Er zijn almaar meer opkomende dreigingen voor internet of things (iot)-omgevingen die via 4G en 5G zijn verbonden. Dat schrijft beveiliger Trend Micro in een nieuw rapport. Vaak vloeien de risico’s voort uit de moeilijkheden die organisaties ervaren om kritieke industriële (iiot)-omgevingen te patchen.
Het onderzoek noemt verschillende aanvals- en verdedigingsscenario’s die onderzoekers hebben vastgesteld in een testomgeving die een industrieel internet of things nabootst. ‘Zoals de studie benadrukt, zijn veel organisaties vandaag de dag niet in staat om de nodige downtime te voorzien om kritieke kwetsbaarheden in het systeem te verhelpen’, zegt Steven Heyde, Benelux-manager bij Trend Micro. ‘Aanvallers kunnen die zwakke punten dan misbruiken.’
Private netwerken met 4G of 5G zijn meestal grootschalige infrastructuren met een lange levensduur. Wanneer die geïnstalleerd zijn, is het moeilijk om deze te vervangen of aan te passen. Daarom moet er een aanpak gehanteerd worden die ‘standaard beveiligd’ is zodat de veiligheidsrisico’s van bij het ontwerp van het netwerk geïdentificeerd en beperkt kunnen worden, stelt Trend Micro.
Het onderzoek identificeert een aantal kritieke toegangspunten voor aanvallers die schade willen toebrengen aan een 4G/5G-netwerk. Zo hebben de servers die de centrale netwerkservices onderbrengen vaak kwetsbare punten en ‘zwakke’ wachtwoorden. Ook de virtuele machines of containers lopen ook een risico als de meest recente patches niet snel worden geïnstalleerd. Dikwijls wordt ook de infrastructuur van het netwerk tijdens updates over het hoofd gezien. Tot slot zijn er de 4G/5G-basisstations, die bevatten firmware die regelmatig moet worden geüpdatet.
RPD aanvallen
In zijn rapport presenteert Trend Micro elf aanvalsscenario’s. Het schadelijkste daarvan, is het gericht aanvallen van Microsoft Remote Desktop Protocol-servers (RDP). Omdat een upgrade naar 5G het RDP-verkeer niet automatisch beschermt, kunnen aanvallers dit toegangspunt gebruiken om malware en ransomware te downloaden. Zo kunnen ze industriële beheersystemen meteen kapen. RDP versie 10.0 is de best beveiligde versie en kan tot op een zekere hoogte bescherming tegen aanvallen bieden, maar voor organisaties is het vaak nog moeilijk om een upgrade uit te voeren.
Trend Micro wijst verder op verschillende risicobeperkende maatregelen en best pratices waarmee verbonden fabrieken beschermd kunnen worden. Naast het zo snel mogelijk toepassen van patches, raadt het bedrijf bijvoorbeeld aan om een VPN of IPSec te gebruiken om communicatie op afstand te beveiligen, onder meer naar externe sites en 4G/5G-basisstations.
Ook het versleutelen van de applicatielaag met https, mqtts, ldaps, versleutelde VNC of RDP v10 en het toepassen van beveiligde industriële protocollen, zoals S7Comm-Plus, is zeker aan te raden. Daar bovenop moet het netwerk correct gesegmenteerd worden met een Vlan- of SDN-model. EDR-, XDR- of MDR-oplossingen laten dan weer toe om aanvallen in het oog te houden en de infrastructuur op de site en in de containers van het netwerk te analyseren.