"Bijna elke aanval die we het afgelopen jaar hebben gezien, begon met initiële toegang tot een IT-netwerk dat werd gebruikt in de OT-omgeving."
David Atch David Atch, Microsoft Bedreigingsinformatie, hoofd van IoT/OT Security Research
Expertprofiel: David Atch
David Atch zijn carrière in beveiliging en de weg naar Microsoft is vooral atypisch. "Ik begon bij het Israëlisch defensieleger (Israel Defense Forces, of IDF) in een cyberbeveiligingsrol om te verdedigen tegen aanvallen en bedreigingen op te sporen. Ik hield me veel bezig met incidentreactie, forensisch onderzoek en interactie met industriële regelsystemen."
Terwijl hij diende in het IDF, ontmoette Atch twee collega's die later het bedrijf CyberX oprichtten voor industriële IoT- en OT-beveiliging. Na zijn diensttijd bij het IDF werd hij aangeworven door CyberX. "Ik maak altijd de grap dat ik nooit een sollicitatiegesprek heb gehad. Het leger houdt geen sollicitatiegesprekken, ze rekruteren. CyberX rekruteerde me en vervolgens kocht Microsoft het bedrijf, dus ik heb nooit een formeel sollicitatiegesprek gehad. Ik heb zelfs geen cv."
"Bijna elke aanval die we het afgelopen jaar hebben gezien, begon met initiële toegang tot een IT-netwerk dat werd gebruikt in de OT-omgeving. Beveiliging van kritieke infrastructuur is een wereldwijde uitdaging en moeilijk om aan te pakken. We moeten innovatief zijn in het maken van hulpprogramma's en onderzoek uitvoeren om meer te ontdekken over deze typen aanvallen.
Het werk van Atch bij Microsoft is gefocust op zaken die zijn gerelateerd aan IoT- en OT-beveiliging. Het omvat het bestuderen van protocollen, analyses van malware, onderzoeken naar beveiligingsproblemen, het opsporen van bedreigingen van natiestaten, het profileren van apparaten om te begrijpen hoe ze zich gedragen in een netwerk en het ontwikkelen van systemen die de producten van Microsoft verrijken met de kennis over IoT.
"We leven in een verbonden tijdperk. Er is een verwachting dat alles verbonden moet zijn om een realtime ervaring te bieden waarin IT-software verbinding maakt met een netwerk, zodat OT-gegevens naar de cloud kunnen stromen. Ik denk dat Microsoft daar de toekomst ziet, waar alles is verbonden met de cloud. Dit biedt waardevollere gegevensanalyse, automatisering en efficiëntie die ondernemingen voorheen niet konden bereiken. De overweldigende snelheid van de verbonden evolutie van deze apparaten en de onvolledige inventaris en zichtbaarheid ervan voor organisaties, kantelen het speelveld vaak in de richting van de aanvallers", legt Atch uit.
De beste benadering om aanvallers te bestrijden die IT en OT aanvallen is daarom Zero Trust en zichtbaarheid van apparaten. Begrijpen wat je hebt in een netwerk en waarmee het verbonden is, is essentieel. Is het apparaat blootgesteld aan het internet? Communiceert het met de cloud of kan iemand extern toegang verkrijgen? Zo ja, heb je de middelen om de toegang door een aanvaller te ontdekken? Hoe beheer je de toegang voor werknemers of aannemers om afwijkingen te ontdekken?
Omdat patchbeheer in sommige organisaties onmogelijk is, of zeer veel tijd in beslag neemt, en sommige software in de operatorgemeenschap niet wordt ondersteund, moet je beveiligingsproblemen beperken met andere maatregelen. Een fabrikant kan bijvoorbeeld niet zomaar een fabriek stilleggen om iets te testen en te patchen.
Ik moet eraan toevoegen dat ik dit werk niet alleen doe. Dankzij het getalenteerde team met onderzoekers, bedreigingszoekers en verdedigers ben ik in staat om elke dag te blijven leren."