Trace Id is missing

De convergentie van IT en OT

Download
Deel
Nieuw Cyber Signals-rapport van Microsoft

Cyber Signals - Editie 3: Cyberrisico's voor essentiële infrastructuur nemen toe

De aanwezigheid, kwetsbaarheid en cloudconnectiviteit van IoT- (Internet of Things) en OT-apparaten (operationele technologie) vormen een snel groeiend, vaak ongecontroleerd risicogebied dat een groter aantal sectoren en organisaties treft. Het snel toenemende IoT creëert een groter invoerpunt en kwetsbaarheid voor aanvallen. Nu OT steeds meer met de cloud is verbonden en de kloof tussen IT en OT kleiner wordt, opent toegang tot minder veilige OT de deur voor schadelijke aanvallen op de infrastructuur
Microsoft heeft niet-gepatchte kwetsbaarheden met een hoog ernstniveau geïdentificeerd in 75% van de meest voorkomende industriële controllers in OT-netwerken.1
Bekijk de digitale briefing van Cyber Signals waarin Vasu Jakkal, CVP van Microsoft Security, ervaren experts op het gebied van bedreigingsinformatie spreekt over kwetsbaarheden in IoT en OT en hoe je kunt helpen beschermd te blijven.

Digitale briefing: De convergentie van IT en OT

Indringers vallen apparaten aan die verbonden zijn met internet om toegang te krijgen tot gevoelige en belangrijke infrastructuurnetwerken.

Het afgelopen jaar heeft Microsoft gezien dat bedreigingen misbruik maken van apparaten in bijna elk bewaakt en zichtbaar deel van een organisatie. We hebben deze bedreigingen opgemerkt bij traditionele IT-apparatuur, OT-controllers en IoT-apparaten, zoals routers en camera's. De piek in de aanwezigheid van aanvallers in deze omgevingen en netwerken wordt gevoed door de convergentie en interconnectiviteit die veel organisaties de afgelopen jaren hebben geïmplementeerd.

De International Data Corporation (IDC) schat dat er in 2025 41,6 miljard verbonden IoT-apparaten zullen zijn, een groei die groter is dan die van traditionele IT-apparaten. Hoewel de beveiliging van IT-apparatuur de afgelopen jaren is verbeterd, is de beveiliging van IoT- en OT-apparaten achtergebleven, en bedreigingsactoren maken misbruik van deze apparaten.

Het is belangrijk om te onthouden dat aanvallers verschillende motieven kunnen hebben om andere apparaten dan laptops en smartphones aan te vallen. De cyberaanvallen van Rusland op Oekraïne en andere cybercriminele activiteiten die worden gesponsord door natiestaten, laten zien dat sommige natiestaten de voorkeur geven aan cyberaanvallen op kritieke infrastructuur om militaire en economische doelen te bereiken.

72 procent van de software-aanvallen die worden uitgevoerd door 'Incontroller', wat het Cybersecurity and Infrastructure Security Agency (CISA) beschrijft als een nieuwe groep op ICS (industrieel besturingssysteem) gerichte hulpprogramma's voor cyberaanvallen, zijn nu online beschikbaar. Een dergelijke verspreiding bevordert bredere aanvalsactiviteiten door andere actoren, omdat expertise en andere barrières om toegang te krijgen afnemen.

Naarmate de cybereconomie zich uitbreidt en kwaadaardige software die is gericht op OT-systemen steeds meer voorkomt en eenvoudiger is te gebruiken, hebben bedreigingsactoren meer gevarieerde manieren om grootschalige aanvallen uit te voeren. Ransomware-aanvallen, die voorheen werden gezien als een aanvalsvector met de focus op IT, hebben nu ook invloed op OT-omgevingen, zoals te zien was bij de Colonial Pipeline-aanval, waarbij OT-systemen en pijpleidingactiviteiten tijdelijk werden stilgelegd terwijl incidentresponsteams bezig waren met het identificeren en beheersen van de verspreiding van ransomware op het IT-netwerk van het bedrijf. Indringers realiseren zich dat de financiële impact en de afpersingskracht van het platleggen van energie en andere kritieke infrastructuren veel groter is dan in andere sectoren.

OT-systemen omvatten bijna alles wat fysieke activiteiten ondersteunt, in tientallen verticale sectoren. OT-systemen zijn niet alleen beperkt tot industriële processen, maar kunnen elke speciale of gecomputeriseerde apparatuur zijn, zoals HVAC-regelaars, liften en verkeerslichten. Verschillende veiligheidssystemen vallen in de categorie OT-systemen.

Microsoft heeft gezien dat aan China gerelateerde bedreigingsactoren zich richten op kwetsbare routers voor particulieren en kleine kantoren om deze apparaten als toegang te gebruiken, waardoor ze nieuwe adresruimte krijgen die minder wordt geassocieerd met hun eerdere campagnes en van waaruit ze nieuwe aanvallen kunnen opzetten.

