Every industrial cybersecurity question demands a tailor-made answer and solution. Our focused team of professionals who understand your business are here to assist your company in securing your mission critical facilities to the highest level.
April 2022, datacenters worden steeds sneller, schaalbaarder en efficiënter. Maar daarmee neemt ook het risico van cyberaanvallen op de fysieke infrastructuur toe.
Eerder dit jaar vonden onderzoekers van cyberbeveiligingsbedrijf Cyble meer dan 20.000 gevallen van beheersystemen voor datacenterinfrastructuur die aan het internet waren blootgesteld.
Aanvallers die toegang krijgen tot DCIM-systemen kunnen bijvoorbeeld koelsystemen manipuleren, waardoor servers oververhit raken en schade oplopen. Ze kunnen ook back-upprocessen verstoren of kwaadaardige back-upbestanden uploaden. Als uninterruptible power supply systemen dashboards hebben die via internet toegankelijk zijn, dan kunnen aanvallers de UPS uitschakelen.
“Als het gaat om datacenterinfrastructuur, is onze benadering – als het verbonden is, is het een potentiële kwetsbaarheid”, zegt Chris Caruso, CISO bij Cyxtera Technologies, wereldwijde leverancier van datacenters en colocatie. En het zijn niet alleen de eigen systemen die datacenters in de gaten moeten houden, aldus Caruso. “Aanbieders moeten ook nauw samenwerken met externe leveranciers om ervoor te zorgen dat die partners hun best doen om hun systemen en netwerken te beschermen,” merkte hij op. Het is ook belangrijk dat managers op de hoogte blijven van de laatste ontwikkelingen op het gebied van cyberbeveiliging, zei hij, want “het bedreigingslandschap is altijd in beweging”. Datacenterbeheerders kunnen dreigingsinformatie krijgen van verschillende bronnen, zei hij, waaronder het Cybersecurity and Infrastructure Security Agency (CISA).
De nieuwe dreiging van wipers De inval van Rusland in Oekraïne heeft een nieuwe golf van dreigingen geïntroduceerd, de zogenaamde wipers. Volgens beveiligingsonderzoekers van ESET doen aanvallen zoals HermeticWiper en IsaacWiper zich voor als ransomware, maar in plaats van bestanden te ontsleutelen wanneer het losgeld wordt betaald, wordt alles vernietigd. Dit soort bedreigingen is vaak gericht op de servers en computers in een datacenter, maar veel andere soorten apparaten waar datacenters op vertrouwen kunnen worden getroffen”, aldus Shawn Taylor, vice-president voor bedreigingen bij Forescout Technologies, een cyberbeveiligingsbedrijf. “Het gaat onder meer om ononderbreekbare stroomsystemen, HVAC-controllers en fysieke beveiligingsapparaten zoals badgelezers en IP-camera’s.” Dit soort apparaten kan zeer kwetsbaar zijn door onderliggende gebreken in de communicatiestacks waarop deze apparaten vertrouwen om hun functie uit te voeren, voegde hij eraan toe.
Het wereldwijde cyber intelligence dashboard van Forescout’s Vendere Labs laat zien dat UPS-systemen tot de meest risicovolle apparaten behoren die er momenteel zijn. Vorige week nog heeft CISA samen met het ministerie van Energie een gezamenlijke waarschuwing uitgegeven waarin wordt gewaarschuwd voor bedreigende actoren die op internet aangesloten UPS-apparaten aanvallen, vaak via ongewijzigde gebruikersnamen en wachtwoorden. Ter bescherming tegen dergelijke aanvallen adviseert CISA de datacenteromgeving te onderzoeken op UPS en soortgelijke systemen en de beheerinterfaces van het internet te verwijderen. Als het apparaat toegankelijk moet zijn, beveelt het agentschap aan dat datacenters compenserende maatregelen nemen. De apparaten kunnen bijvoorbeeld achter een virtueel privénetwerk worden geplaatst. CISA stelt ook voor dat datacenters het gebruik van multi-factor authenticatie afdwingen en sterke, lange wachtwoorden of wachtzinnen gebruiken. Het agentschap beveelt ook aan te controleren of de gebruikersnaam en het wachtwoord nog op de fabrieksinstellingen staan. Blijkbaar komt dat vaak voor.
