Risicobehandeling legacy: focus op netwerksegmentatie
Doelgroep:
Als CISO in een Groeiende organisatie heb ik een ruw beeld van legacy-systemen en -software die we niet structureel onderhouden. Dit met alle risico’s tot gevolg. Ik wil daarom zicht op kwetsbare systemen en software procesmatig in mijn organisatie inbedden.
Als Techneut moet ik aan de slag met het segmenteren van onze meest kwetsbare legacy- en OT-systemen zodat de risico’s beperkt worden.
Als je de legacy-systemen binnen jouw organisatie in kaart hebt gebracht én hebt bepaald in hoeverre ze een risico vormen, ga je aan de slag met het behandelen van deze risico’s. Hoewel een breed spectrum van risicomitigerende maatregelen relevant kan zijn bij legacy, leggen we in dit artikel de nadruk op risicomodificatie. We volgen hierbij de indeling volgens het NIST CSF-framework en geven met name aandacht aan het beschermen van systemen door middel van netwerksegmentatie.
Achtergrond
Soms is een risico voor jouw organisatie acceptabel. Vaker echter, zul je een risico niet willen of kunnen accepteren. In dat geval heb je verschillende opties om het risico te mitigeren. In het algemeen gesproken kun je een risico delen of overdragen, bijvoorbeeld in de vorm van een verzekering. Een andere optie is om een risico te vermijden, bijvoorbeeld door een systeem offline te halen, ook al heeft dit gevolgen voor je bedrijfsactiviteiten. Bij het mitigeren van je legacy-risico’s zul je doorgaans echter vooral investeren op risicomodificatie, waarbij je als organisatie beheersmaatregelen neemt om het risico terug te brengen tot een acceptabel niveau.
Je geeft invulling aan risicomodificatie met maatregelen om systemen te beschermen, problemen te detecteren, te reageren op incidenten en te kunnen herstellen nadat een incident zich heeft voorgedaan. Deze thema’s zijn allemaal relevant voor het terugbrengen van legacy-risico’s. We gaan in dit artikel het diepst in op het beschermen van systemen.
1. Beheer en governance
Zoals bij elke stap in het risicomanagementproces, sta je ook bij het nemen van beheersmaatregelen eerst stil bij beheer en governance.
Hoe ga ik mijn legacy-systemen vervangen?
Het vervangen van je legacy-systemen door systemen met moderne (beveiligings)functionaliteiten is per definitie een oplossing voor je legacy-risico’s. Maak dus een plan voor de vervanging van je legacy-systemen. Ook als je nu nog niet (helemaal) kunt uitfaseren maar dit wel het beste zou zijn voor het risicoprofiel van je organisatie. Het is van belang om goed bij te houden wanneer dergelijke mogelijkheden zich voor zullen doen. Het vervangen van een legacy-systeem kan in de praktijk een langlopend en complex proces zijn. Onderzoek of je stapsgewijs functionaliteiten kunt vervangen door nieuwe systemen te bouwen naast je bestaande legacy-systemen. Je leverancier heeft hier waarschijnlijk ervaring mee en beschikt vaak over uitgewerkte migratieplannen waar je gebruik van kunt maken, inclusief de mogelijkheden van achterwaartse en voorwaartse compatibiliteit.
Heb ik de lifecycle van mijn legacy-systemen in beeld?
Je hebt als onderdeel van je risicobeoordeling je assets geïnventariseerd en je weet uit welke soft- of hardwarecomponenten jouw legacy-systeem bestaat. Je hebt ook de lifecycle in beeld gebracht én je weet waar je staat in die lifecycle. Borg nu de kennis die je zelf in huis hebt om het systeem of component in de lucht te houden; zorg voor overdracht en vastlegging. Weet wat je nog aan ondersteuning (ook voor incidenten en herstelwerkzaamheden) van de leverancier in de toekomst kunt verwachten. Zo weet je op welk moment je idealiter assets zou moeten vervangen om te voorkomen dat er (nieuwe) legacy-risico’s ontstaan. Stem alles af met de juridische en/of inkoopafdeling.
Wat zijn de business-belangen?
Benader zowel modernisering (vervanging) als risicomodificatie vanuit een businessperspectief. Maak enerzijds duidelijk welke business impact voortkomt uit de kosten en risico’s die gepaard gaan met de instandhouding van een legacy-systeem. Betrek anderzijds de voordelen die het moderniseren of vervangen van je legacy-systeem oplevert voor de business in de discussie. Houd op deze manier de verantwoordelijke managers binnen de business als eigenaar betrokken bij de modernisering én mitigatie van de risico’s van legacy-systemen. Tijdige en heldere communicatie over de lifecycle van assets is hierbij van vitaal belang: zorg dat de business niet verrast wordt door het einde van ondersteuning vanuit de leverancier.
2. Beschermen
Beschermende maatregelen neem je om te voorkomen dat een risico zich manifesteert. Dit kunnen technische, procedurele maar ook personele maatregelen zijn (vaak afgekort tot PPT: People, Process & Technology). In deze publicatie over legacy-risico’s richten we ons vooral op de techniek en dan specifiek op maatregelen waarmee je je legacy-systemen technisch afschermt van andere systemen en deze ook weer koppelt. Aan de hand van voorbeelden leggen we hieronder uit wat netwerksegmentatie, -segregatie en -isolatie is en hoe je ze inzet om je legacy-systemen te beschermen.
