Orange Cyberdefense: deze 7 veelgemaakte fouten maken OT-omgevingen kwetsbaar

OT Security Orange

Volgens onderzoek van Orange Cyberdefense was de maakindustrie het afgelopen jaar het grootste doelwit van cyberaanvallen: bijna 33 procent trof deze sector. Al jaren is deze industrie het vaakst getroffen. Jeroen Wijnands, Head of OT Security bij Orange Cyberdefense, ziet bij het gros van deze bedrijven dezelfde misstappen. Dit zijn volgens hem de vaakst aangetroffen fouten met de daarbij behorende oplossingen.

  1. Onjuist configureren van antivirussoftware
    Antivirussoftware is cruciaal voor de bescherming van werkstations tegen malware. Wijnands ziet echter vaak dat industriële organisaties deze op een onjuiste manier configureren. Dit leidt weer tot false positives: de software ziet essentiële productiebestanden dan onterecht als gevaarlijk en plaatst deze in quarantaine. Dat kan ernstige verstoringen veroorzaken in productieprocessen.

    Het nauwkeurig instellen van een zogeheten ‘whitelist’ voorkomt dat. “Daar zet je betrouwbare bestanden en applicaties op”, legt Wijnands uit. “Op die manier vertel je de software dat deze bestanden te vertrouwen zijn, waardoor ze niet onterecht in quarantaine kunnen komen. Daarnaast houd je met regelmatige updates en onderhoud van de antivirussoftware het beschermingsniveau op peil. Hiermee vergroot je de kans dat de software ook nieuwe bedreigingen herkent.”
  1. Onvoldoende netwerksegmentatie
    Wijnands merkt dat in veel organisaties de toegang tot een enkele pc voldoende is voor toegang tot nagenoeg alle andere systemen, zowel binnen de IT- als de OT-omgeving. Dat zorgt voor veiligheidsrisico’s: één inbraak op een enkel systeem kan de hele organisatie blootstellen aan bedreigingen. “Een hacker kan in het slechtste geval via één gecompromitteerde pc toegang krijgen tot alle applicaties en data van het bedrijf”, legt hij uit. “Daarnaast is het niet wenselijk dat gevoelige informatie voor iedereen binnen het bedrijf toegankelijk is.”

    Een effectieve oplossing hiervoor is netwerksegmentatie. “Dat houdt in dat je het netwerk opdeelt in meerdere logische segmenten. In die groepen plaats je systemen, data en applicaties die elkaar nodig hebben om goed te functioneren. Het idee is dat die afzonderlijke groepen niet zonder speciale securityvoorzieningen zoals een firewall met elkaar kunnen communiceren. Dat verkleint de ‘beweegruimte’ van een aanvaller aanzienlijk: eenmaal binnen op een systeem heeft een hacker niet automatisch ook toegang tot andere netwerkgroepen.”

    Een veilige communicatie tussen de verschillende segmenten vereist een firewall. “De hoeveelheid communicatie tussen netwerksegmenten is meestal beperkt. Daardoor is een relatief kleine en betaalbare firewall vaak al voldoende.”Netwerksegmentatie heeft nog een belangrijk voordeel, aldus Wijnands. “Hiermee voorkom je ook dat een reguliere gebruiker vanaf één systeem toegang heeft tot alle applicaties en data in een netwerk. Dat is vaak helemaal niet nodig, en zorgt alleen maar voor onnodige risico’s op bijvoorbeeld een datalek.”
  1. Onzorgvuldig gebruik van usb-sticks
    Het lijkt een open deur, maar het gebruik van usb-sticks in de industriële sector is nog steeds wijdverbreid. Medewerkers grijpen vaak gemakshalve naar zo’n stick om snel data te delen of over te dragen aan collega’s of externen zoals servicemonteurs. “Vaak is niet duidelijk waar een usb-stick vandaan komt, of in welke andere systemen deze al is geweest.” Wijnands adviseert strikte regels voor het gebruik van usb-sticks. Dit beleid moet sterke versleuteling, wachtwoordbeveiliging, en regelmatige malwarescans afdwingen. “

    Beperk het gebruik van usb-sticks tot noodzakelijke situaties en stel duidelijke richtlijnen op voor het gebruik ervan. Scan daarnaast alle sticks regelmatig op malware en virussen. Daarnaast is een beleid voor het beheer van data op draagbare opslagmedia verstandig. Denk daarbij aan procedures voor het regelmatig wissen van gegevens en het verifiëren van de inhoud, voordat medewerkers deze delen met externen.”
  1. Negeren van softwareonderhoud machines
    Fabrikanten adviseren doorgaans hun machines goed te onderhouden. Denk aan het vervangen van oliefilters of het smeren van lagers. Goed onderhoud is echter ook noodzakelijk voor de in die machines ingebouwde computersystemen. In de praktijk gebeurt dit volgens Wijnands nog te weinig, veelal uit angst voor verstoringen van het productieproces. Op die manier ontstaan kwetsbaarheden in die systemen.Wijnands wijst op het belang van regelmatig onderhoud van OT-systemen. “Bijvoorbeeld via software-updates en het installeren van patches. Dit is net zo belangrijk als fysiek onderhoud om de veiligheid en prestaties van de installaties op peil te houden.” Volgens hem moeten organisaties wel goed rekening houden met snelle recoverymogelijkheden, mocht het patchen of updaten onverhoopt misgaan.