Maar er zijn nog veel meer apparaten en onderdelen die via het web toegankelijk kunnen zijn, aldus Taylor, waaronder HVAC en fysieke beveiligingssystemen. Vaak is deze toegang er zodat verkopers en fabrikanten ze op afstand kunnen ondersteunen of patchen, zei hij. “Datacenters moeten te allen tijde weten welke van hun systemen zijn blootgesteld aan het internet.” Fysieke infrastructuur vaak een blinde vlek voor cyberbeveiliging
Datacenter cybersecurity teams richten zich meestal op de beveiliging van de netwerken, servers en andere technologische infrastructuur. Die scope moet worden uitgebreid, aldus Nasser Fattah, stuurgroepvoorzitter Noord-Amerika bij Shared Assessments, een consortium van bedrijven dat tools en certificering levert voor risicobeheer door derden. “Deze algemene inventaris van datacenters moet allesomvattend zijn,” zei hij, “inclusief stroom, HVAC, brandbestrijdingssysteem, UPS, CCTV, enzovoort, omdat deze oplossingen in de een of andere vorm verbonden kunnen zijn met het IT- en datanetwerk, wat een onbevoegd toegangspunt kan worden.”
Tegenwoordig gebruiken datacenters slimme, aangesloten apparaten voor alles van temperatuurbewaking tot bewaking, die allemaal kunnen worden misbruikt om storingen en uitval te veroorzaken, voegde hij eraan toe. “Om het nog erger te maken, worden IoT-apparaten vaak niet opgenomen in de patchcyclus, waardoor ze kwetsbaar blijven voor exploits”, aldus Fattah. In feite hebben veel IoT-apparaten niet eens upgradebare firmware, zei Charles Everette, directeur cyber advocacy bij Deep Instinct, een leverancier van cyberbeveiliging. “Of upgrades zijn niet ontwikkeld of uitgeduwd ten gunste van vervanging door gewoon een nieuw apparaat of hardware door fabrikanten.” Dit betekent dat de IoT-apparaten snel verouderd raken, zei hij, en beveiligingsrisico’s en gebreken groeien naarmate ze ouder worden.
“Deze apparaten worden vaak gekaapt en bewapend voor meerdere verschillende cyberaanvallen,” voegde Everette eraan toe. “Ik heb persoonlijk gevallen gezien waarbij externe leveranciers toegang kregen om onderhoud of technische assistentie te verlenen aan deze apparaten, waarbij ze onbedoeld toegang kregen tot kritieke beschermde productieomgevingen als gevolg van onjuiste beveiliging en netwerksegmentatie. We hebben zelfs gezien dat leveranciers van derden toegang kregen voor bewaking via een apart apparaat via radio, satelliet of mobiele telefoon, waardoor een achterdeur toegang kreeg tot deze beschermde omgevingen.” Dit soort scenario’s creëren een paradijs voor cybercriminelen, zei hij. De deur staat letterlijk wagenwijd open.
Volgens de SANS 2021 OT/ICS Cybersecurity Survey van afgelopen zomer beoordeelde 70% van de respondenten het risico voor hun OT-omgeving als hoog of ernstig, tegenover 51% in 2019. De grootste OT- en ICS-risico’s? Ransomware en andere financieel gemotiveerde criminaliteit, gevolgd door door de staat gesponsorde aanvallen. Daarnaast betekende het gebrek aan zichtbaarheid in OT- en ICS-omgevingen dat 48% van de respondenten niet eens wist of ze het afgelopen jaar een cyberbeveiligingsincident hadden gehad – tegenover 42% in 2019. De grootste cybersecurity-uitdaging was volgens de enquête de moeilijkheid om legacy OT-technologieën te integreren met moderne IT-systemen. De grootste aanvalsvector was externe diensten op afstand, met 37%, gevolgd door exploits van publiekgerichte toepassingen met 33%, en via internet toegankelijke apparaten met 29%.
Spearphishing-bijlagen kwamen met 27% op de vierde plaats. Maar er is enige vooruitgang geboekt. Volgens het onderzoek wordt nu 51% van de compromissen binnen 24 uur ontdekt, tegenover 36% in 2019.
Auteur: Maria Korolov, april 2022
https://www.datacenterknowledge.com/security/physical-infrastructure-cybersecurity-growing-problem-data-centers