‘Goed’, ‘Beter’ en ‘Het Beste’ in Cybersecurity…
Mijn complimenten als u heeft besloten om een kwetsbaarheden analyse (‘vulnerability assessment’) te laten plaatsvinden of de opdracht heeft gegeven aan een cybersecurity bedrijf om een penetratie test (‘pen-test’) uit te laten voeren op uw infrastructuur, web applicaties, mobiele apps of software code. Hieruit blijkt dat u cybersecurity bewust bent en belang hecht aan de cyberweerbaarheid van uw organisatie. Bravo!
Hoewel deze tools stuk voor stuk individueel goed zijn en in de combinatie met elkaar vaak nog beter zijn, bieden zij niet de vereiste cyberweerbaarheid, die een organisatie nodig heeft in de huidige uitdagende wereld waarin steeds geavanceerdere aanvallers innovatieve manieren vinden om toegang te krijgen tot de infrastructuur van uw organisatie.
Begrijp mij niet verkeerd. Een kwetsbaarheden analyse is nog steeds een goed idee op het moment dat er een voorbereidend plan aan ten grondslag ligt en duidelijk is bepaald hoe de resultaten van deze analyse worden gemanaged. Een pen-test is dan vaak de volgende stap om de uitbuiting (‘exploitabillity’) van de ontdekte kwetsbaarheden te testen zodat deze kunnen worden gemanaged en de situatie kan worden verbeterd. Pen-testing wordt ook aangeraden als van tevoren duidelijk is welk apparaat, systeem of element van het netwerk van de infrastructuur moet worden getest en waarom (omdat er een security incident heeft plaatsgevonden of dat andere tests kwetsbaarheden hebben aangetoond of dat de organisatie aan nieuwe regels moet voldoen of dat het wordt vereist door een verzekeraar).
Het probleem met beide benaderingen is echter dat ze de cyberweerbaarheid van de organisatie slechts voor een beperkt deel (van de infrastructuur) en voor een korte periode vergroten. Vooral die korte periode is een probleem. Als de pen-test gereed is en het project is afgerond, dan kunnen de volgende dag weer nieuwe kwetsbaarheden worden ontdekt. Daarnaast zijn een kwetsbaarheden analyse en een pen-test voornamelijk gericht op het IT-domein en worden de OT- en IoT domeinen niet of nauwelijks bekeken.
Dit heeft als gevolg dat bepaalde ‘blinde vlekken’ (mogelijke kwetsbaarheden in het OT en IoT domein) niet worden gedetecteerd, die vervolgens door hackers kunnen worden misbruikt om toegang te krijgen tot de infrastructuur van de organisatie. Technisch gezien moet namelijk na elke update op ieder relevant systeem, de gehele technische infrastructuur opnieuw worden getest en ge-audit, wat uiteindelijke een repetitieve pen-test noodzakelijk maakt, maar ook uiterst kostbaar wordt. Een standaard pen-test is sowieso al kostbaar vanwege de vereiste voorbereidingstijd, de uitvoering (enkele dagen tot weken), de benodigde analyses en het gedetailleerde eindrapport dat moet worden opgesteld. Met andere woorden, een pen-test is een dure momentopname van de huidige situatie die 24 uur nadat hij heeft plaatsgevonden achterhaald kan zijn. Dit betekent concreet dat het OT/IoT aanvalsoppervlak (aanvalsoppervlak = het geheel van mogelijke toegangsvectoren voor hackers) van de geteste organisatie niet optimaal is afgedekt met als gevolg dat er blinde vlekken open blijven voor hackers. En een hacker heeft maar één blinde vlek nodig om toegang te krijgen.
Om deze blinde vlekken te voorkomen, zouden organisaties – naast een kwetsbaarheden analyse en/of een pen-test - moeten kiezen voor continue security monitoring van de gehele OT/IT/IoT infrastructuur. Niet alleen het ‘continue’ aspect is belangrijk in dit verhaal, maar ook het monitoren van de OT en IoT elementen op security aspecten, is essentieel. De security monitoring dient continu plaats te vinden om de simpele reden dat de infrastructuur van een organisatie constant in beweging is. Regelmatig worden nieuwe kwetsbaarheden ontdekt, gaan systemen kapot en/of worden vervangen, en maken mensen fouten (lees: verkeerde configuraties of onjuiste implementaties van systemen). Een ander argument om ook de OT en IoT systemen 24/7 te monitoren, is dat een verandering in de infrastructuur niet alleen geldt voor IT systemen, maar evenzo van toepassing is op OT en IoT systemen. Om een voorbeeld te geven: op een gegeven moment gaat een temperatuur sensor (IoT) van een koelcel of in een datacenter kapot en moet worden vervangen. Als deze vervanging niet wordt gemonitord op security, dan kan deze sensor onbeveiligd en direct aan het internet worden gekoppeld, met alle gevolgen van dien. Dat lijkt dan ogenschijnlijk een kleine blinde vlek, maar kan verstrekkende gevolgen hebben.
Daarnaast is het goed te beseffen dat het aantal cyberaanvallen op OT en IoT systemen de laatste jaren aanzienlijk is toegenomen. Deze toename is een logisch gevolg van het feit dat deze systemen vaak aan het interne netwerk – en soms zelf rechtstreeks aan het internet - worden gekoppeld. Aangezien deze systemen nooit ‘secure-by-design’/voor het internet zijn ontwikkeld en meestal geen of minimaal ingebouwde security tools hebben, zijn deze systemen inherent onveilig en kwetsbaar. Dit maakt deze systemen zeer aantrekkelijke doelen voor hackers.
Om de cyberweerbaarheid te verbeteren, hetgeen ook wordt vereist in de NIS2 Directive, moeten organisaties volledige zichtbaarheid hebben over hun complete OT/IT/IoT infrastructuur. Simpelweg, omdat men niet kan beveiligen waar men geen zicht op heeft en niet weet. Zodra de gehele infrastructuur inzichtelijk is gemaakt, zal deze ook constant moeten worden gemonitord op security. Hierbij is het wel van belang dat deze security monitoring wordt verricht vanuit een Security Operations Center (SOC) met analisten die ook daadwerkelijk kennis hebben over de OT/IoT omgeving en wijzigingen in de infrastructuur kunnen duiden. Deze monitoring is een uiterst belangrijke aanvulling op de kwetsbaarheden analyse en de pen-test. In tegenstelling tot een kwetsbaarheden analyse of pen-test is deze continue security monitoring geen momentopname of een ‘snapshot’ van de huidige situatie. Een ander verschil met een kwetsbaarheden analyse of pen-test is dat deze monitoring aanpak zich niet beperkt tot aanvallen van buiten, maar ook alle infrastructurele veranderingen en dus ook configuratie wijzigingen van de interne systemen en netwerken detecteert.
Samenvattend kan men concluderen dat een kwetsbaarheden analyse of een pen-test weliswaar een bijdrage leveren aan het verbeteren van de cybersecurity van een organisatie, maar wel een beperkte. Echter, als een organisatie haar cyberweerbaarheid daadwerkelijk wil verbeteren en ook wil voldoen aan internationale standaarden/richtlijnen zoals bijvoorbeeld de NIS2, dan mag continue security monitoring niet ontbreken. Een kwetsbaarheden analyse is GOED; een additionele pen-test is BETER, maar een combinatie met continue security monitoring is het BESTE!
Door: Fred Streefland, CEO van Secior