Vaak pas je als organisatie meerdere maatregelen tegelijkertijd toe. Dit wordt defense-in-depth genoemd, waarbij het uitvallen van een enkele maatregel, zoals anti-virus, niet direct betekent dat er helemaal geen beveiliging meer is tegen een dreiging omdat je bijvoorbeeld segmentatie, sterke authenticatie, hardening en detectie hebt ingeregeld. Elk maatregel heeft een andere functie en voegt unieke waarde toe aan de totale keten van risicomodificatie. Het is als organisatie belangrijk om te kijken naar het gecombineerde effect van je maatregelen en welk specifiek risico je mitigeert. Hoewel we in deze publicatie de focus leggen op technische afschermingsmaatregelen, moet je deze dus altijd in combinatie met andere technische, personele én procedurele maatregelen nemen.
Afschermen: noord-zuid en oost-west
Omdat legacy-systemen niet voldoen aan moderne beveiligingseisen, vormt het technisch afschermen van een legacy-systeem het leidende principe. Afscherming pas je toe om de veiligheid van het legacy-systeem zelf te verbeteren door de blootstelling aan externe invloeden ter verkleinen, maar ook om te voorkomen dat een aanvaller het legacy-systeem als springplank gebruikt naar je andere systemen.
Bij het afschermen van je legacy-systemen moet je ten eerste zorgen dat je de verbindingen tussen een legacy-systeem en de ‘buitenwereld’ (externe netwerken) onder controle brengt. Dit wordt ook wel de ‘noord-zuid dimensie’ (north-south traffic) genoemd. Hiermee voorkom je dat je legacy-systeem direct blootgesteld is aan dreigingen van buitenaf (south-bound) en/of er vanuit het legacy-systeem direct data naar buiten kan (north-bound) stromen. Dreigingen hebben meestal een externe oorsprong.
Ten tweede breng je de verbindingen tussen je legacy-systeem en de andere interne systemen binnen het netwerk van jouw organisatie onder controle. Dit wordt ook wel de ‘oost-west dimensie’ (east-west traffic) genoemd. Hiermee voorkom je bijvoorbeeld dat een kwaadwillende actor zich vanuit het ene interne systeem of deel van je netwerk kan verplaatsen naar het andere. Deze zogeheten laterale beweging is vaak een meer geavanceerde dreiging en dit vertaalt zich dan ook naar meer geavanceerde beheersmaatregelen.
Koppelen: heb grip op de communicatie van je systemen
Afschermen gaat hand in hand met koppelen. Om je legacy-systeem te kunnen (blijven) gebruiken zul je het immers in meer of mindere mate moeten koppelen aan andere systemen binnen of buiten je organisatie. De afscherming van je legacy-systeem dwingt je om goed na te denken over de communicatiekanalen- en activiteiten (ook wel dataflows) met andere systemen en netwerken. Welke connectiviteit is noodzakelijk voor welk proces of systeem en voor welke gebruiker? Om de benodigde communicatiekanalen op gecontroleerde wijze te realiseren, richt je vervolgens een beheersbaar en goed beveiligd koppelvlak in.
De beveiligingsmaatregelen op zo’n koppelvlak kunnen elk een andere type functie hebben die een onderdeel van de dreiging aanpakt. Zo bepaal je bijvoorbeeld op het koppelvlak welke systemen met elkaar mogen praten (netwerkadres), waarover ze mogen praten (inspectie op inhoud), en zelfs in welke taal (protocol) ze met elkaar mogen praten. Je kunt ook beheren dat niet het hele systeem mag communiceren, maar alleen een enkele applicatie en/of gebruiker. Je kunt je afschermingsmaatregelen dus heel fijnmazig ontwerpen. Je selecteert op basis van je organisatiedoelstellingen, je risicobeoordeling en je mogelijkheden de beste combinatie van maatregelen om je legacy-systeem technisch af te schermen.
Praktische handvatten: begin, leer en groei stapsgewijs
Afschermen en koppelen pas je toe op verschillende manieren en niveaus. Leer en groei hier als organisatie stapsgewijs in. Hoe je afschermt en koppelt is onder meer afhankelijk van je risicobeoordeling, de daaruit voortgekomen prioriteiten, de apparatuur, kennis en kunde die je ter beschikking hebt en je bestaande beheersmaatregelen.
Segmentatie
Om een begin te maken met afschermen pas je netwerksegmentatie toe. In de simpelste vorm is dit het opsplitsen van je netwerk in segmenten (soms ook zones of netwerkdomeinen genoemd). Een segment vormt een eigen afgeschermd netwerk binnen je bedrijfsnetwerk dat in mindere of meerdere mate verbonden is met andere segmenten of externe netwerken. Die verbinding verloopt via een gecontroleerd communicatiekanaal of inspectiepunt. Door het inrichten van zo’n koppelvlak heb je de mogelijkheid om verkeer tussen netwerksegmenten te beheren (monitoren, detecteren en bijvoorbeeld bepaald verkeer beperken/blokkeren). Bij netwerksegmentatie blijf je een directe vorm van communicatie behouden tussen de segmenten, je bepaalt alleen wat wel en wat niet mag.
Legacy afschermen begint bij het afschermen van het internet
Legacy-systemen zijn niet geschikt om blootgesteld te worden aan het internet. Ze zijn vaak ontworpen met onvoldoende aandacht voor beveiliging; bijvoorbeeld omdat ze standaard beheerd kunnen worden via het internet en met zwakke authenticatie zijn uitgerust. Daarnaast krijgen ze op een bepaald moment geen updates meer en zijn eventuele kwetsbaarheden vaak breed publiekelijk bekend. De eerste stap is dan ook om ze af te schermen van het internet (niet meer internet-facing). Alleen systemen die daar geschikt voor zijn, zoals het standaardmodem geleverd door je Internet Service Provider, mogen worden blootgesteld aan het internet. Zie dit als een eerste basisvorm van afscherming; een bedrijfsnetwerk is een apart netwerksegment die je van het internet scheidt met je modem als koppelvlak.
