COVID dat kritieke infrastructuur zelfs breder is dan we dachten", zegt Kieran Norton, een directeur bij Deloitte. Zo spelen makers van persoonlijke beschermingsmiddelen een rol bij het mitigeren van de crisis. "We hebben ook geleerd dat verstoring van de toeleveringsketen tijdens een pandemie bijvoorbeeld catastrofaal kan zijn", zei Norton. Het is niet verrassend dat logistieke bedrijven hun rol als essentieel hebben gecementeerd. De Amerikaanse regering heeft verklaard dat de pulp- en papierindustrie en de vleesverpakkingsindustrie ook essentieel zijn. Dus de overlap tussen kritieke infrastructuur en operationele technologie (OT) beveiliging blijft vervagen. Ongeacht de naam hebben maar weinig van de industrieën in dit domein een hoge mate van cybereffectiviteit bereikt, blijkt uit onderzoek naar industriële beveiliging van het Ponemon Institute, onderschreven door TÜV Rheinland.

[IoT World, het grootste IoT-evenement van Noord-Amerika, gaat van 11 tot en met 13 augustus virtueel met een driedaagse virtuele ervaring waarin IoT, AI, 5G en edge in actie komen in verschillende branches. Registreer vandaag]

Traditionele kritieke infrastructuurentiteiten hebben misschien tientallen jaren ervaring met traditionele risicobeheer- en veiligheidsinitiatieven, maar voor velen is cyberbeveiliging een relatief nieuwe prioriteit. En over het algemeen zijn organisaties die kritieke infrastructuur beheren vaak traag in beweging. "Mijn algemene ervaring is dat OT-beveiliging ongeveer 10 tot 15 jaar achterloopt op de IT-beveiligingsruimte", zegt Andrew Howard, CEO van Kudelski Security.

Ondertussen wordt het dreigingslandschap voor organisaties met kritieke infrastructuur steeds onzekerder. Het aantal aanvallers dat zich op dergelijke infrastructuur richt, stijgt, evenals het aantal verbonden apparaten in veel kritieke infrastructuuromgevingen. Volgens de X-Force Threat Intelligence Index 2020 van IBM was het aantal aanvallen op industriële besturingssystemen in 2019 hoger dan de voorgaande drie jaar samen.

Dergelijke aanvallen hebben de krantenkoppen gehaald in 2020. Ransomware-aanvallers hebben zich met succes gericht op het energiebedrijf van Honda en Taiwan en een Amerikaanse aardgasfaciliteit. De watervoorziening van Israël is naar verluidt aangevallen. Bij het Japanse telecommunicatiebedrijf NTT is een inbraak in zijn interne netwerk geconstateerd.

R Isk Assess continu

Als je iets niet kunt meten, kun je het ook niet verbeteren. Maar dat advies is dubbel van toepassing op cyberbeveiliging van kritieke infrastructuur, waar risico's en risicovermindering een uitdaging kunnen zijn om te kwantificeren. Veel organisaties hebben moeite om een ​​nauwkeurige inventaris van activa bij te houden, gezien de diversiteit en complexiteit van hun omgevingen. Ondertussen is er een tekort aan experts die gespecialiseerd zijn in OT-cybersecurity. Dit risico wordt nog versterkt door de gecompliceerde aard van risicobeheer door derden, inclusief het beoordelen van potentiële kwetsbaarheden die zijn geïntroduceerd via ingekochte hardware, software of aannemers.

Hoewel risicobeoordeling een continu proces moet zijn, moeten organisaties met kritieke infrastructuur beginnen met periodieke diepgaande risicobeoordelingen die zijn ontworpen om bedreigingen, kwetsbaarheden en mogelijke gevolgen van cyberaanvallen en andere oorzaken van operationele verstoring te kwantificeren. Mogelijke kwetsbaarheden zijn gedeelde wachtwoorden, niet-gepatchte systemen, software en hardware van onbekende herkomst en overdreven tolerante firewalls.

