De opkomst van aanvallen op Internet of Things (IoT) of OT (Operational Technology) systemen is een game changer geworden voor bedrijven. Tegenwoordig is het onredelijk om geen cyberdefensiestrategie te bedenken voor de IoT-vloot/-operaties binnen de uitgebreide onderneming.
OT-machines gebruiken specifieke netwerken. Ze vormen de basis van besturingstechnologieën voor industriële systemen. Tot nu toe werden ze beschermd door hun isolement of zelfs door de privacy van hun besturingssystemen. Maar beetje bij beetje zijn we getuige van de veronachtzaming van deze industriële omgevingen met de komst van machines en openbare graan. De democratisering van software en hardware opent de “deur” naar cyberdreigingen in de geïndustrialiseerde wereld. Tegelijkertijd is de industriële sector gekoppeld aan het bedrijfsinformatiesysteem. Netwerkconvergentie die ook bijdraagt aan het vergroten van het aanvalsoppervlak van het veld van OT.
Daarbij komt de komst van het Internet of Things binnen bedrijven. Het valt niet te ontkennen dat er beveiligingsproblemen zijn in het internet der dingen. Ontwerpfouten die cybercriminelen vaak als toegangspunten gebruiken.
IoT & OT via de cloud
Volgens het jaarlijkse Digital Defense-rapport van Microsoft maken de oplossingen van vandaag deel uit van een patroon dat voornamelijk cloudservices omvat. Omdat het voor de meeste bedrijven het dagelijkse leven is geworden, vooral sinds het begin van de pandemie, vormt het Cloud-IoT-OT-huwelijk de kern van zaken, operaties en dus de veiligheid van de professionele wereld. Aandacht is ook te danken aan de escalatie van aanvallen die hij de afgelopen twee jaar heeft ondergaan. Aanvallen die aantonen dat een cyberbeveiligingsstrategie voor verbonden objecten moet worden verbeterd.
Van gevaar naar aanval
Ter ondersteuning van deze feiten noemt het rapport onder meer de cyberaanval op de “koloniale pijpleiding” die het belangrijkste Amerikaanse gaskanaal heeft stilgelegd. Ook, met mogelijk aanzienlijke gevolgen voor de gezondheid van mensen, spreekt het “Digital Defense Report” over het hacken van een waterzuiveringsinstallatie in Oldsmar, Florida. Het doel van deze aanval was om het natriumhydroxidegehalte in het water te wijzigen. Het SCADA-programma werd twee keer gehackt om 11.100 ppm in plaats van 100 ppm NaOH in het water te injecteren. Gevaarlijke inhoud voor mensen. Een ander voorbeeld is de inbeslagname van beveiligingscamera’s die toegang gaven tot ziekenhuizen, politiebureaus, enz.
6 stappen om binnen te komen
Cybersecurity-analisten van Microsoft hebben een aanvalspatroon in zes stappen bedacht dat in het onderstaande diagram wordt beschreven. De eerste stap is erkenning. Of het nu via social engineering, sociale netwerken of anderszins is, de aanvaller verzamelt informatie over werknemers en het soort dingen waarmee ze werken. Zodra het doelwit is geïdentificeerd, probeert het te hacken via het Internet of Things of OT (indien direct mogelijk), vaak met minder bescherming dan een telefoon of laptop. Een andere mogelijkheid van de aanvaller: communiceren met zijn doelwit via traditionele uitwisseling (mail, sms, instant messaging, enz.). Vervolgens hoeft het alleen maar een aanval uit te voeren door een IoT- of OT-fout te misbruiken, zich te richten op het thuisnetwerk van de werknemer en te profiteren van de bestaande context die werken op afstand bevordert. De volgende stap is om van IoT naar OT te stuiteren wanneer dit nog niet is gedaan (zijwaartse beweging) en zo toegang te krijgen tot de rest van het thuisnetwerk en vervolgens het bedrijfsnetwerk zodra het wordt geopend vanuit een externe sessie of wanneer de werknemer keert terug naar het hoofdkantoor.
Naamsvermelding is altijd moeilijk
Een toename van de kracht van dit type aanval blijkt ook uit de laatste trends in aantallen. Te beginnen met ‘command and control’-services die door cyberaanvallers worden gebruikt om gecompromitteerde systemen op afstand te besturen. De volgende grafiek geeft een indicatie van de geografische spreiding van deze dreigingsaanbieders. Onthoud echter dat u een bewaarder van een dergelijke dienst kunt zijn zonder het zelfs maar te weten…
Mirai en Japhet zegevieren
Van de vele malware vielen er twee op door de bron van veel aanvallen te zijn. Mireille en Javitt en hun varianten waren het afgelopen jaar verreweg de meerderheid.
Een punt om op te merken is dat IoT-malware voornamelijk mobiele/embedded platforms aanvalt met MIPS/ARM-processors.
