OT-aanvallen hebben grote gevolgen in de echte wereld. Wereldwijd cruciale havens kunnen worden stilgelegd, en kritieke gaspijpleidingen kunnen een halt worden toegeroepen door een gekraakte IT-infrastructuur. Maar welke dreigingen zijn reëel, hoe bestrijd je ze en welke tools moet je gebruiken? We bespreken het met Maximilian Heinemeyer, Global Field CISO voor Darktrace.
Heinemeyer begon bij Darktrace in 2016. Hij herkende al snel dat het bedrijf, destijds nog een startup, een fundamenteel andere aanpak hanteerde dan de concurrentie. In plaats van dreigingsdetectie op basis van kant-en-klare signatures, gebruikt Darktrace vanaf het begin zelflerende AI, die alle eigenaardigheden van elke individuele IT-infrastructuur vanaf de basis detecteert. Het werd ‘Cyber AI Analyst’ genoemd door de voormalige SVP Cyber Innovation van het bedrijf, Pieter Jansen, toen we vorig jaar met hem spraken. We schreven in 2024 uitgebreid over de marktpositie van Darktrace in het algemeen; nu is het tijd om dieper in te gaan op een specifiekere use case.
Als cybersecurity-expert bekeek Heinemeyer dagelijks klantomgevingen, waarbij hij optrad als first responder bij aanvallen zoals WannaCry. “Ik heb aanvallen gezien van praktisch elke natiestaat ter wereld via onze oplossing.” Hieronder vielen allerlei OT- en CNI-aanvallen (Critical National Infrastructure), waarbij digitale aanvalspaden leidden tot praktische gevolgen in de echte wereld. We zullen in dit artikel OT ook gebruiken om naar CNI te verwijzen waar van toepassing, voor de duidelijkheid.
Nu, als Global Field CISO, spreekt Heinemeyer dagelijks met klanten, waarbij roadmaps, strategieën en securityproblemen worden besproken, waardoor deze op de radar van Darktrace verschijnen. Hierbij vormt hij niet alleen een contactpunt vanuit Darktrace naar de eindklant, maar laten zijn bevindingen ook zien hoe zijn bedrijf zich moet bewegen door een veranderend cybersecuritylandschap. We hebben deze notie van een voortdurend veranderend landschap vaak genoeg gehoord, maar laten we eens dieper ingaan op wat dat eigenlijk betekent in het hier en nu.
Grote gevolgen
Een veelgehoorde uitspraak, ook van onze kant, is dat veel van de hedendaagse infiltraties voorkomen hadden kunnen worden door simpelweg relatief basale securitypraktijken na te leven. Nu, met een steeds hogere securitymuur om te beklimmen, komen aanvallers met steeds hogere ladders. Dit is vaak niet het geval bij OT-aanvallen. Denk aan een nutsbedrijf zoals Thames Water, waarvan gezegd wordt dat het bezaaid is met legacy software, waardoor cyberaanvallers zelfs nu nog vrij spel hebben. De WannaCry-ransomware uit 2017, waarvan Heinemeyer de verspreiding uit eerste hand meemaakte, had een bijzonder grote impact op oude Windows-systemen.
Het stereotype (met enige rechtvaardiging) is een dam, haven of kolencentrale met Windows 98-pc’s die al decennia draaien en nooit contact met de buitenwereld mogen maken. Als er ooit toegang tot het openbare internet wordt gerealiseerd, kan dit aanzienlijke gevolgen hebben in de echte wereld. Hoewel details schaars zijn bij dit soort incidenten, laten de aanvallen op zeehavens in Australië en Japan zien dat de wereldwijde infrastructuur aanzienlijk kan worden getroffen zonder disaster recovery.
“Het is shooting fish in a barrel als het om OT-aanvallen gaat,” zegt Heinemeyer. “De enige reden waarom we niet meer hacks zien, is omdat er niet genoeg middelen zijn voor de aanvallers.” Zelfs in de Cambrische explosie van staatsactoren en ransomwaregroepen is er meer prooi dan dit roofdierencollectief kan consumeren. “Dat is behoorlijk eng als we kijken naar de huidige veranderingen in het dreigingslandschap. Met de hulp van AI-modellen, vooral LLM’s, kun je beter coderen en schrijven.” Heinemeyer verwijst hierbij naar zowel effectievere malware die met behulp van AI wordt geschreven als naar het bestaan van overtuigendere phishing-e-mails dan ooit tevoren. Met andere woorden, zowel het kwaadaardige software ‘product’ als de toeleveringsketen worden verfijnd. Heinemeyer zegt dat de gehele aanvalscyclus wordt versneld. “Eén aanvaller kan nu meer bedrijven parallel aanvallen dan ooit tevoren.”
