Onlangs was het tien jaar geleden dat de wereld werd gewaarschuwd voor de dreiging van Stuxnet-malware. Stuxnet was de eerste ontdekte malware die industriële controlesystemen (ICS) bespioneerde en aanviel en de technieken die werden gebruikt om doelen te behalen waren geavanceerd. De vraag die opkomt is: wat is de erfenis van Stuxnet over hoe industriële controlesystemen worden aangevallen en hoe organisaties zichzelf zouden moeten beschermen?
Terwijl Stuxnet zich specifiek richtte op een uraniumverrijkingsfaciliteit in Iran, maakt de verspreiding van slecht beveiligde IoT-apparaten het voor alle soorten aanvallers gemakkelijker om bedrijfs- en industriële netwerken over de hele wereld te infecteren. Uit een in maart gepubliceerd Unit 42 IoT-onderzoek blijkt dat 57% van de IoT-apparaten kwetsbaar is voor aanvallen van gemiddelde of hoge ernst, waardoor IoT-apparaten makkelijke doelwitten zijn voor hackers anno 2020.
Alex Hinchliffe, een EMEA-analist voor dreigingsinformatie bij Unit 42, het threat intelligence team van Palo Alto Networks en de recente co-auteur van een dreigingsevaluatierapport over een nieuwe ransomware-dreiging die ‘ICS-bewust’ is, genaamd EKANS, zegt daarover het volgende: “Veel van de bedreigingen die we tegenwoordig zien, gebruiken verschillende technieken die voor het eerst in Stuxnet werden aangetroffen, maar nooit allemaal samen in één enkele aanval, en niet met hetzelfde niveau van verfijning als Stuxnet. Hedendaagse bedreigingen, of die nu verband houden met cybercriminaliteit of natiestaat, zijn doorgaans veel eenvoudiger omdat, jammer genoeg, eenvoudiger nog steeds werkt. Dit komt omdat te veel organisaties die een doelwit zijn – zowel in de particuliere als de openbare sector – zich openstellen voor externe aanvallers. Ter vergelijking: Stuxnet was het doelwit van een veel moeilijkere uitdaging: namelijk air-gapped networks.
‘Grotendeels ongeëvenaard’
Stuxnet is sinds zijn ontdekking grotendeels ongeëvenaard. Hoewel we af en toe destructieve malware zien, leiden dergelijke aanvallen vaak tot gewiste of beschadigde harde schijven van systemen die redelijk snel opnieuw kunnen worden hersteld. Daarbij zien we af en toe industriële controlesystemen (ICS) bedreigingen, maar bijna altijd waar de malware interactie opzoekt met het standaard besturingssysteem van de hostcomputer en niet rechtstreeks met de op maat gemaakte hardware of het protocol van het controlesysteem, in tegenstelling tot Stuxnet.
Ondanks recente speculaties is het onwaarschijnlijk dat de meeste organisaties een aanval van het type Stuxnet zullen ondergaan. Maar het is zeer waarschijnlijk dat hun meest belangrijke systemen en processen worden verstoord door ‘standaard’ malware die in volume toeneemt met de groei van industriële IoT en ondermaatse bescherming van oudere ICS’en.
Patchen, patchen, patchen
Er is een paar dingen die je kunt doen. Het patchen van alle softwaretoepassingen, besturingssystemen en hardware is cruciaal. Het uitbreiden van beveiliging buiten een organisatie en naar de supply chain is ook van cruciaal belang. Het gaat erom dat je bedenkt waarmee je dingen deelt of van ontvangt, en hoe andere organisaties fysiek en digitaal met je organisatie omgaan.
En, natuurlijk, de cyberhygiëne aanscherpen, een strikt beveiligingsbeleid rond netwerkcommunicatie definiëren, zero-trust netwerksegmentering afdwingen en endpoint-oplossingen gebruiken om te voorkomen dat ongewenste apparaten, media, applicaties of protocollen worden gebruikt. Het op deze manier verkleinen van het aanvalsoppervlak kan ook erg nuttig zijn bij het beschermen van systemen die niet kunnen worden gepatcht.”