Maar dergelijke beveiligingsbeoordelingen kunnen lastig zijn om uit te voeren. Er is een scala aan apparaattypen om te volgen, variërend van pompen en kleppen, legacy-controllers en talloze computerapparaten. Bovendien vereist het begrijpen van de gevolgen van een inbreuk op een industrieel systeem een ​​diepgaande operationele kennis. In een omgeving met tientallen verschillende systemen wordt het probleem nog groter.

Traditionele netwerkscantechnieken vereisen zorgvuldigheid. Actieve netwerk- en kwetsbaarheidsscantechnieken van industriële besturingssystemen kunnen besturingssystemen crashen. Veilig actief scannen in een kritieke infrastructuuromgeving kan over het algemeen veilig worden gedaan, volgens Dale Peterson, een consultant die gespecialiseerd is in de beveiliging van industriële controlesystemen. Maar het vereist nauw samenwerken met de operaties om het risico aan te pakken. Hoewel passieve technieken voor netwerkbewaking minder opdringerig zijn, zijn ze ook minder nauwkeurig. “Dit debat is vaak waar die IT-beveiligingsvisie botst met de OT-visie. De IT-beveiligingspersoon is geneigd om actief te scannen, maar de persoon die verantwoordelijk is voor het bewaken van een kritiek infrastructuursysteem geeft vaak de voorkeur aan een passieve benadering omdat hij het niet in gevaar wil brengen.”

Vooral bij diepgaande beoordelingen is het waarschijnlijk dat organisaties een lange lijst met problemen ontdekken en twijfels hebben bij de oplossing die prioriteit moet krijgen. Wat het probleem ook verergert, is dat veel cyberbeveiligingsprofessionals over het algemeen geen directe ervaring hebben met alle apparatuur die een audit ondergaat, en dus moeten vertrouwen op interviews met doorgewinterde eigenaren en beheerders van activa om hun cyberrisico te peilen.

Organisaties moeten zowel de ernst als het gemak van herstel afwegen. Toegangscontrole is hier vaak een thema, zegt Miklovic. "Boundary-interfaces zijn altijd het zwakste onderdeel van elk cyberbeveiligingsprobleem, of het nu een protocolgrens of een fysieke grens is", zei hij. "Zelfs in de industriële cyberbeveiligingswereld zijn USB-drives nog steeds een van de grootste inbreukpunten."

Hoewel het voor een personeelslid snel en goedkoop is om superlijm of soldeer te gebruiken om ongebruikte USB-drives aan te sluiten, richten sommige organisaties zich te veel op het aanpakken van de "gemakkelijke dingen" bij hun herstel, zei Howard. “Ja, er zijn drempelverlagende maatregelen die u onmiddellijk moet uitschakelen. Maar daarna moet je prioriteiten stellen op basis van risico.”

Volgens Joe Saunders, CEO van RunSafe, is het mogelijk om dat risico te kwantificeren met behulp van een twee-op-twee-matrix die de waarschijnlijkheid van de impact van een kwetsbaarheid en de potentiële ernst afweegt.

Het opstellen van een risicoprofiel voor elk systeem is zelden eenvoudig. Interviews met eigenaren en beheerders van activa zijn essentieel om de impact te begrijpen als een bepaald systeem zou crashen. "Je kunt een machine hebben die kwetsbaar lijkt en een hoog risico heeft", zei Miklovic. Maar als het naar beneden gaat, kan het alleen geïsoleerde problemen veroorzaken in plaats van alles "tot stilstand te brengen".

Een andere factor die de risicobeoordeling kan bemoeilijken, is de neiging van organisaties om prioriteit te geven aan cyberprioriteiten uitsluitend op basis van de geïnvesteerde tijd of het geïnvesteerde geld. "Wat een organisatie waardevol vindt, kan heel anders zijn dan wat een cybercrimineel waardevol vindt", zegt Bill Malik, vice-president infrastructuurstrategieën bij Trend Micro.

