Kwetsbaarheid in de IoT-toeleveringsketen vormt een bedreiging voor IIoT-beveiliging

De meeste bedrijven die producten bouwen met behulp van IIoT-gebaseerde operaties zullen waarschijnlijk de toeleveringsketen nauwlettend in de gaten houden, die een voorspelbare stroom van grondstoffen en diensten levert waarmee ze producten kunnen ontwikkelen en het bedrijf draaiende kunnen houden.

Maar een tweede, onderliggende supply chain krijgt minder aandacht. En als de veiligheid van die toeleveringsketen op de een of andere manier in het gedrang komt, kan het bedrijf tot stilstand komen.

Die over het hoofd geziene supply chain levert de componenten die een IIoT-infrastructuur uitbouwen. De inkoper van die apparaten bevindt zich aan het einde van de supply chain die – vanuit veiligheidsoogpunt – onvoldoende transparantie in de keten heeft. Het zou zelfs een uitdaging zijn om de oorsprong van de interne elementen van de geleverde IIoT-apparaten te achterhalen.

Als gevolg hiervan is het niet ongebruikelijk dat IIoT-gebonden componenten worden geleverd met exploiteerbare beveiligingsproblemen. De complexiteit en het wereldwijde bereik van de IIoT-toeleveringsketen maakt het probleem alleen maar groter:een enkel apparaat kan worden gemaakt van onderdelen die door tientallen fabrikanten van componenten worden geleverd.

"Tientallen componenten gemaakt door bedrijven over de hele wereld stuiteren door meerdere lagen leveranciers en integrators totdat ze op een bord worden geplaatst, getest en verpakt door de OEM", zoals vermeld in "Finite State Supply Chain Assessment, ” een rapport uit 2019 van Finite State, een IoT-cyberbeveiligingsbedrijf.

De risico's voor IIoT-infrastructuren zijn reëel en talrijk

De meeste netbeheerders erkennen IIoT-toeleveringsketenrisico's, maar specifieke kwetsbaarheden zijn moeilijk te isoleren. Deze implementaties zijn vaak verreikend en strekken zich uit buiten de muren van een fabrikant tot verladers, handelaren en andere handelspartners. En naarmate het netwerk zich uitbreidt en extra integratiepunten bevat, neemt het risico dat een stukje onheilspellende kwaadaardige code zich zal repliceren alleen maar toe. De code zelf is misschien niet schadelijk, maar kan een open poort presenteren die systemen kan compromitteren.

"Gewoon uit de eerste hand zien hoeveel kwetsbaarheden zich meestal in embedded systemen bevinden - dat is waar de eigenaren van activa zich niet realiseren dat die kwetsbaarheden in hun systemen bestaan", aldus Matt Wyckhouse, CEO van Finite State.

Zodra een IIoT-omgeving is geschonden, kunnen kwaadwillende actoren deze gebruiken als ingang om verder in de bedrijfssystemen te graven. Industriële controlesystemen (ICS) en andere productiesystemen lopen mogelijk gevaar, maar als indringers de beveiligingsbarrières kunnen omzeilen en nog dieper kunnen graven, kunnen ook belangrijke bedrijfsapplicaties en gerelateerde gegevens worden blootgesteld. Dit is allemaal te wijten aan twijfelachtige firmware die zijn weg vond naar de toeleveringsketen die sensoren, actuatoren en andere operationele IIoT produceert.

"Wanneer een kwetsbaarheid wordt gemeld, duurt het even voordat een fabrikant op die kwetsbaarheid reageert, een patch krijgt en vervolgens de eigenaren van activa de update naar dat apparaat uitvoeren en de nieuwste versie van de firmware ervoor uitvoeren", legt Wyckhouse uit. , waarin wordt beschreven hoe zelfs bekende kwetsbaarheden kunnen blijven bestaan.

