OT aanvallen hebben grote gevolgen in de echte wereld. Wereldwijd cruciale havens kunnen worden stilgelegd, en kritieke gaspijpleidingen kunnen een halt worden toegeroepen door een gekraakte IT-infrastructuur. Maar welke dreigingen zijn reeel, hoe bestrijd je ze en welke tools moet je gebruiken? We bespreken het met Maximilian Heinemeyer, Global Field CISO voor Darktrace.

Heinemeyer begon bij Darktrace in 2016. Hij herkende al snel dat het bedrijf, destijds nog een startup, een fundamenteel andere aanpak hanteerde dan de concurrentie. In plaats van dreigingsdetectie op basis van kant-en-klare signatures, gebruikt Darktrace vanaf het begin zelflerende AI, die alle eigenaardigheden van elke individuele IT-infrastructuur vanaf de basis detecteert. Het werd Cyber AI Analyst genoemd door de voormalige SVP Cyber Innovation van het bedrijf, Pieter Jansen, toen we vorig jaar met hem spraken. We schreven in 2024 uitgebreid over de marktpositie van Darktrace in het algemeen; nu is het tijd om dieper in te gaan op een specifiekere use case.

Als cybersecurity-expert bekeek Heinemeyer dagelijks klantomgevingen, waarbij hij optrad als first responder bij aanvallen zoals WannaCry. “Ik heb aanvallen gezien van praktisch elke natiestaat ter wereld via onze oplossing.” Hieronder vielen allerlei OT- en CNI-aanvallen (Critical National Infrastructure), waarbij digitale aanvalspaden leidden tot praktische gevolgen in de echte wereld. We zullen in dit artikel OT ook gebruiken om naar CNI te verwijzen waar van toepassing, voor de duidelijkheid.

Nu, als Global Field CISO, spreekt Heinemeyer dagelijks met klanten, waarbij roadmaps, strategieën en securityproblemen worden besproken, waardoor deze op de radar van Darktrace verschijnen. Hierbij vormt hij niet alleen een contactpunt vanuit Darktrace naar de eindklant, maar laten zijn bevindingen ook zien hoe zijn bedrijf zich moet bewegen door een veranderend cybersecuritylandschap. We hebben deze notie van een voortdurend veranderend landschap vaak genoeg gehoord, maar laten we eens dieper ingaan op wat dat eigenlijk betekent in het hier en nu.

Grote gevolgen

Een veelgehoorde uitspraak, ook van onze kant, is dat veel van de hedendaagse infiltraties voorkomen hadden kunnen worden door simpelweg relatief basale securitypraktijken na te leven. Nu, met een steeds hogere securitymuur om te beklimmen, komen aanvallers met steeds hogere ladders. Dit is vaak niet het geval bij OT-aanvallen. Denk aan een nutsbedrijf zoals Thames Water, waarvan gezegd wordt dat het bezaaid is met legacy software, waardoor cyberaanvallers zelfs nu nog vrij spel hebben. De WannaCry-ransomware uit 2017, waarvan Heinemeyer de verspreiding uit eerste hand meemaakte, had een bijzonder grote impact op oude Windows-systemen.

Het stereotype (met enige rechtvaardiging) is een dam, haven of kolencentrale met Windows 98-pc’s die al decennia draaien en nooit contact met de buitenwereld mogen maken. Als er ooit toegang tot het openbare internet wordt gerealiseerd, kan dit aanzienlijke gevolgen hebben in de echte wereld. Hoewel details schaars zijn bij dit soort incidenten, laten de aanvallen op zeehavens in Australië en Japan zien dat de wereldwijde infrastructuur aanzienlijk kan worden getroffen zonder disaster recovery. “Het is shooting fish in a barrel als het om OT-aanvallen gaat,” zegt Heinemeyer. “De enige reden waarom we niet meer hacks zien, is omdat er niet genoeg middelen zijn voor de aanvallers.” Zelfs in de Cambrische explosie van staatsactoren en ransomwaregroepen is er meer prooi dan dit roofdierencollectief kan consumeren. “Dat is behoorlijk eng als we kijken naar de huidige veranderingen in het dreigingslandschap. Met de hulp van AI-modellen, vooral LLM’s, kun je beter coderen en schrijven.” Heinemeyer verwijst hierbij naar zowel effectievere malware die met behulp van AI wordt geschreven als naar het bestaan van overtuigendere phishing-e-mails dan ooit tevoren. Met andere woorden, zowel het kwaadaardige software ‘product’ als de toeleveringsketen worden verfijnd. Heinemeyer zegt dat de gehele aanvalscyclus wordt versneld. “Eén aanvaller kan nu meer bedrijven parallel aanvallen dan ooit tevoren.”

Hij benadrukt dat de kop in het zand steken, een favoriete bezigheid onder sommige OT-personeel, niet langer werkt. Security through obscurity is en blijft een slecht idee. Heinemeyer: Ik zeg niet dat iedereen gehackt zal worden, maar het wordt steeds waarschijnlijker tegenwoordig.
Mogelijk heeft de struisvogelpolitiek te maken met, jawel, de berichtgeving over OT-kwetsbaarheden, ook door onszelf. Oeroude protocollen, ICS-systemen en PLC’s met exploiteerbare kwetsbaarheden zijn duidelijk risicofactoren. Echter, de mensen die verantwoordelijk zijn voor het onderhoud van deze systemen bij fabrieken en nutsbedrijven weten beter dan wie dan ook dat de daadwerkelijke exploitatie van deze obscure systemen onwaarschijnlijk is. Het probleem, legt Heinemeyer uit, is dat “in bijna elke aanval die we zien, zo’n exploit, helemaal niet nodig is.” Er is genoeg laaghangende fruit, dus waarom zou je moeite doen voor iets exotisch?

Deze versturen we 3-4x per jaar.