Als het gaat om verouderde apparatuur, kunnen organisaties worden beperkt in hun vermogen om risico's te verminderen. Een apparaat met een tientallen jaren oud besturingssysteem kan waarschijnlijk niet worden bijgewerkt. "De strategie die doorgaans op deze systemen wordt gevolgd, is om te isoleren en te controleren", zei Howard. “Mijn ervaring is dat de isolatie meestal behoorlijk poreus is.”

Nieuwe risico's in het nieuwe normaal

Risicobeheer in kritieke infrastructuur is een steeds grotere uitdaging geworden met toenemende zorgen over cyberbeveiliging. De noodzaak voor die organisaties om COVID-19-responsplannen te ontwikkelen en tegelijkertijd werken op afstand voor sommige werknemers uit te breiden, maakt het nog ingewikkelder. "Ik denk dat de belangrijkste soort verandering die we zien in kritieke infrastructuuromgevingen het thuiswerkscenario is", zegt Jamil Jaffer, senior vice president voor strategie, partnerschappen en bedrijfsontwikkeling bij IronNet Cybersecurity.

Het paradigma van thuiswerken heeft de bescherming van kwetsbare systemen gecompliceerd, zei Howard. "Nu heb je werknemers die VPN gebruiken om vanuit huis verbinding te maken met productiesystemen om wijzigingen aan te brengen", zei hij. “Dat hadden ze waarschijnlijk niet eerder gedaan.”

Evenzo kunnen sommige organisaties in de verleiding komen om derden, zoals leveranciers en technici, externe toegang tot gevoelige systemen te verlenen. "Er is waarschijnlijk minder aandacht voor cyberbeveiliging wanneer veel mensen gefocust zijn op het krijgen van hun werk en het behouden van hun baan", zegt Norton.

Netwerkbeschikbaarheid is een andere overweging voor organisaties die de mogelijkheden voor werken op afstand willen opschalen in kritieke infrastructuurcontexten. "In het verleden had je organisaties met 10-20% van hun werknemers die traditionele externe toegangsinfrastructuur gebruikten", zegt Norton. Nu organisaties hun mogelijkheden voor werken op afstand hebben opgeschaald, "zijn velen in de problemen gekomen met bandbreedte, schaalbaarheid en implementatie van middelen", aldus Norton.

Hoewel het uitbreiden van de connectiviteit voor industriële activa mogelijk tot meer kwetsbaarheden kan leiden, onderstreepte COVID-19 ook het risico van ouderwetse noodplannen die afhankelijk zijn van de fysieke aanwezigheid van werknemers, handmatige processen en papierwerk.

Hoewel ze traditioneel langzaam veranderen, moeten organisaties met kritieke infrastructuur er niet voor terugdeinzen om grootschalige wijzigingen in hun technologie-architectuur aan te brengen als ze de kernprocessen en workflows heroverwegen. "Als dit het nieuwe normaal is, moet je waarschijnlijk je infrastructuur opnieuw ontwerpen", zei Norton.

Naar proactieve cyberbeveiliging 

Uiteindelijk proberen organisaties met kritieke infrastructuur over te stappen van diepgewortelde, handmatige processen die incrementele risicovermindering bieden naar een meer proactieve houding op het gebied van cyberbeveiliging. "Industriële omgevingen zijn vaak complex en voortdurend in ontwikkeling", zegt Natali Tshuva, CEO van Sternum. "Veiligheidscontroles zijn niet alleen nodig om de huidige status te beoordelen, maar ook om de komende jaren duurzame bescherming en gemoedsrust te bieden."

Traditioneel betekende beveiliging van industriële en kritieke infrastructuur fysieke beveiliging, die veiligheid en toegangscontrole omvatte binnen een fysieke perimeter. Veel traditionele industriële protocollen zijn fundamenteel onveilig omdat de ontwerpers ervan uitgingen dat alleen geautoriseerd personeel er toegang toe zou hebben. Maar de opkomst van werken op afstand, cloudcomputing en IIoT hebben het beveiligingsmodel ondermijnd. De invloed van dat legacy-model is echter een van de redenen waarom veel organisaties op het gebied van kritieke infrastructuur - en ook grote ondernemingen - een reactieve beveiligingsaanpak hanteren.

