Overwegingen bij de aanschaf van apparaten voor externe toegang voor beveiliging

Operationele teams die industriële systemen gebruiken, vertrouwen op apparaten voor externe toegang om hun werk te doen en denken zelden na over de niet-technische en niet-commerciële overwegingen bij het kopen. Maar de recente geschiedenis leert ons dat waar het apparaat - en zelfs de componenten in het apparaat - vandaan komen, veel belangrijker is dan we beseffen.

Aanvallen van de toeleveringsketen zijn ernstig

Een supply chain-aanval is een categorie cyberbeveiligingsaanvallen waarbij toegang wordt verkregen door zich te richten op upstream-elementen in de supply chain. Een leek die een apparaat koopt, misschien om in het weekend een apparaat in gebruik te nemen, denkt misschien dat het risico niet groot genoeg is om de aankoopbeslissing te beïnvloeden, maar dat is het wel.

Supply chain-aanvallen zijn enorm populair bij aanvallers, omdat ze door te infiltreren bij één leverancier toegang krijgen tot veel eindgebruikers. Stuxnet was bijvoorbeeld een effectieve supply chain-aanval gericht op PLC's die worden gebruikt in een uraniumverrijkingsprogramma. NotPetya, dat naar schatting 10 miljard USD aan schade aanrichtte aan organisaties, waaronder Merck en Saint-Gobain, werd verspreid via software voor belastingvoorbereiding. Meest recentelijk gaf SUNBURST achterdeur toegang tot wel 18.000 organisaties en werd het verspreid via SolarWinds-software. Dit is al vele malen gebeurd en zal doorgaan vanwege de uitbetaling voor de aanvaller.

Lever ketenaanvallen naar ICS via apparaten voor externe toegang

Het idee van een supply chain-aanval gericht op ICS via een apparaat voor externe toegang is niet alleen theoretisch, het is al eerder gebeurd. In 2014 infecteerde Dragonfly-malware veel organisaties en werd verspreid via Ewon's Talk2M-toepassingssetuppakketten, software die wordt gebruikt om VPN-toegang tot ICS-apparatuur te bieden. Het SANS Institute heeft een paper over de aanval en de gevolgen ervan geleverd, die u hier kunt lezen.

Overwegingen alvorens te kopen

Dus, teruggaan naar de leek die een apparaat koopt, zodat ze wat apparatuur in gebruik kunnen nemen - wat moeten ze doen?

In situaties waarin u geen expert bent – ​​en ook niet kunt zijn – is het verstandig om te kijken naar wat experts doen. In het geval van veiligheid zou een van deze experts het Amerikaanse ministerie van Defensie zijn. Ze verbieden duidelijk de aankoop en het gebruik van apparaten, of contracten af ​​te sluiten met leveranciers die apparaten gebruiken, van bepaalde buitenlandse fabrikanten vanwege risico's in de toeleveringsketen. Een DoD-memo van juli 2020 schetst deze praktijk en kan hier openbaar worden bekeken. Een genoemd bedrijf van belang is Huawei Technologies Company (en haar dochterondernemingen en gelieerde ondernemingen), vanwege het brede gebruik van hun chips, ook in apparaten voor externe toegang, zoals Tosibox.

Dus een afhaalmaaltijd voor de leek hier kan zijn om waar mogelijk binnenlandse te kopen. Opgemerkt moet worden dat het kopen van in eigen land vervaardigde producten en producten die zijn ontworpen met diepe beveiligingslagen, niet gemakkelijk is en meestal een prijsverhoging vereist, maar ongetwijfeld de kosten voor de gebruiker waard is, vooral voor toegang op afstand tot industriële systemen.

Naast supply chain-risico's zijn er veel technische en organisatorische overwegingen bij het implementeren van toegang op afstand. Ik heb deze onderzocht in een werkgroep met The Organization for Machine Automation and Control (OMAC), die vervolgens een Praktische gids voor externe toegang tot fabrieksapparatuur publiceerde die ik zou aanraden om te lezen.