Hij benadrukt dat de kop in het zand steken, een favoriete bezigheid onder sommige OT-personeel, niet langer werkt. Security through obscurity is en blijft een slecht idee. Heinemeyer: “Ik zeg niet dat iedereen gehackt zal worden, maar het wordt steeds waarschijnlijker tegenwoordig.” Mogelijk heeft de struisvogelpolitiek te maken met, jawel, de berichtgeving over OT-kwetsbaarheden, ook door onszelf. Oeroude protocollen, ICS-systemen en PLC’s met exploiteerbare kwetsbaarheden zijn duidelijk risicofactoren. Echter, de mensen die verantwoordelijk zijn voor het onderhoud van deze systemen bij fabrieken en nutsbedrijven weten beter dan wie dan ook dat de daadwerkelijke exploitatie van deze obscure systemen onwaarschijnlijk is. Het probleem, legt Heinemeyer uit, is dat “in bijna elke aanval die we zien, [zo’n exploit] helemaal niet nodig is.” Er is genoeg laaghangende fruit, dus waarom zou je moeite doen voor iets exotisch?
Een aanval op OT is niet altijd een OT-aanval
Zelfs bij beruchte OT-cyberaanvallen, zoals die op de Amerikaanse Colonial Pipeline in 2021, is de OT-aard ervan betwistbaar. Destijds werd Colonial Pipeline gedwongen zijn gaslevering aan klanten te stoppen vanwege een factureringssysteem dat geblokkeerd werd door ransomware. Geen enkele pijpleiding werd hierbij direct getroffen door dreigingsactoren. In plaats daarvan werden ze stilgelegd vanwege economische overwegingen.
Heinemeyer maakt zich niet overdreven zorgen over staatsactoren die een obscuur protocol misbruiken en een gat moeten graven om het te exploiteren en op de een of andere manier een kerncentrale uit te schakelen door de meest ingewikkelde laterale bewegingen denkbaar. Hij is eerder bezorgd over nutsbedrijven met “gammele internetverbindingen en standaard inloggegevens”. Deze bedrijven worden met de dag kwetsbaarder door aanvallers die uitgerust zijn met automatische scanners en AI-gestuurde tools. Wat ‘eng’ is, in Heinemeyers woorden, is deze ‘insecure by design‘-aanpak.
Heinemeyer merkt op dat er gelukkig wel tekenen van verbetering zijn onder OT-teams. Volgens hem zijn er grote stappen gezet op het gebied van asset management, het elimineren van CVE’s, en op het gebied van monitoring, detectie en respons. Ongeveer vijf jaar geleden vertrouwden professionals meer op hype cycles, waarbij beroemde scenario’s zoals Stuxnet de meeste aandacht trokken en de zuurstof uit de kamer zogen voor realistischere zorgen.
Is, gezien de toenemende dreiging, de nieuwe focus op gebruikelijke best practices voldoende? We hebben al eerder geconcludeerd dat kwetsbaarheden niet alleen op basis van de CVSS-score beoordeeld moeten worden. Ze zijn zeker een indicatie, maar een combinatie van CVE’s met een gemiddelde score lijkt de ernstigste gevolgen te hebben. Heinemeyer zegt dat het streven om alle kwetsbaarheden te identificeren als de ultieme oplossing goed was ingeburgerd van de jaren ’90 tot de jaren ’10. Hij zegt dat beveiligingsprofessionals de laatste jaren hebben ingezien dat specifieke problemen geprioriteerd moeten worden, waarbij de technische exploiteerbaarheid door verschillende metingen (bijv. EPSS) wordt gekwantificeerd. “De overweging die bijna altijd ontbreekt, is de lokale context. Waarom zou ik me focussen op een kwetsbaarheid met een CVSS-score van 10,0 als het systeem waarin die kwetsbaarheid zich bevindt geen bedrijfsimpact heeft?” Daarom was de Colonial Pipeline-aanval zo gevaarlijk, omdat het liet zien dat gammele IT-oplossingen directe invloed kunnen hebben op het bruikbare gebruik van kritieke (in dit geval OT) systemen.
Het is daarom vooral belangrijk om de echte aanvalspaden en knelpunten te vinden; met andere woorden, stop een aanvaller waar het telt. Daarom gaat de oplossing van Darktrace een IT-systeem binnen “als een kind”, dat aan alles zit wat het tegenkomt. Het onderzoekt hoe medewerkers daadwerkelijk omgaan met de IT-infrastructuur. Welke protocollen worden in deze specifieke omgeving gebruikt? De conclusies die door de Darktrace-tool worden getrokken, blijven trouwens altijd lokaal opgeslagen bij de klant. Op deze manier wordt een beveiligingsoplossing geen privacyprobleem. De analyse draait dus om praktisch gedrag, wat duidelijk zou moeten laten zien welke processen beschermd moeten worden en waar de potentiële zwakke plekken liggen.