Een kleine ondernemer heeft twee oudere ip-camera’s in gebruik om zicht te houden op de roldeur en achterdeur van zijn loods, waar ook zijn kantoor is gevestigd. Hij maakt gebruik van het standaardmodem dat hij heeft gekregen bij zijn klein-zakelijke internetaansluiting. De ondernemer en zijn medewerkers maken voornamelijk gebruik van het wifinetwerk en ook de ip-camera’s zijn hiermee verbonden. Het standaardmodem is in dit geval het koppelvlak dat zorgt voor een zekere scheiding tussen het internet en het bedrijfs-wifinetwerk. De oudere ip-camera’s maken standaard gebruik van UPnP (Universal Plug and Play) en hebben automatisch poorten opengezet op het modem, waardoor ze direct blootgesteld zijn aan het internet. Daarnaast zijn ze mogelijk niet goed meer te patchen en kunnen zo direct worden aangevallen. De ondernemer besluit om de afscherming te verbeteren door cloud-based ip-camera’s te kopen die versleuteld alleen north bound verbindingen maken met de cloud (zoals normaal verkeer). De ondernemer kan dan via het cloud-portaal van de leverancier van de camera’s zijn beelden te beheren.
De nieuwe camera’s in dit voorbeeld zijn nu beter afgeschermd van het internet omdat ze niet meer internet-facing zijn; niet meer scanbaar vanaf het internet omdat de data versleuteld uit de modem naar de cloud overgaan.
Verder aan de slag met segmenteren: binnen je bedrijfsnetwerk
Met het afschermen van je legacy-systemen van het internet heb je de eerste stap gezet. De volgende belangrijke stap is het inzetten van segmentatie binnen je bedrijfsnetwerk. Je bedrijfsnetwerk kan bijvoorbeeld verdeeld worden in functionele groepen (personeelszaken, operationeel, financieel etc.), of groepen met verschillende beveiligingseisen (veiligheidssysteem, IoT-internet of things). Met behulp van de basisfunctionaliteiten op je zakelijke (enterprise) routers en switches kom je vaak een heel eind. Zo gebruik je je bestaande infrastructuur om je netwerk doelgericht te segmenteren. Typische routers en switches hebben functionaliteiten die gebruikt kunnen worden om netwerksegmenten aan te maken zoals subnetting, VLAN’s (Virtual Local Access Networks) en ACL’s (Access Control Lists). Subnets, VLAN’s en ACL’s worden vaak in combinatie met elkaar gebruikt om segmenten aan te maken, systemen die niet fysiek naast elkaar geplaatst zijn virtueel te groeperen en koppelen, en regels aan te maken om te bepalen welke systemen met elkaar mogen praten. Er zijn ook meer geavanceerde functionaliteiten mogelijk voor betere segmentatie, afhankelijk van je hardware en software. Verdiep je als organisatie in de bestaande infrastructuur en kijk wat mogelijk is, en of dit voldoende is voor jouw specifieke situatie.
Dutch Patent Solutions geeft met een team van 150 collega’s advies op het gebied van patenten en octrooien. Er wordt binnen het bedrijf nog veel geprint en op elke afdeling staat een printer of multifunctional. De IT-manager heeft een risicobeoordeling uitgevoerd waaruit is gebleken dat alle printers en een deel van de multifunctionals vanuit het hele netwerk te benaderen zijn via een slecht beveiligde web-beheersinterface. Ze is bang voor de vertrouwelijkheid van de geprinte en gescande documenten op de harde schijven van de apparaten én maakt zich zorgen over misbruik van de apparaten als springplank naar werkstations of servers.
De IT-manager heeft een voorstel gedaan om nieuwe, goed beveiligde multifunctionals aan te schaffen, maar ze heeft te horen gekregen dat het budget hiervoor pas volgend jaar beschikbaar komt. In de tussentijd wil ze de risico’s zoveel mogelijk aanpakken met maatregelen die binnen haar bestaande budget te realiseren zijn. Haar team duikt in de functionaliteiten van de bestaande routers en switches en past eenvoudige basisnetwerksegmentatie toe met VLAN’s en ACL’s. Vervolgens bepalen ze dat alleen bepaalde clients of goed beveiligde printerservers (geplaatst in een andere VLAN) mogen communiceren met de printers.
In het voorbeeld van de printers wordt bestaande infrastructuur gebruikt om netwerksegmenten te maken zodat systemen wat meer afgeschermd zijn van elkaar. Niet alle systemen hoeven in verbinding te staan. Deze maatregel is belangrijk om de laterale beweging van een dreiger te bemoeilijken. De routers en switches vormen een koppelvlak waar je routingregels maakt die bepalen welke systemen, poorten, protocollen, en richtingen (noord-zuid, oost-west) toegelaten worden. Veel zakelijke routers en switches hebben ook basis-firewall-functionaliteit waarmee je verdere beperkingen legt op de mogelijkheden voor systemen om met elkaar te communiceren. Hiermee zorg je dat een verbinding alleen wordt toegestaan als de netwerkadressen, poortgegevens en sessiestatus correct zijn.
Een organisatie heeft behalve printers ook andere systemen die verouderd kunnen zijn of ongemerkt aan het netwerk zijn verbonden (shadow-IT). Het is goed om deze assets in kaart te brengen, en goed te begrijpen, voordat je een plan maakt om te segmenteren en beveiligen.
