Versterking van de netwerkrand:Five Eyes-agentschappen adviseren bedrijven over de bescherming van kritieke apparaten

Nu het aantal aanvallen op edge-apparaten steeds meer toeneemt, waardoor aanvallers nog meer bedrijfsnetwerken kunnen binnendringen, is het tijd voor iedereen om zijn beveiligingsspel op te voeren, zeggen instanties in de Five Eyes-alliantie

De nationale inlichtingendiensten van vijf landen hebben bedrijven advies gegeven over het verslaan van spionnen in hun eigen spel, in een reeks documenten die bedoeld zijn om hen te helpen netwerkrandapparaten en -apparatuur zoals firewalls, routers, VPN-gateways (virtuele particuliere netwerken), Internet of Things (IoT)-apparaten, internetgerichte servers en internetgerichte OT-systemen (operationele technologie) te beschermen tegen cyberaanvallen.

De Five Eyes-alliantie brengt de inlichtingendiensten van Australië, Canada, Nieuw-Zeeland, Groot-Brittannië en de VS samen. De verschillende instanties hebben de uitdaging van het beveiligen van de netwerkrand elk vanuit een andere invalshoek benaderd en hebben dinsdag hun rapporten vrijgegeven.

"Buitenlandse tegenstanders maken routinematig misbruik van softwarekwetsbaarheden in netwerkrandapparaten om kritieke infrastructuurnetwerken en -systemen te infiltreren. De schade kan duur, tijdrovend en catastrofaal zijn voor organisaties in de publieke en private sector", aldus de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) in de inleiding van de richtlijnen. “Deze begeleidingsdocumenten beschrijven verschillende overwegingen en strategieën voor een veiliger en veerkrachtiger netwerk, zowel vóór als na een compromis.”

De nieuwe documenten vormen een aanvulling op de Amerikaanse richtlijnen die fabrikanten helpen apparaten te bouwen die door hun ontwerp veilig zijn. Het Canadian Centre for Cyber Security (CCCS) was leidend op het gebied van beveiligingsoverwegingen voor edge-apparaten, dat niet alleen een gedetailleerde lijst biedt met taken voor bedrijfs-IT, maar ook links bevat naar specifieke richtlijnen over beveiliging voor externe werknemers en organisaties met BYOD-modellen (Bring Your Own Device), evenals richtlijnen voor fabrikanten van edge-apparaten.

Een opgelost probleem

In een niet zo subtiele grap tegen fabrikanten van producten met slecht beveiligde netwerkbeheerinterfaces (NMI's) werd ook opgemerkt:"Het is mogelijk voor leveranciers om hun producten te versterken, zodat ze veilig blijven met NMI's die worden blootgesteld aan internet. Dit is een opgelost probleem en klanten moeten van leveranciers eisen dat ze hun apparaten versterken om NMI's te beveiligen."

Digital Forensics Monitoring Specifications for Products of Network Devices and Applications, geleid door het Britse National Cyber Security Centre (NCSC-UK), richt zich op minimumvereisten voor forensische zichtbaarheid. Het beschrijft wat er moet worden vastgelegd, hoe de logboeken moeten worden opgeslagen en beveiligd, en wat de vereisten zijn voor het verzamelen van forensische gegevens in geval van een incident.

“Door de minimumniveaus van waarneembaarheid en digitale forensische basislijnen te volgen die in deze richtlijnen worden beschreven, zullen fabrikanten van apparaten en hun klanten beter toegerust zijn om kwaadaardige activiteiten tegen hun oplossingen te detecteren en te identificeren”, aldus het rapport. “Apparaatfabrikanten zouden het ook moeten gebruiken om een basislijn van standaardfuncties vast te stellen die kunnen worden opgenomen in de architectuur van netwerkapparaten en -apparatuur, om forensische analyses voor netwerkverdedigers te vergemakkelijken.”

Australië nam het voortouw bij twee documenten:Mitigation Strategies for Edge Devices:Executive Guidance en Mitigation Strategies for Edge Devices:Practitioner Guidance. Deze handleidingen, onder leiding van het Australian Cyber Security Centre (ASD’s ACSC) van het Australian Signals Directorate, bieden een samenvatting van mitigatiestrategieën en best practices voor het effectief beveiligen, versterken en beheren van edge-apparaten, en technische details over zeven mitigatiestrategieën die operationeel, inkoop- en cyberbeveiligingspersoneel moeten implementeren om de risico's voor edge-apparaten te verminderen.

“Het Australian Cyber Security Centre (ACSC) van het Australian Signals Directorate (ASD) heeft een zorgwekkende toename opgemerkt in het aantal incidenten waarbij edge-devices zijn gecompromitteerd”, aldus de richtlijnen van de praktijk. “Edge-apparaten zijn blootgesteld aan internet, zijn doorgaans moeilijk te monitoren en hebben toegang tot andere assets op het netwerk, waardoor ze een aantrekkelijk toegangspunt en doelwit vormen voor kwaadwillende actoren.”

