De rol van alarmflooding in cyber-fysieke beveiliging:
Hoe kunnen aanvallers alarmsystemen exploiteren om de beveiliging te doorbreken? Wat gebeurt er wanneer de systemen die ons moeten waarschuwen voor gevaar, de instrumenten worden om chaos te creëren? De recente BP-raffinaderijexplosie werpt licht op deze cruciale vragen en laat zien hoe een stortvloed aan alarmen operators kan overweldigen, waardoor kansen ontstaan voor kwaadwillende actoren.
Op 20 september 2022 vond een catastrofaal incident plaats in de BP-Husky Toledo Raffinaderij in Ohio, waarbij twee werknemers omkwamen. Tijdens een periode van 12 uur voorafgaand aan de explosie werden meer dan 3.700 veiligheidsalarmen geactiveerd. Deze "alarmvloed" overweldigde de operators van de raffinaderij, wat leidde tot aanzienlijke vertragingen en fouten bij het reageren op kritieke situaties (CSB) (Stock Analysis).
**De impact van alarmflooding**
Een alarmvloed doet zich voor wanneer meer alarmen worden geactiveerd dan effectief door operators kunnen worden beheerd. In het geval van de BP-raffinaderij leidde dit overweldigende aantal alarmen de operators af en putte hen uit, waardoor ze niet in staat waren de meest kritieke waarschuwingen te identificeren en erop te reageren. Dit droeg bij aan een reeks opeenvolgende storingen die culmineerden in een dodelijke explosie.
Alarmflooding is niet alleen een gevaar in industriële omgevingen; het is ook een tactiek die kan worden geëxploiteerd door zowel cyber- als fysieke aanvallers. Door opzettelijk meerdere alarmen te activeren, kunnen aanvallers hun acties verhullen, waardoor het voor beveiligingspersoneel moeilijk wordt om legitieme dreigingen van valse positieven te onderscheiden.
Wanneer de verdedigende kant wordt overweldigd door het alarmsysteem, of wanneer men er te veel op vertrouwt (zoals het geval is wanneer alarmen regelmatig vals worden geactiveerd), ontstaat er een kwetsbaarheid die aanvallers kunnen gebruiken om de beveiliging te omzeilen.
**Historische context en soortgelijke incidenten**
Dit fenomeen is niet nieuw. De explosie in de BP-raffinaderij in Texas City in 2005, waarbij 15 werknemers omkwamen en 180 anderen gewond raakten, betrof ook aanzienlijke problemen met alarmbeheer. Bij dat incident faalden cruciale alarmen en instrumentatie, wat bijdroeg aan de ernst van de ramp.
Een ander voorbeeld is de cyberaanval op een Oekraïens elektriciteitsnet in 2015, waarbij aanvallers een combinatie van cyber- en fysieke tactieken gebruikten om chaos te creëren. Ze veroorzaakten meerdere valse alarmen, die de operators overweldigden en het de aanvallers mogelijk maakten om onderstations los te koppelen zonder onmiddellijke detectie.
**Exploitatie door fysieke aanvallers**
Fysieke aanvallers, of zelfs zwarte teams tijdens penetratietesten, kunnen alarmflooding gebruiken om kwetsbaarheden in beveiligingssystemen te exploiteren. Door opzettelijk een stortvloed aan alarmen te activeren, creëren aanvallers chaos die beveiligingsoperators overweldigt. Deze chaos kan echte bedreigingen verdoezelen, omdat het enorme aantal alarmen het voor operators moeilijk maakt om echte problemen te identificeren en erop te reageren.
In het BP-raffinaderij-incident werden de operators overspoeld met meer dan 3.700 alarmen, wat leidde tot aanzienlijke vertragingen en fouten bij het aanpakken van de kritieke situatie. Ditzelfde principe kan worden toegepast door aanvallers die de verwarring en overbelasting willen exploiteren die worden veroorzaakt door een overvloed aan alarmen. Door talrijke valse alarmen te genereren, kunnen ze beveiligingspersoneel afleiden en uitputten, waardoor de effectiviteit van hun reactie wordt verminderd en er kansen ontstaan voor inbraak.
Omgekeerd kunnen aanvallers ook gebruik maken van zelfgenoegzaamheid. Wanneer alarmen regelmatig worden geactiveerd zonder dat ze leiden tot daadwerkelijke incidenten, kunnen beveiligingsmedewerkers ongevoelig worden en de neiging krijgen toekomstige alarmen te negeren of te bagatelliseren. Deze zelfgenoegzaamheid kan gevaarlijk zijn, omdat het de kans vergroot dat een echte dreiging onopgemerkt blijft of ontoereikend wordt beantwoord. Als bijvoorbeeld het alarmsysteem van een faciliteit regelmatig valse alarmen veroorzaakt, kunnen beveiligingsmedewerkers deze alarmen uiteindelijk beschouwen als vervelende onderbrekingen in plaats van mogelijke bedreigingen. Een aanvaller zou hiervan kunnen profiteren door zijn inbraak te plannen op een moment waarop alarmmoeheid heerst, waardoor de beveiligingsmaatregelen worden omzeild.
In beide scenario's—chaos en zelfgenoegzaamheid—maken aanvallers gebruik van menselijke factoren in beveiligingsoperaties. Chaos kan hun activiteiten verhullen, terwijl zelfgenoegzaamheid een vals gevoel van veiligheid kan creëren, waardoor het risico op succesvolle inbraken toeneemt. Het begrijpen van deze tactieken is cruciaal om alarmbeheer te verbeteren en ervoor te zorgen dat beveiligingspersoneel waakzaam en effectief blijft in hun rol.
