Nozomi Networks en het SANS Institute hebben een onderzoek gepubliceerd waaruit blijkt dat bedrijven meer investeren in cyberbeveiliging van industriële controlesystemen (ICS) om te voldoen aan het steeds uitgebreidere landschap van cyberdreigingen.
De SANS ICS/OT-enquête van 2021 kreeg 480 reacties, waarbij 47% meldde dat hun ICS-beveiligingsbudgetten de afgelopen twee jaar zijn gestegen. Nog eens 32% zei dat er geen verandering was opgetreden.
Bijna de helft van de respondenten zei niet te weten of hun organisatie te maken had gehad met een cyberbeveiligingsincident, terwijl slechts 15% toegaf dat ze er in de afgelopen 12 maanden wel een hadden gehad.
Van degenen die zeiden dat ze te maken hadden met cyberbeveiligingsincidenten, zei meer dan de helft dat ze binnen 6-24 uur een compromis konden detecteren. Dertig procent was in staat om binnen zes uur een compromis te detecteren.
Speciale functie
The Rise of Industrial IoT
Wereldwijd wordt infrastructuur aan elkaar gekoppeld via sensoren, machine learning en analytics. We onderzoeken de opkomst van de digitale tweeling, de nieuwe leiders in industriële IoT (IIoT) en casestudies die de lessen belichten die zijn geleerd uit productie-IIoT-implementaties.
Lees meer
Bijna 20% zei dat het technische werkstation een initiële infectievector was. Ongeveer de helft noemde “externe verbindingen” als de dominante toegangsvector, terwijl 36% externe toegangsdiensten noemde als een veelvoorkomende gerapporteerde initiële toegangsvector voor incidenten.
Verrassend genoeg vond bijna 70% van de respondenten het risico voor hun omgeving hoog of ernstig, een aanzienlijke stijging in vergelijking met de 51% die in 2019 werd gezien. Meer dan de helft noemde ransomware, cybercriminaliteit en aanvallen op nationale staten als de belangrijkste bedreigingsvectoren. Meer dan 31% van de respondenten zei dat onbeschermde apparaten ook een groot probleem waren.
Gelukkig zei ongeveer 70% van de respondenten dat ze een of ander monitoringprogramma hebben voor OT-beveiliging en bijna 76% zei dat ze het afgelopen jaar een beveiligingsaudit van hun OT/controlesystemen of netwerken hebben uitgevoerd.
Bijna 30% heeft een continu evaluatieprogramma opgezet en 50% van de respondenten zei dat ze een door een leverancier geleverde ICS-specifieke feed voor informatie over bedreigingen gebruiken.
De cloud speelt ook een grotere rol in OT-omgevingen, waarbij 40% van de respondenten zegt een of andere vorm van cloudgebaseerde services voor OT/ICS-systemen te gebruiken. Meer dan 90% gebruikt cloudtechnologie voor configuratie en analyse van bewaking op afstand, OT-ondersteuning en afstandsbediening/logica.
Elke respondent die cloudtechnologie gebruikt, zegt deze te gebruiken voor ten minste één soort cyberbeveiligingsfunctie.
Mark Bristow, hoofd van de afdeling cyberdefensiecoördinatie bij CISA en SANS Institute Certified Instructor, schreef het rapport en vertelde ZDNet dat drie dingen hem opvielen: het niveau van acceptatie van cloudtechnologieën voor operationele resultaten, het gebrek aan van de zichtbaarheid van incidenten en het aantal incidenten met technische werkstations.
“Twee jaar geleden werd de adoptie van de cloud niet serieus besproken en nu gebruikt 49% het. De implicatie van technische werkstations bij zoveel incidenten is zeer zorgwekkend. Deze apparaten zijn nodig om voorspelbare herhaalbare effecten te ontwikkelen tegen besturingssystemen en de targeting en succesvolle exploitatie van deze systemen wijst op een aanzienlijk huidig en toekomstig risico”, aldus Bristow.
“Het is geweldig dat we nu monitoringprogramma's hebben, maar we kijken nog steeds vooral naar de IT-aspecten van onze OT-omgevingen. We moeten onze IT- en OT-beveiligingstelemetrie en procesgegevens met elkaar in verband brengen om de potentiële impact op de veiligheid echt te begrijpen en operaties. Focus op de basis. Te veel respondenten hebben geen formeel programma voor identificatie en inventarisatie van activa. Zonder deze fundamentele stap zijn verdere investeringen in beveiliging mogelijk ongeldig of misplaatst. Ransomware is een enorm risico, maar het is niet specifiek gericht op ICS. Een kwaadwillende persoon die zich specifiek op uw ICS-omgeving richt, zal niet zo bot of luidruchtig zijn als ransomware, en we hebben moeite om ons tegen ransomware te verdedigen.”
Bristow voegde eraan toe dat hij werd aangemoedigd om te zien dat sommige respondenten gebruiken continue patching van de OT-omgeving.
“Een paar jaar geleden werd dit als onmogelijk beschouwd en het zien van de implementatie is echt bemoedigend”, merkte Bristow op.
Hoe hackers het elektriciteitsnet van Oekraïne aanvielen: implicaties voor industriële IoT-beveiliging
De cyberaanvallen van december 2015 op Oekraïense elektriciteitsbedrijven waren zeldzaam in die zin dat daadwerkelijke schade werd toegebracht. Maar er is voldoende bewijs van wijdverbreide infiltratie in de operationele systemen van organisaties.
Lees meer
Technologie-evangelist Chris Grove van Nozomi Networks, die samen met Bristow aan het rapport werkte , herhaalde veel van de beoordelingen die zijn co-auteur aanhaalde en prees de acceptatie door de industrie van cloudgebaseerde services.
Grove vertelde ZDNet dat hij gelooft dat ICS-organisaties cloudtechnologieën zullen blijven gebruiken en dat de acceptatie van cloudgebaseerde beveiligingsoplossingen de komende jaren aanzienlijk zal groeien.
Maar hij merkte op hoe alarmerend het is om te zien dat detectie en reactie nog steeds een belangrijk probleem is voor organisaties.
“In bijna alle gevallen maakt een grotere zichtbaarheid alles gemakkelijker te beheren. Van het hebben van een gedetailleerde inventaris van activa tot het bewaken van netwerkverkeerspatronen, tot het inspecteren van verkeer op aanvallen of operationele anomalieën… zichtbaarheid is een cruciaal onderdeel van het succesvol verdedigen van operaties”, aldus Grove.
“Als onderdeel van een post-Breach-mentaliteit moeten operators rekening houden met het feit dat de aanvallers uiteindelijk de perimeter zullen doorbreken, en men moet voorbereid zijn op die dag. Hoe beperken we de explosiestraal van de aanval? Hoe houden we ze op baai, en ze vervolgens uit het systeem verwijderen? Hoe kunnen we de activiteiten die mogelijk door de inbreuk zijn getroffen, zorgvuldig onderhouden, veilig afsluiten of herstellen? Dit zijn lastige vragen die moeten worden gesteld voordat die dag komt.”
Beveiliging
Fortinet, Shopify melden problemen nadat root-CA-certificaat van Lets Encrypt verloopt Ransomware-bendes klagen dat andere oplichters hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden elke maand geconfronteerd met miljarden aanvallen als hackers probeer wachtwoorden te raden Een goedbetaalde baan in cybersecurity krijgen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
Cloudbeveiliging TV-gegevensbeheer CXO-datacenters