Hoewel de prevalentie van IoT- en OT-kwetsbaarheden een uitdaging vormt voor alle organisaties, loopt kritieke infrastructuur een groter risico. Het uitschakelen van kritieke services, niet eens noodzakelijkerwijs het vernietigen ervan, is een krachtig drukkingsmiddel.

Aanbevelingen:

  • Werk samen met belanghebbenden: Breng bedrijfskritische assets in kaart in IT- en OT-omgevingen.
  • Zichtbaarheid van apparaten: Identificeer welke IoT- en OT-apparaten op zichzelf kritieke assets zijn en welke zijn geassocieerd met andere kritieke assets.
  • Voer een risicoanalyse uit op kritieke assets: Richt je op de zakelijke gevolgen van verschillende aanvalsscenario's, zoals voorgesteld door MITRE.
  • Bepaal een strategie: Pak de geïdentificeerde risico's aan, met prioriteit voor risico's die gevolgen hebben voor het bedrijf.

Met IoT komen nieuwe zakelijke kansen, maar ook grote risico's

 

Naarmate IT en OT convergeren om de groeiende bedrijfsbehoeften te ondersteunen, is het nodig verschillende controlemaatregelen te overwegen om de risico's te overwegen en een veiligere relatie tussen IT en OT tot stand te brengen. Air-gapped apparaten en perimeterbeveiliging zijn niet langer voldoende om moderne bedreigingen, zoals geavanceerde malware, gerichte aanvallen en kwaadwillende interne medewerkers, aan te pakken en jezelf ertegen te verdedigen. De groei van IoT-malwarebedreigingen weerspiegelt bijvoorbeeld de uitbreiding van dit landschap en het potentieel om kwetsbare systemen over te nemen. Bij het analyseren van bedreigingsgegevens uit 2022 verspreid over verschillende landen, zagen onderzoekers van Microsoft dat het grootste aandeel van IoT-malware, 38 procent van het totaal, afkomstig was uit het grote netwerk van China. Geïnfecteerde servers in de Verenigde Staten zetten de VS op de tweede plaats, met 18 procent van de waargenomen malwareverspreiding.

Geavanceerde aanvallers maken gebruik van meerdere tactieken en benaderingen in OT-omgevingen. Veel van deze benaderingen zijn gebruikelijk in IT-omgevingen, maar zijn effectiever in OT-omgevingen, zoals de ontdekking van blootgestelde, op het internet gerichte systemen, misbruik van aanmeldingsgegevens van medewerkers of uitbuiting van toegang tot de netwerken die is verleend aan externe leveranciers en aannemers.

De convergentie tussen de laptops, webapplicaties en hybride werkplekken van de IT-wereld en de fabrieks- en faciliteitsgebonden besturingssystemen van de OT-wereld brengt ernstige risico's met zich mee doordat aanvallers de kans krijgen om hiaten te overbruggen tussen systeem die eerder fysiek gescheiden waren. Daarmee worden IoT-apparaten als camera's en slimme vergaderruimten riskante katalysatoren doordat er nieuwe ingangen in werkruimten en andere IT-systemen ontstaan.

In 2022 hielp Microsoft een groot wereldwijd voedingsmiddelen- en drankenbedrijf, dat zeer oude besturingssystemen gebruikte om de fabrieksactiviteiten te beheren, met een malware-incident. Tijdens het uitvoeren van routineonderhoud aan apparatuur die later verbinding zou maken met internet, verspreidde malware zich naar de fabriekssystemen via een gecompromitteerde laptop van een aannemer.

Helaas is dit een scenario dat steeds vaker voorkomt. Hoewel een ICS-omgeving kan worden afgeschermd en geïsoleerd van het internet, is een gecompromitteerde laptop kwetsbaar op het moment dat deze wordt aangesloten op een voorheen veilig OT-apparaat of -netwerk. Over de klantnetwerken die Microsoft controleert, beschikt 29 procent van de Windows-besturingssystemen over versies die niet langer worden ondersteund. We hebben versies zoals Windows XP en Windows 2000 zien werken in kwetsbare omgevingen.

Omdat oudere besturingssystemen vaak niet de updates krijgen die nodig zijn om netwerken veilig te houden en het toepassen van patches een uitdaging vormt in grote ondernemingen of productiefaciliteiten, is het geven van prioriteit aan de zichtbaarheid van IT-, OT- en IoT-apparaten een belangrijke eerste stap in het beheren van kwetsbaarheden en het beveiligen van deze omgevingen.

Een verdediging die is gebaseerd op Zero Trust, effectieve beleidshandhaving en voortdurende controle kan helpen om de potentiële explosieradius te beperken en dit soort incidenten in cloud-omgevingen te voorkomen of te beheersen.

