ICS
Ik zeg het vaak, en al jaren: antivirus is dood.
Zo’n uitspraak kan op het eerste gezicht vreemd lijken, en al helemaal van iemand die zich al sinds de begindagen bezighoudt met alles wat met virussen en antivirussen te maken heeft in de late jaren tachtig en vroege jaren negentig. Als u zich echter wat verder verdiept in het onderwerp AV (RIP) en enkele gezaghebbende bronnen in het (voormalige) veld raadpleegt, wordt de verklaring al snel vrij logisch: ten eerste is “antivirus” veranderd in beschermende oplossingen “tegen alles”, en ten tweede zijn virussen, in de zin van bepaald soort kwaadaardig programma, uitgestorven. Bijna dan toch. En het is dat schijnbaar onschuldige, verwaarloosbare woordje bijna dat ik daarnet schreef dat tot op de dag van vandaag problemen veroorzaakt voor cybersecurity. En dat aan het eind van het jaar 2022! En die bijna de basis van deze blogpost van vandaag…
Goed. Virussen. Die laatste overgeblevenen op de Rode Lijst. Waar zijn ze tegenwoordig en wat doen ze zoal?
Het blijkt dat die zich bevinden in… een van de meest conservatieve deelgebieden van de industriële automatisering: dat van de operationele technologie (dat is dus OT, niet te verwarren met IT). OT is “hardware en software die een verandering detecteert of veroorzaakt door directe monitoring en/of controle van industriële apparatuur, activa, processen en gebeurtenissen” (– Wikipedia). In wezen heeft OT betrekking op een omgeving met industriële controlesystemen (ICS), soms ook wel “niet-beklede gebieden” genoemd. OT = gespecialiseerde controlesystemen in fabrieken, elektriciteitscentrales, transportsystemen, de nutssector, en de winning-, verwerkings- en andere zware industrieën. We hebben het dan dus over infrastructuur. Kritieke infrastructuur. En het is in deze industriële/kritische infrastructuur waar “dode” computervirussen tegenwoordig springlevend zijn: ongeveer 3% van de cyberincidenten waarbij OT-computers betrokken zijn, wordt tegenwoordig veroorzaakt door dit soort malware.
Hoe kan dat?
Ik heb het antwoord daarop hierboven eigenlijk al gegeven: OT – beter gezegd, de toepassing ervan in de industrie – is zeer conservatief. Als er ooit een sector is geweest die sterk gelooft in het oude axioma “if it ain’t broke, don’t fix it!“, dan is het wel de OT-sector. Het belangrijkste bij OT is stabiliteit, en dus niet de nieuwste toeters en bellen. Nieuwe versies, upgrades… zelfs gewoon updates (bijvoorbeeld van software) worden allemaal met scepsis, minachting of zelfs angst bekeken. De operationele technologie in industriële controlesystemen wordt namelijk vaak gekenmerkt door krakende oude computers met… Windows 2000 (!) plus allerlei andere antieke software vol kwetsbaarheden (er is ook sprake van gigantische gaten in het beveiligingsbeleid en een nog tal van andere vreselijke nachtmerries voor de IT-beveiliger). Maar om even terug te komen op die zogenaamde “niet-beklede gebieden”: de IT-kit in de beklede gebieden (bijvoorbeeld op kantoor, en dus niet de productievloer of de ondersteunende/technische faciliteiten) is allang tegen alle virussen beschermd, aangezien deze tijdig wordt bijgewerkt, geüpgraded en gereviseerd, en volledig wordt beschermd door moderne cybersecurity-oplossingen. Maar in de niet-beklede gebieden (OT) is alles precies omgekeerd; vandaar dat daar virussen overleven én gedijen.
Bekijk de top-10 van meest verspreide “old-school” schadelijke programma’s die in 2022 in ICS-computers worden aangetroffen:
Wat vertelt deze grafiek ons?
Laat ik u eerst vertellen dat de hierboven vermelde percentages betrekking hebben op een “slapende” fase voor deze “old-school” virussen. Maar van tijd tot tijd kunnen dergelijke virussen de grenzen van een enkel besmet systeem overschrijden en zich over het hele netwerk verspreiden. En dat leidt dan weer tot een ernstige lokale epidemie. En in plaats van een complete, afdoende behandeling worden meestal gewoon de goede oude back-ups gebruikt, en die zijn niet altijd “schoon”. Bovendien kan de infectie niet alleen ICS-computers treffen, maar ook PLC’s (Programmable Logic Controllers). Zo was de Sality loader al lang voor het verschijnen van Blaster (een proof-of-concept worm die de firmware van PLC’s kan infecteren) aanwezig. Nou ja, bijna dan toch: niet in de firmware, maar in de vorm van een script in HTML-bestanden van de webinterface.
Dus ja, Sality kan een echte puinhoop maken van geautomatiseerde productieprocessen, maar dat is nog niet alles. Het kan het geheugen aantasten via een schadelijke driver, en ook de bestanden en het geheugen van toepassingen infecteren. Dit kan vervolgens weer binnen enkele dagen leiden tot een volledige uitval van een industrieel besturingssysteem. En in geval van een actieve infectie kan het hele netwerk worden platgelegd, aangezien Sality sinds 2008 peer-to-peer communicatie gebruikt om de lijst van actieve controlecentra bij te werken. De fabrikanten van ICS zouden de code waarschijnlijk niet hebben geschreven met zo’n agressieve werkomgeving in gedachten.