In "The State of Industrial Cybersecurity", een onderzoeksrapport van juli 2019, uitgevoerd door de ARC Advisory Group voor Kaspersky, een beveiligingsprovider, zei meer dan een kwart (26%) van de respondenten dat ze "bedreigingen van derden, zoals keten of partners” een grote zorg, en nog eens 44% zei dat het een kleine zorg was. Interessant is dat alle andere grote beveiligingsproblemen — zoals ransomware (70%) en gerichte aanvallen (68%) — tegen een bedrijf kunnen worden gelanceerd via een inbreuk op de toeleveringsketen.

[ Voor meer informatie over IoT-beveiliging, registreer u voor onze IoT-beveiligingsconferentie deze december.]

In hetzelfde onderzoek gaf 28% van de respondenten aan dat het "zeer waarschijnlijk" of "vrij waarschijnlijk" was dat het ICS of industriële controlenetwerk van hun bedrijf zou worden getarget.

De “Global Connected Industries Cybersecurity Survey”, een andere peiling uit 2019 van Irdeto, een in Nederland gevestigde beveiligingsorganisatie, benadrukte dat veel bedrijven al zijn afgebrand door invasieve IoT-aanvallen:“Uit het onderzoek bleek alarmerend dat slechts 17% van de IoT-apparaten gebruikte of vervaardigd door grote ondernemingen hebben in de afgelopen 12 maanden geen cyberaanval gehad.”

Hoe IIoT-toeleveringsketens worden gecompromitteerd

De grootste zorg over de toeleveringsketen die de productielijnen van een bedrijf voedt, is doorgaans dat de productieactiviteit kan worden onderbroken, waardoor de productie wordt vertraagd of stopgezet. Voor de IIoT-toeleveringsketen is de dreiging veel verborgener en kan het weken of maanden duren voordat de effecten zichtbaar worden.

Wanneer er een IIoT-corruptie in de toeleveringsketen optreedt, is dit doorgaans meer het resultaat van een domino-effect, dat de bron van kwetsbaarheid maskeert.

"De aanvallers hebben een aantal slachtoffers in gedachten, maar in plaats van rechtstreeks naar de slachtoffers te gaan, gaan ze naar tier-2 industriële IoT-leveranciers, compromitteren hun websites en vervangen legitieme firmware en software door trojan-versies", aldus Eric Byres, CEO van Adolus, een bedrijf dat een firmware-controleservice levert.

Onwetende IIoT-netwerkbeheerders die het juiste netwerkonderhoud uitvoeren, kunnen onbewust de vijandige code verspreiden. "Ze gaan het onmiddellijk downloaden en meenemen naar hun fabriek", zei Byres, "en plotseling is er deze malware die nu de baas is in hun fabriek, binnen de firewalls, in alles."

Met een voet tussen de deur kunnen indringers zich een weg banen vanuit industriële netwerken en vervolgens inbreuk maken op bedrijfsdatanetwerken. "Schurken vallen één site aan en krijgen zo'n geloofwaardig multiplier-effect", vervolgde Byres. "Het is een verdomd goed rendement op de investering voor een aanvaller."

De meeste IIoT-omgevingen bevatten honderden of duizenden oudere apparaten:sensoren en andere componenten die al tien jaar (of langer) aanwezig zijn. Experts zijn het erover eens dat hoe ouder de apparatuur is, hoe groter de kans is dat deze een veiligheidsrisico vormt omdat deze achterblijft bij ondersteuning en updates.

Het Finite State-rapport beschreef bijvoorbeeld een door Huawei gefabriceerd onderdeel dat code bevatte met behulp van een versie van OpenSSL die in 2003 werd uitgebracht - en dat algemeen bekend (en gedocumenteerd) was als extreem kwetsbaar.

Sommige IIoT-beveiligingsfouten in de toeleveringsketen zijn mogelijk opzettelijk aangebracht, hetzij onschuldig, hetzij met kwaadaardige motieven. Een voorbeeld is een achterdeur. Een achterdeur in een stuk software geeft toegang tot kernonderdelen van de firmware en dus tot het onderdeel zelf zonder het gebruikelijke authenticatieproces te doorlopen.

