NSA: wees voorzichtig met aansluiten van OT-systemen op IT-netwerken
Organisaties die van OT (operationele technologie)-systemen gebruikmaken moeten die niet zomaar aansluiten op IT-netwerken en stilstaan bij de risico's die dit met zicht meebrengt, waaronder het overlijden van personen, zo adviseert de Amerikaanse geheime dienst NSA. Onder operationele technologie vallen allerlei industriële systemen, wetenschappelijke apparatuur en automatiseringssystemen.
Binnen de Amerikaanse overheid en defensiesector zijn volgens de NSA veel OT-systemen in gebruik die niet meer door de leverancier worden ondersteund en waar onvoldoende middelen voor het beheer zijn vrijgemaakt. Om de cybersecurity van OT-systemen te verbeteren heeft de NSA een Cybersecurity Advisory gepubliceerd waarin het verschillende aanbevelingen doet.
De Amerikaanse geheime dienst stelt dat organisaties direct in actie moeten komen om hun OT-netwerken en controlesystemen te beschermen tegen kwetsbaarheden die worden geïntroduceerd door het aansluiten van deze systemen op IT-netwerken. Aanvallers die via de it-omgeving weten binnen te komen kunnen zo ook de OT-systemen aanvallen. Daarbij wijst de NSA naar de recente supply-chain-aanval via de software van SolarWinds.
Volgens de NSA moeten organisaties beseffen dat een geïsoleerd OT-systeem beter beschermd is tegen aanvallen dan een systeem dat met een IT-netwerk is verbonden. Toch erkent de geheime dienst dat er scenario's kunnen zijn waarbij een OT-systeem toch met een netwerk verbonden moet zijn. In deze gevallen kan er voor een tijdelijke verbinding worden gekozen, bijvoorbeeld om updates te downloaden of voor onderhoudswerkzaamheden.
Wanneer wordt besloten dat een netwerkverbinding noodzakelijk is, wijst de NSA op verschillende maatregelen die moeten worden genomen, zoals het toevoegen van sensoren en monitoring en het creëren van een netwerkoverzicht en baseline voor systemen en netwerkcommunicatie. "Hoewel er legitieme redenen kunnen zijn voor connectiviteit en het automatiseren van processen, lopen OT- en controlesystemen inherent risico wanneer ze met zakelijke IT-systemen zijn verbonden. Sta stil bij de risico's, voordelen en kosten voordat je zakelijke IT- en OT-netwerken met elkaar verbindt", concludeert de NSA.
Met een air-gapped machine met een read-only OS de gewenste data binnenhalen door kortstondig online te gaan.
Dan die machine weer offline halen.
Rebooten (i.v.m. "in memory" zaken) voor het weer verbinden met het interne netwerk.
Dan de download doorzetten naar het interne netwerk, desnoods via weer een andere OS.
Natuurlijk CRC's checken / netwerkschillen / grondige checks op netwerkverkeer etc.
Zoiets zullen veiligheidsdiensten mogelijk ook wel gebruiken.
Euh nee? Dit gaat om zaken zoals beademingsapparaten die niet aan het KA netwerk gehangen moeten worden omdat dat zo makkelijk is met monitoren.
Dat is, maar dan ook totaal niet waar dit advies over gaat.
Het advies gaat over het zoveel mogelijk isoleren (geisoleerd houden) van OT omgeving en dan op het juiste niveau (applicatie/identity).
En als er al koppelingen nodig zijn, die alleen gecontroleerd moeten worden toegestaan met waar mogelijk additionele risico-beperkende maatregelen.
Dit advies is nodig/zinnig omdat in veel omgevingen over de jaren heen "stiekem" koppelingen zijn ontstaan tussen IT en OT-omgevingen.
Dit alles heeft niets, maar dan ook niets met "consumenten software" te maken. Wel alles met de unieke uitdagingen van/in OT-omgevingen: extreem lange levensduur van apparatuur en software, als gevolg daarvan de afhankelijkheid van kwetsbare protocollen en crypto's en daarbovenop het niet vaak niet kunnen/mogen updaten van de OT-software.
Maar ik durf te wedden dat 99.999% van alle Nederlandse bedrijven in de productie minstens 1 applicatie of appliance hebben welke niet meer ondersteunt wordt, ze dit wel of niet weten maar als ze het wel weten er geen toekomst-pad is om dit risico te mitigeren... En ze mij gaan bellen over een jaartje om het op te lossen (wanneer ze gehacked zijn, wanneer het doosje stuk is gegaan enz...
Laatst nog een bank geholpen door een nieuwe PSU te bouwen voor een Cisco Local Director met een Pentium (EOL <<2000), gelukkig doe ik hun PCI-DSS niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