Ten tweede: 0,14% in een maand klinkt niet als veel, maar… het vertegenwoordigt duizenden gevallen van kritieke infrastructuur over de hele wereld. Erg jammer als u bedenkt hoe een dergelijk risico volledig, eenvoudig en met de meest fundamentele methoden zou kunnen worden uitgesloten.
En ten derde, aangezien de cybersecurity van fabrieken zo vol gaten zit, is het geen wonder dat we vaak nieuws horen over succesvolle aanvallen op die fabrieken met andere soorten malware – met name ransomware (voorbeeld: Snake vs Honda).
Het is duidelijk waarom OT-mensen conservatief zijn: het belangrijkste voor hen is dat de industriële processen waarop zij toezien ononderbroken blijven, en de invoering van nieuwe technologie/updating/upgrades kan nou eenmaal onderbrekingen veroorzaken. Maar hoe zit het met de onderbrekingen door ouderwetse virusaanvallen die juist mogelijk zijn omdat er achter de feiten wordt aangelopen? Precies, en dat is het dilemma waarmee OT-mensen worden geconfronteerd – en meestal nemen ze er genoegen mee achter de feiten aan te lopen, en zo komen we dus aan die cijfers in de grafiek.
Maar raad eens? Dat dilemma kan tot het verleden behoren met onze speciale “pil”…
Idealiter moet er een mogelijkheid zijn om te innoveren, te updaten en te upgraden zonder risico voor de continuïteit van de industriële processen. En vorig jaar hebben we een systeem gepatenteerd dat precies daarvoor zorgt…
In het kort gaat het zo: alvorens iets nieuws te introduceren in de processen die MOETEN blijven draaien, test u het op een nagebouwd model van het echte werk dat de kritieke industriële functies nabootst.
Dit model bestaat uit een configuratie van het gegeven OT-netwerk, die dezelfde soorten apparaten inschakelt die in het industriële proces worden gebruikt (computers, PLC’s, sensoren, communicatieapparatuur, diverse IoT-kits) en ze met elkaar laat interageren om het productie- of andere industriële proces na te bootsen. In de invoerterminal van dit model bevindt zich een monster van de geteste software, dat wordt geobserveerd door een sandbox, die alle acties registreert, de reacties van de netwerkknooppunten, de veranderingen in hun prestaties, de toegankelijkheid van de verbindingen en vele andere atomaire kenmerken waarneemt. Met de zo verkregen data kan er vervolgens een model worden opgesteld dat de risico’s van nieuwe software beschrijft, zodat met kennis van zaken beslissingen kunnen worden genomen over de vraag of deze nieuwe software al dan niet moet worden ingevoerd en wat er aan de OT moet worden gedaan om de aan het licht gekomen kwetsbaarheden te verhelpen.
Maar wacht, want het wordt nog interessanter…
U kunt letterlijk alles in de invoerterminal testen – niet alleen nieuwe software en uit te rollen updates. U kunt bijvoorbeeld testen op bestendigheid tegen schadelijke programma’s die externe beschermingsmiddelen omzeilen en een beschermd industrieel netwerk binnendringen.
Dergelijke technologie heeft veel potentieel op het gebied van verzekeringen. Verzekeringsmaatschappijen zullen cyberrisico’s beter kunnen inschatten voor nauwkeurigere berekeningen van verzekeringspremies, terwijl de verzekerden niet zonder reden te veel zullen betalen. Ook zullen fabrikanten van industriële apparatuur testmodellen kunnen gebruiken voor de certificering van software en hardware van externe ontwikkelaars. Als we dit concept verder ontwikkelen, zou een dergelijke regeling ook geschikt zijn voor sectorspecifieke accreditatiecentra. En dan is er nog het onderzoekspotentieel in onderwijsinstellingen!
Maar laten we nu nog eens terugkeren naar ons fabrieksmodel…
Het spreekt vanzelf dat geen enkele emulatie de volledige verscheidenheid van processen in OT-netwerken met 100% nauwkeurigheid kan reproduceren. Op basis van het model dat wij op basis van onze ruime ervaring hebben opgebouwd, weten we echter al waar de “verrassingen” te verwachten zijn na de invoering van nieuwe software. Bovendien kunnen wij de situatie op betrouwbare wijze controleren met andere methoden – bijvoorbeeld met ons waarschuwingssysteem voor anomalieën, MLAD (waarover ik hier al in detail heb geschreven), dat op basis van directe of zelfs indirecte correlaties problemen in bepaalde delen van een industrieel bedrijf kan opsporen. Zo kunnen er miljoenen, zo niet miljarden dollars aan verliezen door incidenten worden voorkomen.
Dus wat houdt OT-mensen tegen om dit model van ons over te nemen?
Tja, misschien zoeken ze vooralsnog – omdat ze zo conservatief zijn – niet actief naar een oplossing als de onze, omdat ze die misschien niet nodig vinden (!). Wij zullen natuurlijk ons best doen om onze technologie te promoten om de industrie miljoenen te besparen, maar in de tussentijd wil ik dit nog kwijt: ons model, hoewel complex, betaalt zichzelf zeer snel terug als het wordt overgenomen door een grote industriële/infrastructurele organisatie. En het is geen abonnementsmodel of zoiets: het wordt één keer gekocht en blijft dan jarenlang zonder extra investeringen de boel redden (met een minimum aan regelgevings-, reputatie- en operationele risico’s). O, en het is ook goed voor het volgende: de zenuwen van OT-mensen… of hun verstand.
Tips