Een belangrijk juridisch en veiligheidsaspect om te onthouden in OT-omgevingen, is dat je waarschijnlijk nooit toestemming zult krijgen om alarmflooding te veroorzaken en dat je in elk engagement toestemming moet krijgen voordat je de beveiliging van de klant verlaagt of chaos veroorzaakt.
Dat gezegd hebbende, is het begrijpen en monitoren van hoe een beveiligingsteam of zelfs werknemers reageren op alarmen een belangrijk onderdeel van veiligheidstests.
**Een zelfgenoegzaamheid-casestudy**
Eenmaal werden we gevraagd in te breken in een bank die een uniek en zeer duur toegangssysteem met draaideur had, compleet met een laser en druksensor om te voorkomen dat iemand over de barrière sprong. Op papier klinkt dit erg veilig. Echter, tijdens onze ingebedde verkenning merkten we dat werknemers hun werktas/laptop/rugzak/etc. op het apparaat plaatsten terwijl ze hun ID scanden bij aankomst in de ochtend. Dit zette de drukgevoelige sensor aan, die dacht dat iemand probeerde over de draaideur te springen, wat het alarm zou activeren, maar slechts voor een moment.
Telkens als het alarm afging, draaide de bewaker in de lobby zich nonchalant om, controleerde of alles in orde leek en ging dan weer terug naar zijn telefoon. Deze zelfgenoegzaamheid zorgde voor een gemakkelijke manier om een methode van toegang tot de bank te verkrijgen. Door naar de draaideur te lopen, gekleed als een werknemer met een ID-kaart in de ene hand en mijn bezittingen in de andere, sprong ons teamlid simpelweg over de draaideur en toen de bewaker een blik wierp, zag hij een keurig geklede man, tas in de ene hand en ID in de andere, precies wat hij had geleerd te verwachten in dergelijke situaties, en gaf het geen tweede gedachte.
Deze methode van het exploiteren van alarmzelfgenoegzaamheid was zo eenvoudig, maar succesvol, dat de klant tijdens de rapportagefase het zelf wilde proberen en met afschuw ontdekte dat het niet alleen werkte, maar dat hij het blijkbaar meerdere keren op één dag deed en nooit werd opgemerkt of gepakt. De zeer dure toegangssystemen van deze klant waren nutteloos geworden door een beetje ingebedde verkenning.
**Conclusie**
Het tragische incident in de BP-raffinaderij onderstreept de gevaren van alarmflooding en de noodzaak van robuuste alarmbeheersystemen. Door te leren van deze gebeurtenissen kunnen organisaties hun weerbaarheid tegen zowel accidentele als kwaadwillige verstoringen verbeteren. Effectief alarmbeheer gaat niet alleen over technologie; het gaat erom ervoor te zorgen dat menselijke operators zijn uitgerust en voorbereid om complexe, stressvolle situaties aan te kunnen.
Begrijpen hoe aanvallers alarmflooding en zelfgenoegzaamheid kunnen uitbuiten, helpt bij het ontwikkelen van betere beveiligingsprotocollen en training voor zowel cyber- als fysiek beveiligingspersoneel. Het is cruciaal dat alarmsystemen zijn ontworpen om hoge volumes te verwerken zonder de operators te overweldigen, om zo de integriteit en veiligheid van kritieke infrastructuur te waarborgen.
**Trainingsbronnen:**
Voor individuen die op zoek zijn naar hands-on trainingen die al deze onderwerpen omvatten, biedt Nirocybersecuritytraining cursussen aan gericht op fysieke penetratietests, lock-picking, bypass-technieken, social engineering en andere essentiële vaardigheden.
• Nirocybersecurity training - 5-daagse praktijkcursus gericht op het trainen van individuen en groepen om Covert Entry Specialists te worden.
• Nirocybersecurity Physical Audit Training - 2-daagse cursus over hoe je een fysieke beveiligingsaudit opzet en uitvoert.
• Nirocybersecurity Elicitation Toolbox Course - 2-daagse cursus die zich voornamelijk richt op elicitatietechnieken en social engineering als kritieke aspecten van Black Teaming.
• Nirocybersecurity Counter Elicitation - 2-daagse cursus over hoe je elicitatiepogingen herkent en voorkomt, en je geheimen beschermt.
• Nirocybersecurity Cyber Bootcamp for Black Teams - 2-daagse cursus specifiek ontworpen voor fysieke penetratietesters die essentiële cybervaardigheden aan hun toolbox willen toevoegen.
• Nirocybersecurity Private Instruction - Gerichte leer- en trainingssessies gebaseerd op jouw behoeften.
De inhoud die hier wordt weergegeven kan niet worden weergegeven vanwege de huidige cookie-instellingen.
Deze website kan inhoud of functies aanbieden die door derden op eigen verantwoordelijkheid wordt geleverd. Deze derden kunnen hun eigen cookies plaatsen, bijvoorbeeld om de activiteit van de gebruiker te volgen of om hun aanbiedingen te personaliseren en te optimaliseren.
Deze website maakt gebruik van cookies om bezoekers een optimale gebruikerservaring te bieden. Bepaalde inhoud van derden wordt alleen weergegeven als "Inhoud van derden" is ingeschakeld.