In het voorbeeld van de printers wordt bestaande infrastructuur gebruikt om netwerksegmenten te maken zodat systemen wat meer afgeschermd zijn van elkaar. Niet alle systemen hoeven in verbinding te staan. Deze maatregel is belangrijk om de laterale beweging van een dreiger te bemoeilijken. De routers en switches vormen een koppelvlak waar je routingregels maakt die bepalen welke systemen, poorten, protocollen, en richtingen (noord-zuid, oost-west) toegelaten worden. Veel zakelijke routers en switches hebben ook basis-firewall-functionaliteit waarmee je verdere beperkingen legt op de mogelijkheden voor systemen om met elkaar te communiceren. Hiermee zorg je dat een verbinding alleen wordt toegestaan als de netwerkadressen, poortgegevens en sessiestatus correct zijn.
Een organisatie heeft behalve printers ook andere systemen die verouderd kunnen zijn of ongemerkt aan het netwerk zijn verbonden (shadow-IT). Het is goed om deze assets in kaart te brengen, en goed te begrijpen, voordat je een plan maakt om te segmenteren en beveiligen.
Versterk je koppelvlak met een Next Generation Firewall (NGFW)
Je kunt een firewall ook als losstaand koppelvlak kopen en in je netwerk gebruiken om de communicatie tussen segmenten of tussen systemen extra te beveiligen. Een NGFW is een krachtig instrument dat in aanvulling op het controleren van adressering, poortgegevens en sessiestatus, ook in het dataverkeer zelf kan kijken. Daarmee blokkeert een NFGW niet alleen een sessie als deze verdachte indicatoren bevat, maar is deze ook in staat de inhoud (payload) van legitiem verkeer te controleren op verdachte indicatoren en deze eventueel blokkeren. NGFW’s hebben dus geïntegreerde IDS/IPS (Intrusion/Prevention Detection System)-functionaliteit. Dat betekent dat je respectievelijk reactief of proactief op dreiging kunt reageren. Houd er rekening mee dat het meeste dataverkeer tegenwoordig is versleuteld (met TLS) en dat een NGFW daar alleen in kan kijken als je op een centrale plek in je netwerk TLS-interceptie hebt ingeregeld. Dat kan op zichzelf weer risico’s met zich meebrengen en vergt een goede afweging tussen de voor- en nadelen.
Glasfabriek “Dutch Glass Solutions” heeft een verouderd SCADA (Supervisory Control and Data Acquisition: zorgt voor mens-machine-interactie door middel van een visuele omgeving voor bediening, monitoring en beheer)-omgeving voor de operationele besturing van de productie van glas. De organisatie heeft al basissegmentatie toegevoegd aan het OT-netwerk, maar maakt zich zorgen om de SCADA-omgeving omdat patchmanagement niet meer mogelijk is op deze verouderde systemen. De organisatie wil de SCADA-omgeving beter afschermen van de rest van het netwerk en vice-versa. Natuurlijk moet procesdata zoals productietemperatuur en batchkwaliteit vanuit de SCADA-omgeving beschikbaar blijven voor analyse in het ERP-systeem in de kantooromgeving ten behoeve van kwaliteitscontrole. Tegelijk moeten periodiek ontwerp- en receptupdates vanuit de ontwerpapplicatie in de kantooromgeving worden gedeeld naar het SCADA-systeem zodat productieorders kunnen worden uitgevoerd.
De organisatie besluit om een NGFW te plaatsen aan de rand van het netwerksegment waar de SCADA-omgeving in contact staat met andere systemen die met het operationele netwerk moeten communiceren. In de NGFW wordt eerst expliciet gespecificeerd welke verbindingen met andere systemen zijn toegestaan. Daarnaast wordt de NGFW ingesteld om de payload van het toegestane dataverkeer tussen de SCADA-omgeving en andere systemen te inspecteren. Als de inhoud van het dataverkeer afwijkt van de vooraf ingestelde mogelijkheden, geeft de NGFW een melding die moet worden beoordeeld door een medewerker.
Met een NGFW bescherm je je SCADA-omgeving met aanvullende beveiligingsfunctionaliteiten. Legacy-systemen kunnen misschien niet meer geüpdatet worden en met een NGFW patch je een legacy-systeem virtueel door bekende kwetsbaarheden en aanvallen te blokkeren. Een SCADA-systeem is onderdeel van een OT-netwerk waar sommige systemen heel tijd-kritisch zijn. Als je gebruik maakt van een NGFW in OT-netwerken moet je waarborgen dat deze geen verstoringen veroorzaken in het proces.
Let op dat er geen harde definitie is voor NGFW en dat de exacte functionaliteiten en mogelijkheden afhankelijk zijn van de productleverancier. Ook is een NGFW niet de ultieme firewall die alle risico’s wegneemt. Je hebt ook heel specifieke firewalls voor heel specifieke situaties, zoals een WAF (Web Application Firewall) voor webapplicaties.
Nog meer koppelvlakfunctionaliteit met proxy’s en gateways
In het voorbeeld van de legacy-printers wordt ook een printerserver genoemd. Dit is een soort proxy die tussen de legacy-printer en de clients (gebruikers) staat en het verkeer opvangt. Zo’n proxy is een moderne server met moderne beveiligingsopties die de directe communicatie verbreekt. Het legacy-systeem en de clients communiceren alleen met de proxy (en dus niet met elkaar) en de proxy bepaalt hoe en wat. Een bekend voorbeeld van een proxy is de reverse proxy die je plaatst tussen een legacy-webserver en haar client(s). Je kunt ook proxy’s inzetten om met een legacy-systeem te praten dat een verouderd protocol gebruikt. Op deze wijze is de rest van je netwerk afgeschermd van dit verouderde protocol en is de communicatie daarmee beheerd via de proxy.
