ICS-beveiliging in de schijnwerpers vanwege spanningen met Iran 

Gezien de verhoogde spanningen tussen de VS en Iran, organisaties met aangesloten industriële infrastructuur moet op zijn hoede zijn.

"De potentiële cyberimpact van de moord op [Iraanse generaal Qasem] Soleimani is groot", waarschuwde Eyal Elyashiv, CEO en mede-oprichter van netwerkbeveiligingsbedrijf Cynamics.

Waarnemers in de sector zeggen dat de recente problemen tussen de twee landen het cyberrisico als geheel vergroten. "Hoewel Trend Micro geen voorkennis heeft over specifieke aanvalsplannen, ligt het voor de hand dat verhoogde politieke spanningen cyberaanvallen zouden veroorzaken", zegt Bill Malik, vice-president infrastructuurstrategieën bij Trend Micro.

In de nasleep van de moord hebben verschillende cyberbeveiligingsexperts en Amerikaanse regeringsfunctionarissen gewaarschuwd voor het ICS-beveiligingsrisico dat Iran-gelieerde tegenstanders vormen.

Anderen wijzen op de waarschijnlijkheid van kleinere cyberaanvallen die bedoeld zijn om af te leiden in plaats van vergelding te vragen. Het vooruitzicht van een totale cyberoorlog tussen de VS en Iran "mag niet de standaardveronderstelling zijn", zegt Andrea Little Limbago, Ph.D., hoofd sociaal wetenschapper bij Virtru. Irans “cyberactiviteit – van vernietigende aanvallen tot desinformatie – is al geruime tijd wijdverbreid. Dat is niet nieuw en niet gekoppeld aan de gebeurtenissen van deze week,” zei ze.

In het afgelopen decennium zijn de cybercapaciteiten van Iran aanzienlijk uitgebreid. Cybersecurity-experts schreven een reeks aanvallen op Amerikaanse en andere doelen - van denial-of-service-aanvallen op Amerikaanse banken tot aangepaste malware gericht op Saudi Aramco-systemen - toe aan Iraanse actoren. Ook gerelateerd aan ICS-beveiliging, beweerden rapporten in 2015 dat Iraanse hackers het Amerikaanse elektriciteitsnet hadden geïnfiltreerd.

"Ambtenaren in de VS zouden zich grote zorgen moeten maken over de cybercapaciteiten en het bereik van Iran", zei Elyashiv.

Hoewel sommige rapporten aangeven dat de spanningen tussen de naties zijn afgenomen, waarschuwde een waarschuwing van het Department of Homeland Security (DHS) van 4 januari dat Iran op zijn minst "aanvallen met tijdelijke verstorende effecten op kritieke infrastructuur in de Verenigde Staten" zou kunnen lanceren. P>

Evenzo waarschuwde de Amerikaanse Cybersecurity and Infrastructure Security Agency voor het mogelijk verhoogde risico van aanvallen en cyberspionage tegen strategische doelen in "financiële, energie- en telecommunicatieorganisaties, en een toegenomen interesse in industriële controlesystemen en operationele technologie."

Iraanse acteurs hebben een geschiedenis van het targeten van Amerikaanse sites. In 2016 openbaarde het Amerikaanse ministerie van Justitie een aanklacht waarin zeven Iraanse aannemers van de Iraanse Islamitische Revolutionaire Garde werden beschuldigd van het uitvoeren van cyberaanvallen op verschillende banken en een dam in New York. De VS beschuldigden ook aan Iran gelieerde actoren van "scouting en planning tegen infrastructuurdoelen en cyberaanvallen op een reeks in de VS gevestigde doelen", aldus een DHS-waarschuwing.

Dergelijke targeting strekt zich uit tot het industriële domein. Een hackercollectief dat bekend staat als Advanced Persistent Threat 33 en gelinkt is aan Iran, heeft volgens Cyberscoop een geschiedenis van aanvallen op de defensie-, transport- en energiesectoren.

Lumbago is van mening dat het te vroeg is om aan te nemen dat Iran op korte termijn prioriteit zal geven aan het exploiteren van ICS-beveiligingsproblemen. "Als de spanningen verder escaleren, kan dat veranderen, maar gezien het huidige niveau, zal de voortdurende cyberactiviteit van Iran doorgaan in wat wordt beschouwd als de grijze zone [die niet escaleert tot oorlog)]", zei ze. "Hoewel ICS zeker een punt van zorg is, begrijpt Iran dat destructieve aanvallen op kritieke infrastructuur waarschijnlijk zullen leiden tot escalatie en vergelding."

Evenzo verwacht Carol Rollie Flynn, voormalig uitvoerend directeur van het CIA Counterterrorism Center, dat Iran kleinere cyberaanvallen zal uitvoeren. “Ze willen niet dat we wraak nemen op hen. Dat hebben ze eerder gevoeld,' vertelde ze aan

Een andere mogelijkheid, zei Lumbago, is dat Iraanse actoren zich kunnen richten op organisaties uit de particuliere sector die geen duidelijke ICS-verbinding hebben. Er is een precedent voor dergelijke tactieken. In 2015 verklaarde James Clapper, de toenmalige directeur van de nationale inlichtingendienst, dat Iran waarschijnlijk achter een aanval op het Sands Casino zat die vergelding was voor anti-Iran-uitspraken van zijn CEO, Sheldon Adelson. "Wat waarschijnlijk meer in overeenstemming is met hun eerdere patronen, is dat ze zich richten op organisaties uit de particuliere sector die verband houden met de uitvoerende macht en die financiële pijn zouden kunnen veroorzaken, maar die het Amerikaanse publiek en de verdeelde regering niet zouden kunnen verzamelen om te reageren," zei Lumbago.