Voor onderzoek naar OT-apparatuur is specifieke unieke kennis nodig en inzicht in de staat van beveiliging van industriële controllers is doorslaggevend. Microsoft heeft een forensisch opensource-hulpprogramma vrijgegeven aan de community van verdedigers om incidentresponsteams en beveiligingsspecialisten te helpen hun omgevingen beter te begrijpen en mogelijke incidenten te onderzoeken.

Terwijl de meeste mensen bij kritieke infrastructuur denken aan wegen en bruggen, openbaar vervoer, vliegvelden en water- en elektriciteitsnetten, heeft CISA onlangs aanbevolen dat ruimtevaart en de bio-economie nieuwe kritieke infrastructuursectoren worden. Ze wijzen erop dat verstoringen in verschillende sectoren van de Amerikaanse economie slopende gevolgen kunnen hebben voor de samenleving. Aangezien de wereld afhankelijk is van satellietcapaciteiten, kunnen cyberbedreigingen in deze sectoren wereldwijde gevolgen hebben die veel meer impact hebben dan wat we tot nu toe hebben gezien.

Aanbevelingen

  • Implementeer nieuw en verbeterd beleid: Beleidsregels die voortkomen uit de Zero Trust-methodologie en best practices bieden een holistische aanpak voor naadloze beveiliging en governance op al je apparaten.
  • Kies voor een uitgebreide en toegewezen beveiligingsoplossing: Zichtbaarheid, voortdurende bewaking, beoordeling van de kwetsbaarheid voor aanvallen, detectie van bedreigingen en reactie mogelijk maken.
  • Onderwijs en train: Beveiligingsteams hebben specifieke training nodig voor bedreigingen die afkomstig zijn van of die zijn gericht op IoT-/OT-systemen.
  • Onderzoek hoe bestaande beveiligingsbewerkingen kunnen worden uitgebreid: Beveiligingsproblemen met IoT- en OT aanpakken om een uniform IT- en OT/IoT SOC voor alle omgevingen mogelijk te maken.

Meer informatie over hoe je je organisatie kunt helpen beschermen met inzichten van David Atch, Microsoft Bedreigingsinformatie, Head of IoT/OT Security Research.

Van 2020 tot 2022 was er een toename van 78% in bekendmakingen van kwetsbaarheden met een hoog ernstniveau in industriële besturingsapparatuur geproduceerd door populaire leveranciers.1

Microsoft heeft niet-gepatchte kwetsbaarheden met een hoog ernstniveau geïdentificeerd in 75% van de meest voorkomende industriële controllers in OT-netwerken.1

Meer dan één miljoen aangesloten apparaten zijn publiekelijk zichtbaar op het internet en draaien op Boa, een verouderde en niet-ondersteunde software die nog steeds veel wordt gebruikt in IoT-apparaten en Software Development Kits (SDK's).1
  1. [1]

    Methodologie: Voor gegevens van momentopnamen hebben Microsoft-platformen (waaronder Microsoft Defender for IoT, Microsoft Threat Intelligence Center en Microsoft Defender-bedreigingsinformatie) geanonimiseerde gegevens geleverd over beveiligingsproblemen van apparaten (bijvoorbeeld configuratiestatussen en versies) en over de bedreigingsactiviteit van onderdelen en apparaten. Daarnaast hebben onderzoekers gegevens gebruikt uit openbare bronnen, bijvoorbeeld National Vulnerability Database (NVD) en Cybersecurity & Infrastructure Security Agency (CISA). De statistiek van "niet-gepatchte, zeer ernstige beveiligingsproblemen in 75% van de meest algemene industriële regelaars in OT-netwerken van klanten" is gebaseerd op Microsoft-betrokkenheid in 2022. Regelsystemen in kritieke omgevingen omvatten elektronische of mechanische apparaten die gebruikmaken van regelkringen voor verbeterde productie, efficiëntie en veiligheid.

Cybersignalen Cyber Resilience Apparaten en infrastructuur Beveiligingsproblemen

Verwante artikelen

Expertprofiel: David Atch

In ons meest recente expertprofiel spreken we David Atch, hoofd van IoT/OT Security Research bij Microsoft. We praten over de groeiende beveiligingsrisico's van IoT- en OT-connectiviteit.
Meer informatie

Toenemende cyberbedreigingen als gevolg van uitgebreide IoT/OT-connectiviteit

In ons meest recente rapport onderzoeken we hoe toenemende IoT/OT-connectiviteit leidt tot grotere en ernstigere kwetsbaarheden die kunnen worden uitgebuit door georganiseerde cyberbedreigingsactoren.
Meer informatie

Cyber Signals - Editie 2: Afpersingseconomie

Hoor van experts in de frontlijn over de ontwikkeling van ransomware als een dienst. Ontdek meer over de hulpprogramma's, tactieken en doelen die cybercriminelen het liefst gebruiken, van programma's en payloads tot toegangsbemiddelaars en -geaffilieerden, en krijg richtlijnen voor het helpen beveiligen van je organisatie.
Meer informatie

Microsoft volgen