Nog een andere type koppelvlak dat je tussen het legacy-systeem en clients kunt plaatsen om een directe communicatie te verbreken is de gateway. Er zijn vele types gateways met een divers pakket aan functionaliteiten, maar een bekende is de API (Application Programming Interface)-gateway. Deze gateway gebruik je als multifunctioneel koppelvlak om bijvoorbeeld legacy-applicaties af te schermen. Het biedt vele functionaliteiten zoals authenticatie, autorisatie, encryptie, rate-limiting, input validatie, firewall, protocoltranslatie, monitoring, detectie en logging. Kortom: een multifunctioneel cybersecuritykoppelvlak.
Dutch Offshore Solutions werkt met een oud ERP-systeem dat niet meer door de leverancier wordt ondersteund. Het systeem heeft diverse kwetsbaarheden; de software is verouderd, er is zwakke authenticatie en autorisatie, een verouderd protocol met zwakke encryptie en het systeem is ook niet meer compliant met nieuwe beleidsregels. De organisatie kan het systeem nog niet vervangen en wil het zo snel mogelijk beter beveiligen als tussenoplossing.
Ze besluiten het ERP-systeem in een eigen netwerksegment te plaatsen. Vervolgens zetten ze een API-gateway in als extra poortwachter op de applicatielaag. De API-gateway zorgt ervoor dat de oude interface van het ERP-systeem niet direct is blootgesteld aan externe systemen. De API-gateway voegt moderne authenticatie en autorisatie toe, en zorgt voor TLS-communicatie met clients. Ook maakt de organisatie handig gebruik van de overige functionaliteiten van de API-gateway, zoals integratie met de bestaande SIEM-oplossing.
Een API-gateway is een geïntegreerde oplossing waar veel nuttige functionaliteiten inzitten. Maar die functionaliteiten kunnen ook los geïmplementeerd worden. Je zal voor jouw organisatie zelf moeten bepalen welke mitigerende technieken het beste passen in jouw specifieke situatie. De uitkomsten van de risicobeoordeling worden hierbij afgewogen tegen de organisatiedoelstellingen, beschikbare middelen, en ook de dagelijks gang van zaken binnen je organisatie.
Gevorderde vormen van segmentatie
Er zijn ook gevorderde vormen van netwerksegmentatie, zoals microsegmentatie, waarbij je bijvoorbeeld gebruik maakt van Software Defined Networking (SDN). Het toepassen van deze technieken gaat verder dan alleen het beschermen van een aantal legacy-systemen in je organisatie. Het zijn intensieve en uitgebreide cybersecurityprogramma’s die je eigenlijk bij een groot deel van je organisatie wilt toepassen. Ze vragen om veel middelen en onderhoud, maar zijn zeer effectief. Hoewel je de genoemde technieken dus niet enkel in de context van legacy-risico’s zult toepassen, benoemen we ze voor de volledigheid toch kort.
SDN is een netwerktechnologie waar je een virtual overlay netwerk (software) op je fysieke netwerk (routers en switches) creëert. Hiermee segmenteer je dynamisch (inclusief microsegmentatie), rol je policies uit, heb je centrale controle en voer je snel incident response uit. Veel van de maatregelen (zoals virtual patching) die in de bovengenoemde voorbeelden werden genoemd kunnen met SDN makkelijker en flexibeler geïmplementeerd worden over de hele breedte van de organisatie.
Microsegmentatie is een beveiligingsstrategie. Met microsegmentatie oefen je fijnmazig controle uit op oost-west verkeer binnen je (micro)netwerksegment. Vaak wordt het woord workloads gebruikt in de omschrijving van microsegmentatie. Een workload is een verzamelnaam voor alles wat een applicatie of service doet: denk aan processen, data, en communicatie tussen systemen en gebruikers. Met microsegmentatie geef je invulling aan concepten als least privilege en zero trust architecture (ZTA). Je kunt per proces, applicatie of zelfs persoon (dus voor elke workload) bepalen wat wel en niet mag.
Netwerksegregatie
Het nog verder beheren en strikter beperken van de communicatie tussen netwerksegmenten noemen we netwerksegregatie. Zie bijvoorbeeld Controle 8.22 (ISO-27002) waarin het beperken van de verkeersstroom tussen verschillende sub(netwerken) of netwerkdomeinen wordt benadrukt. Bij de eerdergenoemde voorbeelden van netwerksegmentatie blijft er eigenlijk altijd een directe vorm van communicatie bestaan tussen de netwerksegmenten via het koppelvlak. Met netwergsegregatie maak je de afscherming nog sterker. Hierbij is directe communicatie tussen netwerksegmenten niet meer mogelijk. De communicatie vanuit de ene kant van het koppelvlak wordt op enige manier volledig onderbroken, onder controle gebracht en opnieuw opgebouwd naar de andere kant.
In het voorbeeld van de gateways zorgt de API-gateway voor protocol terminatie functionaliteit, wat inhoudt dat communicatie met het legacy-protocol afgebroken wordt bij de gateway en aan de client-side met een modern veilig protocol weer wordt opgebouwd. Dit is een vorm van segregatie tussen netwerksegmenten. Vaak betekent segregatie echter dat er sprake is van twee aparte netwerken met eigen ip-adresruimte. Bij een ultieme vorm van segregatie bestaat er naast een logische ook fysieke (airgap) scheiding tussen systemen. Soms wordt het woord separatie gebruikt in plaats van segregatie. Hieronder gaan we verder in op een aantal belangrijke begrippen in de context van netwerksegregatie.