Dit is een andere filosofie dan de ‘known bad‘ threat intelligence-benadering die door andere cybersecurity-leveranciers wordt gehanteerd, zegt Heinemeyer. “Met die aanpak moet je eerst een aanval vinden die gaande is bij een klant.” De signalen van deze specifieke aanval worden vervolgens gedeeld met alle andere klanten, die vanaf dat moment beschermd zouden moeten zijn. “Dat heeft nooit echt gewerkt,” is het oordeel van de Global Field CISO van Darktrace. “Het idee alleen al dat je elke aanval kunt vinden voordat het iemand anders treft, is onhaalbaar. En je loopt altijd achter de feiten aan.” Hij zegt ook dat aanvallers hun signatuur gemakkelijk kunnen veranderen om opnieuw onder de radar te vliegen.
Data delen
Darktrace is daarom niet geïnteresseerd in global threat data intelligence, dat is gebouwd op het delen van klantgegevens en aanvallers geen ademruimte geeft. In plaats daarvan zal Darktrace een anomalie detecteren als bijvoorbeeld een gebruiker plotseling het hele OT-netwerk begint te scannen, 20 gigabyte aan gegevens uploadt naar een openbare website, en admin privileges gebruikt voor de hoofdcontroller. Iemand die dit normaal gesproken niet doet, zal onmiddellijk verdacht zijn als het wordt gedetecteerd, en Darktrace heeft zich erop toegelegd om een dergelijke conclusie zo vroeg mogelijk te trekken.
Uiteraard moet Darktrace toegang hebben tot de gegevens van een organisatie. Hoe gemakkelijk is dat? We vragen dit om een veelvoud aan redenen. Zo bevinden bedrijfsgegevens zich bijvoorbeeld voortdurend in silo’s, en de IT-setup van een OT-speler is vaak een wildgroei aan legacy, niche-tooling en afgebakende systemen met beperkte toegang. CISO’s vertellen Heinemeyer dat ze veel te veel oplossingen in hun IT-landschap hebben. Ze willen platformiseren.
Platformisering
Toevallig springen securityspelers ook op deze specifieke bandwagon, zoals we eind vorig jaar uitgebreid hebben besproken. Darktrace is ambitieus op dit gebied, en Heinemeyer beweert dat de tool van het bedrijf praktisch het hele digitale landschap van een bedrijf kan dekken, inclusief die van OT-spelers met vrij unieke infrastructuren. (Sterker nog, de energiecentrale in Drax, Engeland, was de allereerste klant van Darktrace.) Na een week laat Darktrace resultaten zien op basis van de gegevens die de klant deelt – die, nogmaals, hun bedrijf niet zullen verlaten.
Heinemeyer geeft aan dat klanten moeten kunnen kiezen voor het beste van het beste. Darktrace kan bijvoorbeeld zo worden ingesteld dat het alleen binnen de OT-omgeving draait, met compatibiliteit voor andere oplossingen. Hij merkt ook op dat verschillende verdedigingsdomeinen gescheiden kunnen worden, zoals identity security, observability en de beveiliging van endpoints of cloud workloads. “Het zijn allemaal verschillende datagebieden. Je wilt ze combineren in een systeem dat kan begrijpen hoe deze tools samenwerken. Dat zou Darktrace kunnen zijn, maar het zou ook iets anders kunnen zijn.”
AI, AI, AI
Heinemeyer heeft enige kritiek op concurrenten op dit gebied. “Er vindt veel AI-washing plaats,” een marketingtruc die goed werkt voor iedereen die eraan doet. Dit heeft een nadelig effect op de eindgebruiker. Het State of AI Cyber Security-rapport van Darktrace uit 2024 laat zien dat beveiligingsprofessionals slecht begrijpen wat AI precies doet in hun IT-omgevingen. “Als je een professional bent, wil je weten wanneer je je zaag moet gebruiken en wanneer je boorhamer.” Zonder kennis van hoe de software werkt, kan een beveiligingsteam niet de juiste uitrusting pakken, zegt hij. Zo moet elke securityprofessional bijvoorbeeld onderscheid kunnen maken tussen een supervised machine learning-tool, een copilot voor natuurlijke taal of een zelflerende (d.w.z. unsupervised) oplossing zoals die van Darktrace. Het kennisniveau hoeft niet veel verder te gaan dan dat, zegt Heinemeyer, maar enige basis is vereist.
