Artikel

Cybercriminelen kunnen in uw kwetsbare cruciale infrastructuur

SCADA productieomgevingen waren lang niet interessant voor cybercriminelen. De uitbraak van de Stuxnet worm bewijst nu het tegendeel. Daarom is het belangrijk de gevaren waaraan productiebedrijven worden blootgesteld te belichten.

De afgelopen maanden is er veel gepubliceerd over Stuxnet. Deze worm infecteert SCADA (Supervisory Control And Data Acquisition) omgevingen van Siemens S7 series (S7-300 en S7-400) en herprogrammeert de controllers die de machines aansturen.

Meer specifiek grijpt Stuxnet in op OB35, een standaard Organization Block, dat elke 100ms wordt uitgevoerd door het systeem en wordt gebruikt voor monitoring van tijd kritische functies. De gevolgen van deze aanpassingen in de programmatuur zijn voor elk bedrijf anders.

Omdat de hacker scene continu innoveert, zal in de nabije toekomst meer malware opduiken die zich bedient van deze mechanismen om SCADA omgevingen te besmetten. Deze zal zich dan waarschijnlijk niet beperken tot Siemens S7 omgevingen, maar ook kijken naar productieomgevingen van Wonderware, Rockwell, Schneider, Honeywell en anderen. Ir. Suzanne de Grooth-Verlijsdonk, Business Consultant en ISA-99 specialist bij Actemium: "We zien vaak dat de industriële omgeving één groot netwerk is en dat een incident daar dus meteen grote gevolgen heeft."

Primaire nutsvoorzieningen die gebruik maken van SCADA omgevingen moeten de beveiliging van hun netwerken verscherpen om niet het slachtoffer te worden van de nieuwe malware die zal volgen op Stuxnet. Veel van deze malware zal niet zo complex zijn als Stuxnet en bijvoorbeeld gebruik maken van een of enkele van de kwetsbaarheden, maar zich wel richten op de SCADA infrastructuur.

Veel SCADA fabrikanten verbieden hun klanten om iets aan de systemen te veranderen. Zo is het draaien van virusscanners vaak niet toegestaan, of wordt aangeraden de standaardwachtwoorden niet te wijzigen. Daarnaast worden beveiligingspatches uitgegeven door Microsoft en SCADA fabrikanten om praktische redenen niet altijd uitgerold. Redenen hiervoor zijn dat wijzigingen de kritieke omgeving kunnen verstoren, of dat industriële software geen ondersteuning door de fabrikant meer krijgt en het feit dat implementatie geld en tijd kost.

“De SCADA-laag is tijd-kritisch. Productie is een continue proces en bepaalde acties moeten op de milliseconde nauwkeurig uitgevoerd worden, zoals de beheersing van chemische processen”, geeft Michael Theuerzeit van Norman Data Defense Systems als voorbeeld. Virusscanners die op de SCADA stations geïnstalleerd worden, geven vroeg of laat problemen, wanneer er tijdens een tijd-kritisch proces een malware scan wordt gestart, die altijd vertragend werkt. “Wij onderkennen het belang van ISA-99, de nieuwe standaard voor de beveiliging van productieomgevingen. Het is een significante stap in het bewustwordingsproces binnen veel bedrijven, dat men zich realiseert dat ook SCADA en MES omgevingen beveiligd moeten worden. In oorsprong zijn deze systemen ontwikkeld om stabiele en betrouwbare data acquisitie te garanderen; beveiliging stond nooit op het netvlies bij de ontwikkelaars omdat systemen toen niet gekoppeld waren aan het kantoornetwerk en internet. Nu er vaker koppelingen tussen de verschillende netwerken worden gelegd, is de noodzaak voor beveiliging van deze segmenten evident. De aandacht die de Stuxnet worm in de media krijgt zal dit proces versnellen”.

Het is dus de hoogste tijd om te evalueren hoe de faciliteiten beschermd zijn en of deze bescherming voldoende weerstand biedt tegen complexe aanvallen zoals uitgevoerd door Stuxnet.

Zaken die daarbij primair geregeld moeten worden, zijn onder andere:

Gereguleerd en gecontroleerd USB-gebruik binnen de onderneming

USB sticks en andere verwijderbare mediadragers die eenvoudig met een snoertje aan een PC worden gekoppeld, zijn een bekende bron van malwareinfecties. Een organisatie heeft immers geen grip op USB sticks die door werknemers meegenomen worden, alsook de mogelijke besmettingen die het apparaat vervoert. Ook heeft men geen grip op de gegevens die worden meegenomen op deze mediadragers. Een beetje USB stick van 16 GB kan makkelijk een hele corporate klantendatabase bevatten. Door gebruik van verwijderbare mediadragers te reguleren en controleren met Device Control software, zorgt u ervoor dat alleen geautoriseerde apparaten verbinding kunnen maken en gegevens uitwisselen met de PC’s in uw netwerk. Ook kunt u bepalen wat voor gegevens er mogen worden uitgewisseld en bepaalt u of de media van encryptie moeten worden voorzien.

