Every industrial cybersecurity question demands a tailor-made answer and solution. Our focused team of professionals who understand your business are here to assist your company in securing your mission critical facilities to the highest level.
Juni 2023 – Mijn complimenten als u heeft besloten om een penetratie test (‘pen-test’) uit te laten voerenop uw infrastructuur, web applicaties, mobiele apps of software code. Hieruit blijkt dat u cybersecurity bewust bent en belang hecht aan de cyberweerbaarheid van uw organisatie. Bravo!
Hoewel een pen-test weliswaar een handige tool is om uw cybersecurity te testen, biedt deze tool niet de vereiste cyberweerbaarheid, die een organisatie nodig heeft in de huidige uitdagende wereld waarin steeds geavanceerdere aanvallers innovatieve manieren vinden om toegang te krijgen tot de infrastructuur van uw organisatie.
Begrijp mij niet verkeerd. Een pen-test is nog steeds een nuttige tool om de uitbuiting (‘exploitabillity’) van de ontdekte kwetsbaarheden te testen zodat deze kunnen worden gemanaged en de situatie kan worden verbeterd. Pen-testing wordt ook aangeraden als van tevoren duidelijk is welk apparaat, systeem of element van het netwerk van de infrastructuur moet worden getest en waarom (omdat er een security incident heeft plaatsgevonden of dat andere tests kwetsbaarheden hebben aangetoond of dat de organisatie aan nieuwe regels moet voldoen of dat het wordt vereist door een verzekeraar).
Het voornaamste probleem met een pen-test is dat het slechts een momentopname is en niet de gehele infrastructuur afdekt. Als de pen-test gereed is en het project is afgerond, dan kunnen de volgende dag weer nieuwe kwetsbaarheden worden ontdekt. Daarnaast is een pen-test voornamelijk gericht op het IT-domein en worden de OT- en IoT domeinen niet of nauwelijks ‘getest’.
Dit heeft als gevolg dat bepaalde ‘blinde vlekken’ (mogelijke kwetsbaarheden in het OT en IoT domein) niet worden gedetecteerd, die vervolgens door hackers kunnen worden misbruikt om toegang te krijgen tot de infrastructuur van de organisatie. Technisch gezien moet namelijk na elke update op ieder relevant systeem, de gehele technische infrastructuuropnieuw worden getest en ge–audit, wat uiteindelijke een repetitieve pen-test noodzakelijk maakt, maar ook uiterst kostbaar wordt. Met andere woorden, een pen-test is een dure momentopname van de huidige situatie. Dit betekent concreet dat het OT/IoTaanvalsoppervlak (aanvalsoppervlak = het geheel van mogelijke toegangsvectoren voor hackers) van de geteste organisatie niet optimaal is afgedekt met als gevolg dat er blinde vlekken open blijven voor hackers. En een hacker heeft maar één blinde vlek nodig om toegang te krijgen.
Om deze blinde vlekken te voorkomen, zullen organisaties moeten kiezen voor continuesecurity monitoring van de gehele OT/IT/IoT infrastructuur. Niet alleen het ‘continue’ aspect is hier belangrijk, maar ook het monitoren van de OT en IoT elementen op security aspecten, is essentieel. De security monitoring dient continu plaats te vinden om de simpele reden dat de infrastructuur van een organisatie constant in beweging is. Regelmatig worden nieuwe kwetsbaarheden ontdekt, gaan systemen kapot en/of worden vervangen, en maken mensen fouten (lees: verkeerde configuraties of onjuiste implementaties van systemen). Een ander argument voor deze monitoring is dat een verandering in de infrastructuur niet alleen geldtvoor IT systemen, maar evenzo van toepassing is op OT en IoT systemen. Om een voorbeeld te geven: op een gegeven moment gaat een temperatuur sensor van een koelcel of in een datacenter kapot en dient te worden vervangen. Als deze vervanging niet wordt gemonitord op security, dan kan deze sensor onbeveiligd en/of direct aan het internet worden gekoppeld, met alle gevolgen van dien. Dat lijkt dan ogenschijnlijk een kleine blinde vlek, maar kan verstrekkende gevolgen hebben.
Daarnaast is het goed te beseffen dat het aantal cyberaanvallen op OT systemen de laatste jaren aanzienlijk is toegenomen. Deze toename is een logisch gevolg van het feit dat deze systemen vaak aan het interne netwerk – en soms zelf rechtstreeks aan het internet – worden gekoppeld. Aangezien deze OT systemen nooit ‘secure-by-design’ en voor koppeling aan het internet zijn ontwikkeld en dus geen of minimaal ingebouwde security tools hebben, zijn deze systemen inherent onveilig en kwetsbaar. Dit maakt deze systemen zeer aantrekkelijke doelen voor hackers.
Om de cyberweerbaarheid daadwerkelijk te verbeteren, hetgeen ook wordt vereist in de NIS2 Directive, moeten organisaties volledige zichtbaarheid hebben over hun complete OT/IT/IoTinfrastructuur. Simpelweg, omdat men niet kan beveiligen waar men geen zicht op heeft en niet weet. Zodra de gehele infrastructuur inzichtelijk is gemaakt, zal deze ook constant moeten worden gemonitord op security. Hierbij is het wel van belang dat deze security monitoring wordt verricht vanuit een Security Operations Center (SOC) met analisten die ook daadwerkelijk kennis hebben over de OT/IoT omgeving en wijzigingen in de infrastructuur kunnen duiden. In tegenstelling tot een pen-test is deze continue security monitoring geen momentopname of een ‘snapshot’ van de huidige situatie. Een ander verschil met een pen-test is dat deze monitoring aanpak zich niet beperkt tot aanvallen van buiten, maar ook alle infrastructurele veranderingen en dus ook configuratie wijzigingen van de interne systemen en netwerken detecteert.
Samenvattend kan men concluderen dat een pen-test weliswaar een bijdrage kan leveren aan het verbeteren van de cybersecurity van een organisatie, maar wel een beperkte. Echter, als een organisatie haar cyberweerbaarheid daadwerkelijk wil verbeteren en ook wil voldoen aan internationale standaarden/richtlijnen zoals bijvoorbeeld de NIS2, dan mag en kan continue security monitoring op de gehele IT/OT/IoT infrastructuur niet ontbreken. Een pen-test is GOED, maar continue security monitoring is HET BESTE!