    Nog te vaak zijn organisaties om deze reden terughoudend met patchen. Die ‘patchangst’ is volgens hem ongegrond, zolang je gebruikmaakt van goede oplossingen die de kans minimaliseren op verstoringen na een mislukte patch of update. Wijnands geeft de Cyber Recovery Unit van Salvador als voorbeeld. “Deze oplossing is gekoppeld met een systeem en maakt continu back-ups. Mocht er tijdens het patchen onverhoopt iets misgaan, dan zorgt deze oplossing ervoor dat het systeem binnen 30 seconden weer operationeel is.”
  1. Onveilige laptops van servicemonteurs
    Wanneer een machine technisch onderhoud vereist, leest een servicemonteur de machine vaak met een laptop uit. Die laptop kan kwaadaardige software bevatten. Dat hoeft geen bewuste actie te zijn. De laptop kan net bij een andere klant van de monteur of via thuisgebruik besmet zijn geraakt. Het is daarom belangrijk om deze apparaten grondig te scannen op malware, nog voordat ze verbinding maken met de machines. Wijnands maakt de vergelijking met de veiligheidscontroles op elektrisch gereedschap. “Dat moet op veel werkplaatsen gekeurd worden, voordat medewerkers deze mogen gebruiken. Soms moet je zelfs keuringsstickers laten zien. Voor de laptops van servicemonteurs zouden dezelfde principes moeten gelden.”
  1. Te weinig aandacht voor IT-taken in industriële omgevingen
    Veel industriële organisaties beschouwen typische IT-taken zoals software-upgrades als een tijdrovende bijzaak die ten koste gaat van het hoofddoel: het maximaliseren van beschikbaarheid en het behalen van productiedoelstellingen. Onterecht: deze IT-taken zijn minstens zo belangrijk. Met de juiste aanpak hoeft dat de productiedoelstellingen en de beschikbaarheid niet in de weg te zitten.Een slimme planning van het IT-onderhoud voorkomt onnodige tijdverspilling. “Als een machine toch al offline is voor fysiek onderhoud, kan dit moment ook worden benut voor het uitvoeren van software-updates of het toepassen van beveiligingspatches.”
  1. Verkeerd beheer van werkstations
    Soms kunnen securitymaatregelen die gebruikelijk zijn in IT-omgevingen te ver doorschieten voor OT-omgevingen. Wijnands geeft als voorbeeld de manier waarop veel werkstations in OT-omgevingen zijn ingesteld. “In veel productieomgevingen worden werkstations beheerd alsof het reguliere kantoor-pc’s zijn. Dit kan inefficiënt zijn. Een typisch voorbeeld hiervan is de automatische uitlogfunctie: de pc vergrendelt zichzelf na enkele minuten van inactiviteit”, schetst Wijnands. “Gebruikers moeten opnieuw inloggen om het werkstation te kunnen gebruiken. Dat kan aanzienlijke hinder veroorzaken voor operators in een productieomgeving.”

 

Wijnands stelt voor om specifieke beleidslijnen en procedures te implementeren die zijn aangepast aan de unieke eisen van productieomgevingen. Volgens hem is het verstandig de procedures voor werkstations goed af te stemmen op de wensen en eisen van de productieomgeving. “Op kritieke werkstations moet die uitlogfunctie bijvoorbeeld uitgesteld of helemaal uitgeschakeld zijn. Aandacht voor security houdt ook in dat je een balans vindt tussen veiligheid en efficiency.”

 

Meer over
Lees ook
ESET publiceert voorbeelden van scam-mails

ESET publiceert voorbeelden van scam-mails

Sommige scam-mails zijn bijna hilarisch amateuristisch. Maar andere pogingen zijn soms griezelig 'echt' en nauwelijks te onderscheiden van legitieme mails. Een mooi voorbeeld publiceert ESET op zijn website We Live Security: een mail van een Chinese firma die zich voordoet als een 'domain name registration supplier' die bedoeld is om te checken of1

Biometrie voor enterprise security: zinvol of onzinnig?

Nu steeds meer smartphones voorzien worden van biometrische sensoren, komt ook de vraag op wat dit soort security-maatregelen betekenen voor enterprise-organisaties? Richard Moulds, vice president Strategy bij Thales e-Security, vraagt zich in een artikel op Help Net Security af of biometrie voor zakelijk gebruik zinvol is. Of juist onzinnig? Een interessant punt dat Moulds aanstipt is de vraag of het aantal tokens bij gebruik van fingerprint scanners wel groot genoeg is. Bij gebruik van traditionele hardware tokens kunnen we putten uit een nagenoeg onbeperkt aantal tokens. Maar bij gebruik v1

Infographic: lichaamstaal zegt veel over social engineering

Infographic: lichaamstaal zegt veel over social engineering

Het Japanse Gengo heeft een interessante infographic opgesteld over de rol van lichaamstaal bij social engineering. Zoals bekend is social engineering een belangrijk hulpmiddel voor cybercriminelen om bijvoorbeeld inloggegevens van gebruikers los te krijgen. Hoewel de infographic verder gaat dan 'enkel en alleen' security-gerelateerde vormen van n1