De goedbedoelde achterdeuren worden vaak opengelaten door fabrikanten van componenten om een ​​toegangspunt te bieden voor technici om het apparaat te ondersteunen en te controleren. Deze backdoors, vaak debug-poorten genoemd, bieden ook kwaadwillende actoren gemakkelijke toegang. Evenzo kunnen applicatieprogrammeerinterfaces (of API's) die bedoeld zijn om integratie met industriële besturingssystemen mogelijk te maken, onbedoeld een ander middel bieden om de werking van een apparaat in gevaar te brengen. De meer snode achterdeuren worden door landen vaak op een kier gelaten voor hun geëxporteerde producten, omdat ze deze later hopen te gebruiken om intellectueel eigendom (IP) of andere gegevens te vegen.

Over het algemeen is de IIoT-toeleveringsketen meer Wild West dan goed gecontroleerd.

“IoT Supply Chain Security:Overview, Challenges, and the Road Ahead” is een onderzoekspaper gepubliceerd door Muhammad Junaid Farooq en Quanyan Zhu van de Tandon School van de New York University. van Ingenieur. “Er is geen controle over de stroomopwaartse toeleveringsketen vanuit het oogpunt van de eigenaar van een apparaat. Niet alle leveranciers zijn klaar om hun cyberbeveiligingspraktijken duidelijk te verwoorden en hun supply chain-informatie openbaar te maken.”

Doelen van kwaadaardige actoren en wat ze willen

Invallen in de IIoT-toeleveringsketen kunnen leiden tot een van de gecompromitteerde situaties die we hebben gezien, veroorzaakt door andere soorten netwerkinbreuken. Maar gezien hun aard en functie kunnen 'lekkende' IIoT-apparaten leiden tot verschillende kwaadaardige activiteiten en verstoringen.

Ransomware onderscheidt zich nog steeds als een belangrijke motivatie voor een aanval. Dat geldt ook voor veel IIoT-infiltraties in de toeleveringsketen, aangezien de slechte actoren de productie kunnen tegenhouden of anderszins negatief kunnen beïnvloeden totdat er losgeld wordt betaald.

Productieonderbrekingen kunnen nog grotere schade aanrichten in een industriële omgeving. Door de gegevensstroom van sensoren en andere IIoT-apparaten te wijzigen, kunnen machine-instellingen worden gemanipuleerd, wat op zijn beurt kan leiden tot ongeziene problemen in het fabricageproces, wat kan leiden tot defecte producten of machines op de fabrieksvloer, zoals robotapparaten, die in een onveilige omgeving gaan werken. manier.

In een rapport van OT Security Best Practices uit maart 2020 werd opgemerkt dat inbreuken op industriële controlesystemen ingrijpende gevolgen kunnen hebben:"Sommige hiervan omvatten een aanzienlijk risico voor de gezondheid en veiligheid van mensenlevens, ernstige schade aan het milieu en financiële problemen zoals productieverliezen en negatieve impact op de economie van een land.”

Bepaalde brancheverticalen zijn ook belangrijke doelen geworden.

"Als je een doelrijke omgeving wilt met veel interessante doelen, ga dan naar energie, ga naar het elektriciteitsnet, ga naar olie en gas", zei Byres van Adolus. "En nu zien we een andere doelwitrijke omgeving die medisch is vanwege de pandemie."

Wyckhouse van Finite State wijst ook op de gezondheidszorg als een belangrijk doelwit. "We zien de afgelopen weken een toename van destructieve en levensbedreigende schadelijke aanvallen in de gezondheidszorg, waarbij ransomware-aanvallen midden in de pandemie ziekenhuizen platleggen."

Een grote beloning is niet altijd het doel van de aanvallers - soms is informatie, zoals bij kritisch intellectueel eigendom (IP), het doel.

Door de kieren in een IIoT-omgeving knijpen om bij het bedrijfsdatanetwerk te komen, is ook een veel voorkomende truc. "Het aanvalsoppervlak groeit en wordt elke dag ingewikkelder", zegt Wyckhouse. "Er zijn bepaalde gevallen waarin we ons zorgen moeten maken over een actor die de toeleveringsketen gebruikt als mechanisme voor eerste toegang."