Een ander centraal element in de cyberstrategie van Iran zijn desinformatie-operaties, die Lumbago categoriseerde als "extreem productief en mondiaal". "Er zal zeker een voortzetting zijn van deze activiteiten - zowel in het binnenland om pro-regeringssteun op te bouwen als wereldwijd om anti-Amerikaans sentiment op te bouwen," voegde Limbago toe.

Cyberrisico beheren

Wat er ook van de recente spanningen komt, de situatie biedt organisaties met een industriële infrastructuur de mogelijkheid om de balans op te maken van hun aangesloten apparaten. "We raden eigenaren en operators van industriële controlesystemen nogmaals aan hun technologie-inventaris te bekijken, hun kwetsbaarheden te beoordelen en de controles toe te passen om hun aanvalsprofiel te verminderen", aldus Malik.

Gezien de focus van industriële organisaties op uptime, is het typisch voor industriële omgevingen - inclusief die in kritieke infrastructuuromgevingen - om verouderde, niet-gepatchte hardware en software te gebruiken. "Organisaties moeten verder kijken dan de verouderde systemen die momenteel worden gebruikt om kritieke infrastructuur te beschermen, aangezien de recente geschiedenis duidelijk aantoont dat ze gemakkelijk kunnen worden aangetast", zei Elyashiv.

Hoewel cyberhygiëne van cruciaal belang is, benadrukte David Goldstein, president en CEO van AssetLink Global LLC, dat organisaties zich ook moeten richten op fysieke beveiliging. "Het antwoord op [IIoT]-beveiliging ligt niet helemaal in hardware en software", zei Goldstein.

Ironisch genoeg stond het thema fysieke toegang tien jaar geleden centraal in de Stuxnet-aanval op de nucleaire centrifuges van Iran. In de Stuxnet-campagne installeerden dubbelagenten die zogenaamd namens de Amerikaanse en Israëlische regeringen werkten malware op een centraal netwerk met luchtgaten in de nucleaire verrijkingsfaciliteit van Natanz. Als gevolg hiervan werden uiteindelijk ongeveer 1.000 van de nucleaire centrifuges in de faciliteit vernietigd.

De Stuxnet-saga illustreert het belang van niet alleen toegangscontrole, maar ook van vertrouwen in het algemeen, zei Goldstein. "Met wie werk je samen, wie vertrouw je, wie heeft inloggegevens om in je systeem te komen, wie heeft fysieke toegang?" hij vroeg:"Vertrouwen tussen actoren en partners zal in de loop van de tijd steeds belangrijker worden naarmate IoT-systemen alles doordringen", legde hij uit.

Naarmate IoT-technologieën terrein winnen in industriële contexten, is er een tekort aan cyberexperts die bekend zijn met de wereld van industriële controlesystemen. "De meeste beveiligingsanalisten en -consultants passen dezelfde technieken toe op [industriële] IoT-systemen als op reguliere IT-netwerken op kantoor", zegt Goldstein. Gezien de hoeveelheid propriëtaire protocollen, vormt de moeilijkheid bij het uitvoeren van software-updates in dergelijke omgevingen een "zeer grote kwetsbaarheid", aldus Goldstein.

Organisaties zoals het Amerikaanse ministerie van Defensie en MITER Corp. helpen de kloof te overbruggen met ICS-frameworks zoals het MITRE ATT&CK-framework voor ICS. "Dit document biedt fabrikanten, eigenaren en operators van ICS een manier om mogelijke aanvalsscenario's te bespreken en kwetsbaarheden consistent te rapporteren in alle industriële sectoren", aldus Malik. "Elke organisatie zou sterk moeten overwegen om dit raamwerk te gebruiken om [haar] ICS-beveiligingshouding te verduidelijken."

Malik benadrukte ook dat hij moet leren omgaan met het simpele feit dat cyberbeveiliging meer een reis is dan een bestemming. "Ervan uitgaande dat het tijdsbestek voor dergelijke verhoogde spanningen van korte duur is, kunnen ICS-fabrikanten weinig doen om hun huidige productie [beveiligingshouding] snel te versterken", zei hij.

Malik merkte één kwetsbaarheid op die ICS-leveranciers moesten aanpakken:ze gebruiken hun technologie af en toe in het veld voor onderhoudswerkzaamheden en foutdiagnose. "Die onderhoudslinks kunnen als aanvalsvector dienen", zei hij.

Malik adviseerde leveranciers om verschillende maatregelen te nemen om klantgegevens te beveiligen. Andere essentiële overwegingen zijn onder meer het versleutelen van verkeer waar mogelijk en ervoor zorgen dat software-updates veilig zijn. "Het zou tragisch zijn als een klein probleem bij één klant ervoor zou zorgen dat een fabrikant een oplossing zou pushen voor al zijn technologie die zelf malware bleek te bevatten", zei Malik.