DMZ’s, jump servers en virtualisatie
De naam DMZ (demilitarized zone) geeft al aan wat de functie ervan is: het creëert een beschermde bufferzone tussen netwerken of netwerksegmenten. Vaak wordt een DMZ toegepast tussen een bedrijfsnetwerk en het internet, maar ook binnen je netwerk kun je het principe toepassen. Bijvoorbeeld tussen aan de ene kant het netwerksegment met het legacy-systeem (of OT-omgeving) en aan de andere kant het netwerksegment met je overige systemen. De connectiviteit tussen de DMZ en de andere netwerksegmenten controleer je met firewalls. De firewalls configureer je op basis van de connectiviteit die je koppelvlak nodig heeft om goed te functioneren. Het koppelvlak bestaat uit alle functionaliteiten binnen de DMZ (bijvoorbeeld jump servers, gateways). Als een DMZ goed is ingericht is er geen directe communicatie tussen het ene netwerk(segment) en het ander. Het communicatiepad voor toegestane verbindingen wordt gebroken en niet toegestane verbindingen worden geblokkeerd.
Legacy-systemen krijgen soms onderhoud (van een leverancier) dat gefaciliteerd wordt via externe (onvertrouwde) netwerken. Als remote access nodig is voor onderhoud dan is het beter om dat op een beheersbare en centrale wijze te organiseren op een systeem dat gescheiden is van het legacy-netwerk. Vaak zetten organisaties hiervoor jump servers (bastion servers) op, eventueel in een DMZ. Jump servers zijn een gateway voor dit soort remote verbindingen, en zoals de naam al zegt, spring je gecontroleerd van een jump server naar je eindstation.
Dutch Trading Solutions heeft een oud (Windows 7) werkstation in haar fabriekshal dat dagelijks wordt gebruikt door medewerkers (inclusief de usb-poorten), ook voor andere (niet-werkgerelateerde) zaken. Externe leveranciers gebruiken een onveilige applicatie voor een remote verbinding met het werkstation. Na het uitvoeren van een risicoanalyse besluit de organisatie om de situatie aan te passen. De nieuwe situatie is als volgt:
De organisatie virtualiseert het legacy-werkstation. De VM (virtuele machine) van het werkstation staat op een hypervisor die geplaatst is in een beveiligde serverruimte. Een jump server is ingericht en geplaatst in een DMZ (die geconfigureerd is om scheiding aan te brengen tussen de IT- en de OT-omgeving). De beveiligingseisen van de jump server zijn hoog en authenticatie (MFA) en een VPN worden door de organisatie beheerd. Als een externe leverancier op afstand service wil verrichten omdat er een storing is aan de installatie, belt hij met de operators van de fabriek om toegang te krijgen tot de jump server. Nadat de service engineer toegang heeft tot de jump server, kan een geautoriseerde verbinding worden gemaakt met de virtuele omgeving waar de service engineer met de VM zijn werk kan doen op de legacy-installatie.
In het voorbeeld wordt virtualisatie ingezet om het legacy-werkstation te draaien op een modern en beheersbaar platform. Als je een legacy-systeem in een VM of container draait, biedt dit je waardevolle mogelijkheden. Je vermindert afhankelijkheid van end-of-life hardware en configureert toepassingen zoals virtuele netwerkmogelijkheden en firewalls met het hypervisor systeem. Ook kun je je back-up-management en herstelmogelijkheden verbeteren met snapshots en roll-back functionaliteit. Zo moderniseer je je omgeving en heb je een mate van virtual patching.
Om situaties zoals in het voorbeeld (en de eerdere voorbeelden) nóg beter te beheren, kan je nog denken aan het gebruik van een oplossing voor privileged access management (PAM). Dit helpt je bijvoorbeeld om het principe van least privilege toe te passen en administratieve (of zelfs engineeringsrechten) rechten te beperken tot die medewerkers voor wie dat absoluut noodzakelijk. En enkel voor het relevante systeem, gedurende een specifieke periode en in de juiste context.
Isolatie
Wanneer het legacy-risico echt groot is en er een nog striktere vorm van afscherming nodig is, pas je netwerkisolatie toe. Isolatie kan permanent zijn of tijdelijk. Isolatie is het fysiek scheiden van systemen. Dit wordt soms air-gapping genoemd omdat er geen fysieke verbinding meer is tussen de systemen. Er is dan ook geen (conventionele) dataoverdracht mogelijk van het netwerk (segment of -systeem) dat in isolatie is geplaatst. Vaak is toch enige vorm van data-overdracht nodig. Hieronder gaan we in op de mogelijkheden.
Datadiodes
Soms heb je een legacy-systeem alleen nodig om data te lezen (monitoren). Datadiodes en uni-directionele gateways bieden deze functionaliteit (eenrichtingsverkeer) met een sterke vorm van afscherming. Een datadiode laat alleen een datastroom in één richting toe, bijvoorbeeld vanuit het legacy-systeem naar een extern netwerk. Een zender in een hardwaremodule stuurt data (bijvoorbeeld optisch) naar een ontvanger. Let op: dit proces kan nooit de andere kant op gedaan worden want de zender kan alleen zenden en de ontvanger alleen ontvangen. Standaard communicatiegeoriënteerde protocollen zoals TCP kunnen dus niet functioneren. Een uni-directionele gateway bouwt verder op het principe van een datadiode maar kan ook de applicatielaag bewerken. Zo repliceer je bijvoorbeeld databases, of loggingbestanden aan de externe zijde.