Hoe om te gaan met tekortkomingen in de toeleveringsketen van IIoT

Voor de meeste bedrijven zal het creëren van een veiligere IIoT-omgeving een aanzienlijke onderneming zijn, simpelweg vanwege het enorme aantal apparaten op netwerken en hun gecompliceerde geschiedenis. Je bent een stap voor als je al een gedetailleerde en uitgebreide inventaris van die apparaten hebt - en als je dat niet hebt, is dat de plek om te beginnen.

Als u eenmaal de ligging van het land heeft bepaald, is een risicobeoordeling van de toeleveringsketen de volgende stap. Identificeer de "macro"-risico's, zoals losgeldsituaties, gegevenscorruptie of IP-diefstal. Maar de risicobeoordeling moet ook op een gedetailleerder niveau komen, waarbij elk apparaat wordt beoordeeld op mogelijke kwetsbaarheid en hoe die kwetsbaarheid kan worden verergerd tot een bredere netwerkinbraak.

Een nadere blik op de netwerken van het bedrijf en hoe ze integreren is ook in orde. Het kan bijvoorbeeld mogelijk zijn om een ​​IIoT van internet te isoleren door air-gapping te gebruiken om de operationele technologie-omgeving te scheiden van de IT-netwerken.

Leveranciers van IIoT-apparaten moeten ook worden beoordeeld, zodat het niveau van hun beveiligingsinspanningen wordt begrepen. De beste tijd hiervoor is wanneer uw bedrijf producten voor aankoop evalueert, omdat "het moment in de levenscyclus van een apparaat waarop de operator de meeste invloed heeft op de fabrikant, tijdens de aankoop van dat apparaat is", aldus Wyckhouse.

Als er veel en frequente aankopen van IIoT-apparaten zijn, is het een goed idee om een ​​formeel beoordelingsproces op te zetten om ervoor te zorgen dat alle leveranciers en producten op de juiste manier worden doorgelicht.

"Neem niet zomaar een stukje papier waarop staat:'We nemen beveiliging serieus'", merkte Byres op. "Krijg een goed rapport van hen of ga naar een derde partij en laat een goede analyse maken, en zoek echt uit of uw leverancier zijn huiswerk doet op het gebied van beveiliging."

U kunt ook op bronnen zoals National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD) tikken om de lijst met Common Vulnerabilities and Exposures (CVE's) te bekijken.

Er ontstaan ​​nieuwe soorten diensten en toepassingen, specifiek om de situatie van de IIoT-toeleveringsketen aan te pakken. Adolus en Finite State zijn voorbeelden van bedrijven met diensten die gebruikers helpen de veiligheid te bepalen van de apparatuur die ze al hebben geïnstalleerd of die ze overwegen.

Adolus begon als een project van het Amerikaanse ministerie van Binnenlandse Veiligheid voordat het uitgroeide tot een commercieel beschikbare dienst. Het is gebouwd bovenop een database die gepubliceerde en anekdotische informatie verzamelt met betrekking tot duizenden IoT-apparaten, inclusief een compilatie van bekende kwetsbaarheden. Eindgebruikers of apparaatfabrikanten kunnen op de database tikken om de afstamming van een component te traceren en details te vinden over de samenstellende onderdelen en leveranciers.

"Onze technologie gaat over het maken van deze software stuklijsten", zegt Eric Byres, CEO van Adolus. "Dus we konden een hele herkomst hebben, niet alleen over het basisproduct dat je net hebt gekocht en geïnstalleerd, maar over alle componenten die daarbij horen."

Eindige Staat hanteert ook een nieuwe benadering van dit probleem. De technologie van het bedrijf kan firmware effectief ontleden om te bepalen of het risico's oplevert voor een IIoT-infrastructuur. Dit is vooral belangrijk omdat, zoals Matt Wyckhouse, CEO van Finite State, aangeeft:"wanneer een firmware-update wordt toegepast, vervangt die firmware alle software op dat apparaat. Het vervangt het volledig en kan dus het risicoprofiel van het apparaat volledig veranderen.”