Het laatste document, geleid door CISA, is een update van een gids uit 2023 over Secure-by-Design-principes voor fabrikanten met links naar bronnen over de implementatie.

“Producten die zijn ontworpen met de Secure by Design-principes geven prioriteit aan de veiligheid van klanten als een kernvereiste van het bedrijf, in plaats van deze alleen maar als een technisch kenmerk te behandelen”, aldus de inleidende webpagina. "Tijdens de ontwerpfase van de ontwikkelingslevenscyclus van een product moeten bedrijven de Secure by Design-principes implementeren om het aantal exploiteerbare fouten aanzienlijk te verminderen voordat ze op de markt worden geïntroduceerd voor wijdverbreid gebruik of consumptie. Out-of-the-box moeten producten veilig zijn met extra beveiligingsfuncties zoals multi-factor authenticatie (MFA), logging en single sign-on (SSO) die beschikbaar zijn zonder extra kosten."

Een groot probleem... als apparaatfabrikanten eraan voldoen

De richtlijnen voor fabrikanten boeien vooral Frank Dickson, IDC’s vice-president voor veiligheid en vertrouwen. “Dit is een supergrote deal”, zei hij. “Het is legitiem enorm, vooral als fabrikanten van apparaten capituleren en aan deze eisen voldoen.”

“Deze apparaten zijn bedrijfskritisch”, voegde hij eraan toe. “en sommige van deze apparaten zijn belachelijk kwetsbaar in termen van de hoeveelheid gegevens die erdoorheen stromen.” Desondanks, zo merkte hij op, bieden veel ervan geen inzicht in wat er binnenin gebeurt, zodat klanten niet kunnen beoordelen of de fabrikant goed werk levert bij het updaten van de firmware en proactief is.

Katell Thielemann, onderscheiden VP-analist bij Gartner, is ook blij met de richtlijnen, maar merkte op dat dit slechts een begin is.

“De adviezen zijn positief omdat ze laten zien dat de Five Eyes-gemeenschap samenwerkt om best practices naar voren te brengen”, zei ze. En ze blijven “de gemeenschap eraan herinneren dat alles wat met internet verbonden is, standaard zichtbaar is en een potentieel doelwit is.”

OT is niet IT

Ze is echter niet van mening dat het op één hoop gooien van op het internet aangesloten firewalls, routers, IoT-apparaten en OT-systemen in een advies nuttig is voor de gemeenschap, en “geen van beide noemt ze ‘edge-apparaten’, omdat het ervan uitgaat dat zakelijke IT het centrum van het universum is en dat de ‘edge’ daarbuiten is.”

“Dat geldt misschien voor firewalls, routers en VPN-gateways, maar niet voor OT-systemen”, vervolgde ze. "Deze OT-systemen zijn Cyber-Physical Systems (CPS) die de productie van waardecreatie en missiekritieke omgevingen ondersteunen. Ze vormen niet de rand; ze vormen de kern van de bedrijfsvoering."

Velen zijn met het internet verbonden om bediening en onderhoud op afstand te ondersteunen, merkte ze op, dus “het doel zou moeten zijn om advies te geven over hoe je veilig op afstand toegang kunt krijgen tot die systemen, en de toon van de adviezen zou gericht moeten zijn op de productierealiteit waar IT-beveiligingstools en -processen niet altijd een goed idee zijn.”

Ook Dickson denkt dat de richtlijnen een goede eerste stap zijn, maar voegde eraan toe:“Als we loggen en zichtbaarheid voor digitaal forensisch onderzoek toestaan, zou het ook fijn zijn als er een probleem zou zijn, dat we daadwerkelijk herstel op dat apparaat zouden kunnen uitvoeren, een soort verbod.”

“Het is al een tijdje een enorm probleem”, zegt hij. "Het feit dat er een grote, gecoördineerde actie plaatsvindt in de verschillende Five Eyes-landen is buitengewoon belangrijk. Het is krachtig, luid, gepast, het zijn allemaal goede dingen. Eerlijk gezegd was ik zo onder de indruk dat ze dit hadden aangekondigd, dat ik dacht:'Godzijdank, we pakken dit probleem eindelijk aan.'

“Het enige wat we hoeven te doen is dat een paar hele grote organisaties [de richtlijnen] implementeren als een vereiste voor het kopen van een aantal van deze edge-apparaten in de toekomst en [het probleem] zal worden opgelost.”

ABONNEER U OP ONZE NIEUWSBRIEF

Van onze redactie rechtstreeks naar je inbox

Ga aan de slag door hieronder uw e-mailadres in te voeren.