Het logistiek centrum van Dutch Logistic Solutions werkt met veel legacy-systemen, maar wil een veilige manier hebben om het proces te monitoren in de kantooromgeving. De organisatie besluit een datadiode te gebruiken om de informatie naar een kantooromgeving en een aantal andere locaties te sturen. De organisatie gebruikt ook veel IIoT (Industrial Internet of Things) om extra informatie uit het veld te halen ter ondersteuning van operatie. Door de data in één richting te laten sturen blijft het IIoT-netwerk geïsoleerd van externe netwerken (in dit geval internet).
Alternatieve connectiviteit
Misschien heeft het legacy-systeem weinig onderhoud nodig, draait het standalone en hoeft alleen maar af en toe de status (handmatig) gecheckt te worden. Omdat er geen directe connectiviteit is, moet data handmatig of via gecontroleerde mechanismen worden verplaatst. Er is een aantal manieren om dat te bewerkstelligen:
- Data wordt gekopieerd van het verbonden systeem naar verwijderbare media zoals usb-sticks. Dit medium wordt fysiek naar het air‑gapped systeem gebracht en daar geïmporteerd. Het risico hierbij is dat malware meelift op usb‑sticks. Deze procedure vereist strikte scanning, digitale basishygiëne (schone usb) en operationele discipline.
- Data wordt gekopieerd via een transferstation. Speciale intermediaire systemen fungeren als brug. Strikte controle wordt hierbij uitgevoerd: antivirus‑scanning, bestandstype‑whitelisting, en contentinspectie.
- Of je kunt data printen, op DVD branden, of met QR-codes overbrengen. Deze procedures voorkomen ook dat er een elektronisch terugkanaal bestaat.
De kwaliteit van het ontwerp en de uitvoering van deze maatregelen (scanning, omgang usb-sticks) zullen bepalend zijn voor de mate waarin ze werkelijk risicomitigerend zijn. Ze zijn omslachtig, foutgevoelig en werken vertragend. Het gevaar bestaat dat medewerkers onvoorziene afsnijroutes verzinnen en hiermee het netwerk aan nieuwe risico’s blootstellen. Check dus goed of het air-gappen niet meer risico’s veroorzaakt! Legacy-systemen kunnen echter zo kritisch zijn dat zeer ingrijpende maatregelen nodig zijn, en dat deze techniek het best past bij jouw organisatiedoelstellingen en beveiligingseisen. Neem dan isolatie als conceptueel uitgangspunt mee in het ontwerp en de operationele aansturing van je systemen.
3. Detecteren
Detectie is een belangrijke aanvullende maatregel bij het mitigeren van cyberrisico’s: om de compromittatie te limiteren, om de juiste acties te ondernemen en om te leren hoe je je beveiliging beter inricht. Ook als je een legacy-systeem niet ‘aan wil raken’, heb je verschillende mogelijkheden. Waar je precies op detecteert en waarom is afhankelijk van jouw specifieke situatie. Dat bepaal je op basis van de kennis en kunde over je legacy-systemen. In algemene zin kun je bij detectie op je legacy-systemen denken aan de volgende invalshoeken.
- De koppelvlakken waarmee je communicatie met je afgeschermde legacy-systemen beheert, zijn een voor de hand liggende plek om detectie op in te richten (zie de voorbeelden over firewalls, en gateways). Sluit hierbij aan op de beveiligingsmaatregelen en regels die je hebt ingesteld op het koppelvlak. Zorg bijvoorbeeld dat je mislukte of afwijkende inlogpogingen signaleert, maar kijk ook wat je aan verkeersanalyse op het koppelvlak kunt doen. Klopt het verkeersbeeld dat je ziet met het verwachte verkeersbeeld? Worden er verzoeken gedaan voor verbindingen die je niet hebt toegestaan? Denk ook aan de integriteit van het koppelvlak zelf. Zorg dat je wijzigingen in configuratie en binaries, of bijvoorbeeld het wegvallen van logging of monitoring, detecteert. Als de betreffende legacy-applicatie zelf ook nog logs produceert, wil je die op gecontroleerde wijze op het koppelvlak beschikbaar maken voor verdere verwerking.
- Als je gebruik maakt van een apart netwerksegment voor je legacy-systeem en de verbindingen verlopen via je koppelvlak, weet je precies wat je wel en niet kunt verwachten op dat netwerksegment. Met netwerkdetectie kun je verdachte verbindingen, afwijkend (protocol)verkeer en eventuele IOC’s onderkennen. Door middel van een netwerk-TAP (eventueel in combinatie met een datadiode) dupliceer je al het netwerkverkeer op het betreffende netwerksegment direct vanaf de switch naar je monitoringoplossing.
- Als je legacy-applicatie in een gevirtualiseerde omgeving draait, kun je ook daar nog detectie overwegen. Dat kan enerzijds binnen de gevirtualiseerde omgeving zelf, waarbij je een agent (een softwarecomponent voor detectie) installeert in de VM waarin ook je legacy-applicatie draait. Soms is dit niet mogelijk of ongewenst, bijvoorbeeld als je een oud besturingssysteem gebruikt. In dat geval regel je detectie op het niveau van de hypervisor (of container-engine) zelf. Denk hierbij aan afwijkingen in resourcegebruik, VM-configuratie of het inzetten van virtuele netwerkinterfaces. Als je gebruik maakt van containerization-technologie, hanteer je eenzelfde aanpak waarbij je detecteert op afwijkingen in container-images en runtime-integriteit.