De nadruk van een dergelijk herontwerp moet liggen op het creëren van robuuste en efficiënte workflows op basis van universeel beveiligingsbeleid. "Verplaats de beveiligingscontroles zo dicht mogelijk bij de activa", adviseerde Norton.

Het proces omvat het creëren van een uitgebreid en evoluerend beveiligingsbeleid voor de volgende activa:

• Apparatuur en apparaten :Dergelijke hardware kan variëren van oudere industriële apparatuur tot IoT-apparaten tot door het bedrijf uitgegeven laptops. "Het is super belangrijk om die apparaten te begrijpen in hun context ten opzichte van gebruikers", zegt Norton. Organisaties moeten industriële controllers beveiligen, adviseerde Joe Saunders, CEO van RunSafe Security. Het beveiligen van sensoren en gateways is daarentegen relatief eenvoudig. “Maar controllers zijn prestatiegevoelig en zitten diep in de infrastructuur.”
• Netwerken en gebruikers :Wat gebruikers betreft, moet beveiligingspersoneel de toegang zo veel mogelijk beperken op basis van controles die zijn uiteengezet in een beveiligingsbeleid van de organisatie. "Je kunt een beleidsengine hebben die praat met die beveiligingscontroles waarmee je dynamisch, via de context van de gebruiker en de applicatie, logica kunt toepassen", zei Norton. Organisaties moeten ook investeren in mogelijkheden voor het detecteren van netwerkinbreuken.
• Gegevens . Gegevensclassificatie en -detectie zijn waardevolle hulpmiddelen voor het evalueren van het controleniveau dat nodig is om een ​​bepaald gegevenstype te beschermen.
• Workflow, workloads en processen. De vereiste mate van bescherming verklaart de intrinsieke waarde van deze processen voor uw organisatie en de waarschijnlijkheid dat kwaadwillenden zich ermee bemoeien. Deze taak omvat ook het versterken van de toeleveringsketen en ervoor zorgen dat aannemers en leveranciers voldoen aan een bepaald niveau van beveiligingscontroles.
• Softwareontwikkelingsprocessen. Organisaties met kritieke infrastructuur "moeten beveiliging inbouwen in softwareontwikkeling, zodat de software die u implementeert veerkrachtig is", zei Saunders.  

Hoewel cyberhygiëne van vitaal belang is, is een veelvoorkomende valkuil bij beveiliging dat er te weinig prioriteit wordt gegeven aan detectie, reactie en herstel van bedreigingen. "Een snelle vuistregel is om 50% van je inspanningen te besteden aan preventie en detectie, en 50% van je inspanningen aan responsherstel", zegt Matt Selheimer, executive bij PAS Global. "Traditioneel is de aanpak die veel organisaties hebben gekozen, eerst de preventieve controles in te voeren", zei Norton. Maar gezien de complexiteit van het onderzoeken van risico's in kritieke infrastructuuromgevingen, nemen respons en herstel soms een achterstand in. "Als er toch iets misgaat, wil je het snel kunnen identificeren en afsluiten", zegt Norton. "Dat is net zo belangrijk als iets voorkomen, omdat je weet dat er uiteindelijk iets mis gaat."