In de twaalf jaar dat Darktrace bestaat, is het uitleggen van wat het doet een uitdaging geweest. In de begindagen, toen AI nog lang niet zo bekend was, werd de oplossing uitgelegd als het immuunsysteem voor je onderneming. Nu leeft Darktrace volgens het adagium ’toon, vertel niet’. Zodra organisaties zien waartoe Darktrace’s machine learning in staat is (en het kan gratis worden getest), realiseren ze zich de waarde ervan, zegt Heinemeyer.
Minder kennis nodig?
Dit brengt ons bij een interessante kwestie. AI wordt ver buiten het beveiligingsdomein genoemd als iets dat de vereiste expertise voor een bepaalde taak kan verminderen. Iemand die voorheen middelmatige e-mails schreef, kan beleefder en meer betrokken (en dus professioneler) overkomen dankzij een kunstmatige co-piloot. We zouden eindeloos door kunnen gaan met voorbeelden. Maar verlagen deze taken ook de vaardigheden die vereist zijn voor beveiligingspersoneel, vooral voor specifieke niches zoals OT? Neemt Darktrace al het moeilijke werk weg?
Het belangrijkste voordeel van Darktrace is de verminderde ruis, wat vooral gunstig is voor beveiligingsteams met een aanvalsoppervlak dat te groot is om in detail te beheren. Deze hogere signaal-ruisverhouding verlaagt de toegangsdrempel voor SOC-operators. Men kan nog steeds ver gaan in het opsporen van bepaalde eigenaardigheden in het eigen IT-systeem met de tools van Darktrace, maar gebruikers krijgen niet 150 waarschuwingen per dag afgevuurd. Dit kan betekenen dat er minder specialisten met uitgebreide cv’s nodig zijn.
Dit is een zegen voor elke OT-omgeving. “Als je dacht dat het moeilijk was om een goede SecOps-persoon te vinden, veel succes met het vinden van een OT-securityspecialist,” zegt Heinemeyer. “Elk bedrijf concurreert met elkaar, dus ze gaan de oplossing niet vinden door de juiste mensen aan te nemen.” Hij geeft toe dat technologie hier geen wondermiddel is, maar een bijdragende factor aan de succesformule. En aangezien slechts 11 procent van de organisaties overweegt meer uit te geven aan personeel, is het vinden van genoeg geschikte medewerkers onmogelijk.
OT/IT-scheiding
Heinemeyer ziet geen duidelijke blauwdruk of best practice voor het scheiden van OT en IT. “Als je denkt dat je veiliger bent met een apart OT-securityteam en een air-gapped omgeving, is dat mogelijk beter dan kunstmatig meer IT-personeel erbij betrekken.” Deze twee werelden spreken soms volledig verschillende talen, zegt hij.
Heinemeyer gelooft echter dat het denkbaar en in veel gevallen wenselijk is om OT-waarschuwingen ten minste in IT-omgevingen te laten landen. Dit zou OT-omgevingen nog steeds afsluiten voor aanvallers, maar zou een gecentraliseerd overzicht (het bekende ‘single pane of glass‘) van digitale beveiliging behouden. De expertise van IT-personeel zou dan helpen, bijvoorbeeld door anomalieën in de OT-systemen te detecteren en te begrijpen wanneer deze tekenen zijn van een cyberdreiging. De OT-kant zou dan degene zijn die precies weet wat de impact of oorzaak van deze anomalieën is, maar ze zouden niet overweldigd worden door een veelvoud aan waarschuwingen.
Conclusie: AI om (niet) te begrijpen
We hebben gemerkt dat de Darktrace-aanpak, die al twaalf jaar oud is, goed past bij het bestrijden van de toenemende complexiteit en snelheid van technologie. Aanvallen kunnen de wereld fysiek beïnvloeden, en dit is meer dan ooit het geval door grotere connectiviteit. Tot nu toe hebben we OT besproken als een wereld waarin IT binnendringt. Deze convergentie is echter een discussiepunt voor elke OT-organisatie, en soms is het simpelweg niet de juiste weg om te gaan. Het feit dat in OT buitengewoon technische en (voor de meesten) ondoorgrondelijke processen plaatsvinden, stoort unsupervised machine learning geen zier. Darktrace meet alleen de afwijkingen van de norm, maar doet dit met een mate van detail waar mensen gewoon niet tegenop kunnen.
Er is geen andere optie dan meer te vertrouwen op technologie om een organisatie veilig te houden. Anders zit je vast in de concurrentie voor een ondiepe personeelspool die de oceaan aan vacatures niet kan vullen. OT-beveiliging is een bewegend doelwit; niet elke beveiligingsoplossing zal er goed mee werken. Het voordeel van Darktrace is dat steeds meer organisaties beschermd moeten worden, deels door de AI-gedreven daadkracht van aanvallers. Het toeval wil dat AI ook defensief kan optreden voor een eerlijkere confrontatie.
Lees ook: Overname Darktrace door Thoma Bravo voor 5 miljard is rond