De opbrengsten van de verschillende detectie-oplossingen die je hebt geïmplementeerd voor je legacy-systemen ontsluit je in je SIEM. Denk hierbij nog goed na over eventuele correlatieregels tussen de verschillende detectieresultaten: gebeurt er bijvoorbeeld iets op het koppelvlak én gaat tegelijk het CPU-verbruik van je VM omhoog, dan is dit verdacht. Neem ook de bestaande detectiepunten en -regels mee in deze overwegingen. Na de technische integratie en het instellen van correlatieregels produceer je SIEM-alerts als er iets aan de hand is met je legacy-systemen. Dat is natuurlijk geen doel op zich, maar een middel om te kunnen reageren op een mogelijke dreiging.
4. Reageren
Als jouw organisatie getroffen wordt door een cyberincident dan kan dat verstrekkende gevolgen hebben. Het is dus belangrijk dat je weet hoe je moet reageren om de gevolgen van een incident te beperken en de oorzaak ervan weg te nemen. Het opstellen, onderhouden en oefenen van een incidentresponsplan (IRP) staat hierbij centraal. In onze publicatie over incidentrespons lees je hoe je dit aanpakt. Legacy-systemen hebben een aantal kenmerken die extra aandacht vragen bij het opstellen van een IRP.
- De beperkte mate van ondersteuning, en beschikbare kennis en kunde van een legacy-systeem kan een extra groot probleem worden op het moment dat een incident zich voordoet. Zorg dat de benodigde kennis en kunde over het systeem altijd beschikbaar is. Maak hierover afspraken met de leverancier van het legacy-systeem, maar bespreek het ook met je eigen experts en eventuele incidentresponsleveranciers.
- Legacy-systemen zijn vaak fragiel, afhankelijk van oude besturingssysteemversies en/of hardware. Verbindingen met andere systemen lopen vaak via koppelvlakken. Door deze complexiteit liggen in geval van een incident complicaties voor de hand, als gevolg van het incident zelf óf jouw incidentresponsactiviteiten. Houd rekening met langere hersteltijden ten opzichte van moderne systemen.
- Legacy-systemen hebben vaak beperkte logfunctionaliteit. Zorg dat toch de benodigde loginformatie wordt verzameld, bijvoorbeeld op de koppelvlakken die je hebt ingericht. Gebruik de aandachtspunten uit onze publicatie over forensic readiness.
5. Herstellen
Naast het bestrijden van de oorzaak en verspreiding van een cyberincident, is het natuurlijk van belang om te kunnen herstellen van de gevolgen van het incident. Hoe je dat in algemene zin aanpakt lees je in onze publicatie. Ook hier is voor legacy-systemen een aantal aandachtspunten te benoemen bij het opstellen van je herstelplan of disaster recovery plan:
- Kennis van het legacy-systeem is ook bij het herstellen van cruciaal belang. Naast de kennis en kunde en beschikbaarheid van je eigen experts, kan je ook bij het herstellen ondersteuning van je leverancier goed gebruiken. Bespreek de problemen waar je mogelijk tegenaan loopt bij herstel, zoals licentie-checks en activatieprocedures.
- De opties om back-ups te maken van legacy-systemen (en de verouderde hard- en software waarvan ze afhankelijk zijn) zijn vaak beperkt en wijken af van de moderne back-up opties. Leg afwijkende procedures goed vast, inclusief de specifieke (oude) software, drivers, en configuraties die nodig zijn voor het functioneren van het legacy-systeem.
- Mogelijk heb je gevirtualiseerde omgevingen in gebruik voor je legacy-systemen. Deze bieden juist mogelijkheden bij het herstellen. Snapshots stellen je bijvoorbeeld in staat om snel terug te schakelen naar een functionerende toestand. Kijk wel kritisch naar hoe vaak en waar je ze opslaat; als de storage zelf wegvalt ben je natuurlijk ook je snapshots kwijt.
- De eerder benoemde fragiliteit van legacy-systemen, de afhankelijkheden van specifieke (oude) soft- en hardware én de connectiviteit via speciaal ingerichte koppelvlakken kunnen het herstelproces behoorlijk vertragen. Denk van tevoren goed na over hoe je legacy-systemen de hersteldoelen die jij stelt in de weg kunnen zitten en communiceer binnen je organisatie over deze onzekerheden.
Aan de slag
Welke maatregelen je voor jouw organisatie neemt om jouw legacy-risico’s aan te pakken is afhankelijk van je situatie. Je kan waarschijnlijk met je huidige infrastructuur al een stevige basis leggen.
- Maak de stap van alleen noord-zuid-afscherming naar óók oost-west-afscherming.
- Segmenteer je netwerk en definieer de koppelvlakken die je nodig hebt ten behoeve van je legacy-systemen.
- Beperk verkeer tot het strikt noodzakelijke en leg eigenaarschap van koppelvlakken en regelsets vast.
- Minimaliseer beheertoegang en besteed aandacht aan detectie, respons en herstel met de beperkingen van legacy in het achterhoofd.
- Kijk tegelijk verder dan enkel je legacy-systemen.
- Onderzoek of en op welk moment het voor jouw organisatie opportuun is om aan de slag te gaan met microsegmentatie en je organisatie als geheel (inclusief je legacy-systemen) beter te beschermen.
Back to basics
Ook bij het modificeren van de risico’s van legacy-systemen ben je gebaat bij een goede basis. Onze 5 basisprincipes van digitale weerbaarheid bieden houvast en ook de vertaling naar het beveiligen van OT/IACS helpt je bij het leggen van een solide basis.