System hardening van kwetsbare systemen

De kwetsbare SCADA computers zijn veiliger te maken via een white list oplossing die ervoor zorgt dat alleen de toepassingen die ook echt nodig zijn voor het uitvoeren van de voor de computer aangewezen taken,gestart kunnen worden. Bij het opstarten van een uitvoerbaar bestand, wordt met Application Control software een SHA-1 hash van dat bestand vergeleken met de lijst van SHA-1 hashes van de geautoriseerde applicaties. Hierdoor is het niet mogelijk andere programma’s te starten en vallen door malware aangepaste bestanden door de mand.

Beveiligen van de datastroom

Door de datastroom van en naar de SCADA en/of MES omgevingen met een inline malware scanner te ontdoen van malware, blijft de SCADA omgeving vrij van malware die zich via het corporate netwerk verplaatst en kwetsbaarheden in de SCADA software misbruikt om systemen te besmetten. Hierdoor zijn deze voor productie zo belangrijke segmenten beschermd tegen besmettingen via het netwerk. Het is daarbij essentieel dat dit scannen in real time gebeurt zodat de aansturing van de productieprocessen niet verstoord of vertraagd wordt.

Patch Management

Het is belangrijk systemen zo up-to-date mogelijk te houden. Bij SCADA controle computers is dit lastig. Patchen wordt vaak door de fabrikanten afgeraden, waardoor kwetsbaarheden in de systemen voor lange tijd aanwezig blijven. Rondom de SCADA laag echter is het wel mogelijk om beveiligingsupdates te installeren, waardoor het aantal kwetsbare computersystemen in het netwerk wordt verkleind. Binnen heterogene netwerkomgevingen is gecentraliseerd patch management een belangrijk hulpmiddel voor vulnerability management binnen een organisatie.

Gebruikerseducatie

De mens blijft een zwakke schakel. Volgens IDC komt 70% van alle beveiligingslekken door kwaadaardig of onwetend personeel. Nieuwsgierigheid zorgt ervoor dat we ondoordacht klikken op de links die ons worden aangeboden, ook al weten we dat dit gevaarlijk kan zijn. Ook het bezoeken van een webpagina, waarop bijvoorbeeld een malafide iFrame injectie aanwezig is, kan leiden tot infecties op de computer, of het netwerk waarin die zich bevindt.

De beveiligingsanalyse van industriële systemen vereist een andere focus dan voor kantooromgevingen. Theuerzeit: "Als het daar misgaat, zet je een backup terug. Processen in productieomgevingen hebben fysieke resultaten waardoor dat niet mogelijk is, schade door productie-uitval kan dan al onherstelbaar zijn.”

Naast het beraden over de mogelijke gevolgen van kwetsbaarheden in productieomgevingen en het beschermen van deze omgevingen, is het verstandig te controleren of de productieomgeving besmet is en de infecties in kaart te brengen, zodat inzicht verkregen wordt hoe de worm de organisatie is binnengedrongen.

Categorie:   
Auteur(s)
afbeelding van NormanDDS
Michael Theuerzeit
Norman Data Defense Systems BV - Product Marketing Manager

Michael Theuerzeit (1967) werkzaam bij Norman Data Defense BV te Hoofddorp is actief als Product marketing manager eveneens gespecialiseerd in de verkoop en het leveren beveiligingsadvies op maat t.b.v. grote enterprises en multinationals d.w.z. bescherming van productieomgevingen & infrastructuren. Zijn analytische denkvermogen komt hierbij goed van pas.

Nieuwe reactie inzenden

De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.
Indien het niet lukt om een reactie te plaatsen, stuur dan uw reactie naar redactie@xr-magazine.nl.
Alle inzendingen dienen correct, professioneel en beschaafd te zijn. IP-adressen worden gelogd, maar niet gepubliceerd. De redactie van XR Magazine behoudt zich het recht voor om anonieme reacties (niet op naam) of zonder geldig e-mailadres, te verwijderen zonder kennisgeving. Ook reacties waarin commerciële uitingen worden gedaan en/of commerciële producten en diensten worden aangeboden worden door de redactie verwijderd of ontdaan van commerciële uitingen zonder kennisgeving.