Door oude industriële applicaties te virtualiseren, kunnen fabrieksprocessen beschermd worden tegen aanvallen met moderne malware zoals Stuxnet. Dat vertelde Citrix-beveiligingsstrateeg Kurt Roemer aan Computable tijdens de Citrix Synergy-conferentie, die van 6 tot 8 oktober plaatsvindt in Berlijn.
'De grote zorg rond Stuxnet is dat het zich richt op SCADA-netwerken. Die controleren zeer belangrijke infrastructuur', zegt Roemer. SCADA is een afkorting van Supervisory Control And Data Acquisition, waarmee het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van machines in grote industriële systemen wordt aangeduid.
Windows NT
Volgens Roemer heeft Citrix klanten uit de industriële sector die virtualisatie inzetten om oude fabrieksapplicaties te kunnen beschermen tegen moderne malware: 'Hun SCADA-netwerk draait bijvoorbeeld nog op Windows NT. Het kan daar niet van af, omdat het zo oud is. Ze gebruiken virtualisatie om hun SCADA-netwerk af te scheiden van de rest van het netwerk. Er is geen direct netwerkpad meer. Toegang verloopt alleen nog via Citrix.'
Dat heeft veel voordelen, aldus de beveiligingsstrateeg: 'Het betekent dat er strenge authenticatie plaatsvindt, gegevens versleuteld over het netwerk worden verzonden en processen worden gelogd en gecontroleerd. Dat heb je dan allemaal onder handbereik, terwijl je dat nooit zou kunnen doen via een 25 jaar oude applicatie. Virtualisatie is dus een manier om oude applicaties op een veiliger manier te draaien.'
Hypervisor is lastig te misbruiken
Er bestaat nog maar weinig malware die is gericht op virtualisatieproducten, zegt Roemer. 'Malwareschrijvers richten zich meer op applicaties, het besturingssysteem of het netwerk.' In de toekomst kan dat volgens de beveiligingsstrateeg veranderen, simpelweg omdat virtualisatiesoftware meer en meer gebruikt wordt.
Malwareschrijvers zullen volgens Roemer echter nog een aardige kluif hebben aan het vinden van zwakheden binnen hypervisors: 'De hypervisor is een heel smalle laag, die rechtstreeks met de hardware praat en afgescheiden is van het internet. Daardoor is het heel moeilijk er misbruik van te maken. We maken bovendien gebruik van hardwarespecifieke eigenschappen in onder meer Intel-processoren en netwerk-interfacekaarten om geheugenprocessen gescheiden te houden op hardwareniveau.'
Leuk verhaal, alleen is NT4 not supported op een Citrix hypervisor.
Het is ook niet erg slim om een dergelijk systeem aan te schaffen als niet gegarandeerd kan worden dat er over tien jaar nog support op kan worden geleverd.
Ik heb met systemen uit de jaren ’80 gewerkt waarop nu nog steeds support wordt geleverd (even niet over de kosten zeuren) waarom kunnen aanbieders van Microsoft oplossingen dat niet?