Organisaties die de overstap willen maken naar een proactieve cybersecurity-houding kunnen inspiratie putten uit verschillende kaders, variërend van de uitgebreide ISO 27002 en standaarden die specifiek zijn voor industriële controlesystemen zoals ISA/IEC 62443. Een relatieve nieuwkomer is de Cybersecurity Maturity Model Certification (CMMC) van de Ministerie van Defensie - ontworpen om het beveiligingsniveau te specificeren dat vereist is voor organisaties om te bieden op verschillende overheidsprogramma's. Opgesplitst in vijf niveaus, specificeren de eerste drie basis-, gemiddelde en goede cyberhygiëne. De twee bovenste lagen vereisen een meer geavanceerd cyberbeveiligingsbeheer. De vierde bepaalt dat "alle cyberactiviteiten worden beoordeeld en gemeten op effectiviteit" waarbij de beoordelingsresultaten worden gedeeld met het management. Het hoogste niveau voegt gestandaardiseerde en uitgebreide documentatie toe met betrekking tot alle relevante eenheden.

"Het is het eerste raamwerk dat we hebben gezien met een uitgestippeld volwassenheidsmodel dat specifiek is voor integrators en hun onderaannemers die bieden op gevoelige overheidsprogramma's", zegt Tony Cole, chief technology officer bij Attivo Networks. Het raamwerk zou organisaties met kritieke infrastructuur kunnen aanmoedigen om een ​​meer geavanceerd begrip van interne cyberrisico's te ontwikkelen, evenals de due diligence die van derden wordt vereist. Er is een mate van objectiviteit in het raamwerk dat nuttig zou kunnen zijn, zei Cole. “Volgens het model moet een externe auditor binnenkomen en het cyberbeveiligingsniveau van een aannemer bevestigen. Geen zelfgerapporteerde onderzoeken', zei hij. "Iemand moet het controleren."

Automatisering is ook een element waarmee rekening moet worden gehouden bij het ontwerpen van een proactieve beveiligingsstrategie. Technieken zoals machine learning kunnen organisaties helpen bij het automatiseren van routinematige beveiligingsmonitoringstaken, zoals detectie van netwerkinbreuken, en het implementeren van controles om de verspreiding van aanvallen te stoppen.

Geïntegreerde beveiligingen, die steeds vaker beschikbaar zijn op diverse apparaten met beperkte middelen, bieden intrinsieke bescherming tegen bedreigingen. Bescherming op het apparaat moet ook "uitgebreide vermogensbeheermogelijkheden omvatten", zei Tshuva. Dergelijke controles ondersteunen de zichtbaarheid van het netwerk en kunnen automatische waarschuwingen voor aanvallen geven.

Organisaties die zich haasten om manieren te vinden om beveiligingsmonitoring te automatiseren zonder een robuust en contextueel beveiligingsbeleid, worden vaak geconfronteerd met een explosie van valse alarmen, waarschuwde Selheimer. Maar uiteindelijk zouden alle organisaties moeten plannen om tijd te investeren in het afstemmen van beveiligingscontroles. “In OT is het niet anders dan in IT. Mensen in het [security operations center] besteden veel tijd aan het afstemmen van firewallregels en beveiligingsinformatie, correlatieregels voor eventmanagement om de ruis te verminderen, "zei Selheimer.

Wat de zaken nog ingewikkelder maakt, is het unieke en gevarieerde landschap van kritieke infrastructuur, dat de implementatie van kant-en-klare beveiligingsautomatisering en AI-tools kan bemoeilijken. “Er zijn zeker enkele beperkingen. Maar er zijn ook manieren om dat aan te pakken, 'zei Norton. Organisaties kunnen bijvoorbeeld gevoelige operationele systemen isoleren en automatiserings- en orkestratietools gebruiken om de resulterende enclave te beschermen. "Automatiseer door middel van automatisering en orkestratie zoveel mogelijk en organiseer vervolgens waar je niet kunt automatiseren om ervoor te zorgen dat je over effectieve mogelijkheden beschikt en reageert en je aanpast aan bedreigingen", aldus Norton.

Uiteindelijk zullen de beveiligingsrisico's van kritieke infrastructuur waarschijnlijk snel verschuiven. "Proactief zijn betekent dat je constant je cyberhouding aanpast om aan te pakken wat er gebeurt, zowel in termen van directe gevolgen voor de organisatie als wat je ziet gebeuren vanuit een brancheperspectief," zei Norton.