OT security

Hoe zorg je dat jouw OT-omgeving veilig is?

7 min. leestijd
Placeholder for Wind power clouds greenWind power clouds green

Share

IT versus OT/IoT/IIoT

IT, of informatietechnologie, verwijst naar het traditionele gebied van IT, d.w.z. alles wat te maken heeft met actieve netwerkcomponenten, zoals routers, switches en firewalls, alsook de bijbehorende diensten en clients en randapparatuur, zoals printers en scanners.

IoT, of Internet of Things, verwijst naar het huishoudelijk gebruik van slimme netwerk-eindpunten, zoals huishoudelijke apparaten - keukenapparatuur, koelkasten, oventhermometers - fitnesstrackers, slimme tv's, domotica-systemen en bewakingscamera's.

IIoT, of Industrial Internet of Things, verwijst daarentegen naar slimme apparaten die in industriële of bedrijfsomgevingen worden gebruikt, zoals het volledige veld van slimme meters, controlesystemen voor elektriciteitscentrales, medische monitoring, connected cars en slimme hernieuwbare-energiegeneratoren zoals windenergieconvertoren.

OT, of operationele technologie, verwijst naar monitoring, controle en bediening op het gebied van industriële automatisering.

Organisatorische uitdagingen

Het beveiligen van de OT is vaak een organisatorische uitdaging, aangezien hierbij meestal meerdere afdelingen betrokken zijn met uiteenlopende aandachtspunten. Enerzijds is er de productiemanager, wiens verantwoordelijkheid het is ervoor te zorgen dat de productieprocessen van het bedrijf soepel verlopen. Inzicht in beveiliging en IP-netwerken vanuit een IT-perspectief zal dan ook niet de voornaamste focus zijn. Aan de andere kant is er meestal de IT-afdeling, die tot taak heeft de IT-infrastructuur van het bedrijf veilig en soepel te laten functioneren en er uiteindelijk voor verantwoordelijk is dat de IT-beveiliging gewaarborgd is en dat het bedrijf allround beschermd is tegen cyberaanvallen.

IT-afdelingen hebben doorgaans niet veel inzicht in conventionele productiebesturing, waardoor het voor hen moeilijk is om deze OT-structuren te beveiligen.

Dit is waar je op moet letten als het om OT security gaat

In tegenstelling tot IT-communicatie via TCP/IP, waar de mogelijkheid bestaat van proxy-gebaseerde analyse van het dataverkeer, levert dit op veel gebieden van OT-communicatieprotocollen een probleem op, omdat deze gekenmerkt worden door real-time communicatie, d.w.z. communicatie die slechts milliseconden duurt, en schakel- en processtromen direct moeten worden gecontroleerd om naadloze workflows te waarborgen.

Real-time communicatie

Vanwege de lange looptijden van machines zijn de besturingen ervan vaak relatief duurzaam en robuust. Als gevolg daarvan hoeft de besturingstechnologie in een bedrijf niet noodzakelijkerwijs op een actueel besturingssysteem te draaien, aangezien in de normale IT de levensduur van een systeem niet meer dan drie jaar is. In OT is de levensduur aanzienlijk langer. Zelfs vandaag de dag draaien sommige besturingseenheden nog op sterk verouderde besturingssystemen, zoals Windows NT of Windows 2000. Deze besturingssystemen zijn niet meer bestand tegen de huidige bedreigingen en de meeste endpoint-beveiligingstoepassingen ondersteunen ze niet meer.

Gebrek aan zichtbaarheid en controle

Aangezien OT meestal onafhankelijk van de bedrijfs-IT wordt opgezet, ontbreekt het de IT aan inzicht in de structuur. Net als bij traditionele IT vormen onbekende apparaten op het netwerk een potentieel gevaar voor de veiligheid van het netwerk. Wat IT niet kan zien, is niet onder controle, en alleen als IT precies weet wat zich op het netwerk bevindt en hoe die netwerkapparaten moeten communiceren, kan het netwerk doeltreffend worden beveiligd.

Geen aandacht voor beveiliging bij IT-systemen

Bij de ontwikkeling van de meeste systemen speelde beveiliging geen rol, of slechts een minimale rol, omdat de aandacht in de eerste plaats zou zijn uitgegaan naar operationele stabiliteit en ononderbroken communicatie. Bovendien waren deze systemen over het algemeen ontworpen voor een gesloten omgeving en niet ontworpen voor netwerkgebruik.

Net als in de traditionele IT maken de volgende drie hoofdgebieden of -niveaus deel uit van de oplossing:

Fase 1: Zichtbaarheid creëren

Alle apparaten moeten zichtbaar zijn, omdat de IT alleen de apparaten kan beveiligen waarvan zij op de hoogte zijn en die zij onder controle hebben. Zichtbaarheid en controle kunnen in dit geval met een groot aantal verschillende oplossingen worden gerealiseerd. Monitoring en rapportage van het DHCP-bereik is de meest eenvoudige optie. De invoering van geautomatiseerd IP-adresbeheer (IPAM) is de meest zinvolle oplossing, vooral in grotere omgevingen. De invoering van een oplossing voor netwerktoegangscontrole (NAC) is eveneens nuttig en biedt het extra voordeel dat niet alleen de afzonderlijke hosts in de verschillende netwerksegmenten zichtbaar worden gemaakt, maar dat zij ook automatisch aan verschillende netwerksegmenten worden toegewezen, waardoor de toegang tot specifieke bronnen wordt gereguleerd.

Fase 2: Segmentatie

Onder segmentering wordt de vorming van netwerkgebieden (segmenten) voor toepassingen, diensten of hosts verstaan, eventueel naar gelang van hun respectievelijke functie. Typische voorbeelden zijn netwerksegmenten voor servers, clients, printers of telefoondiensten of volgens het toepassingsgebied, zoals ontwikkeling, productie en verkoop. Het gekozen model speelt geen rol - het doel van segmentering is het grotere netwerk op te delen in "beheersbare" of duidelijke segmenten, die dan "ingekapselde" gebieden vormen die van elkaar gescheiden zijn om een deel van de complexiteit uit de totale structuur te halen. Mogelijke aanvallen op een netwerksegment hebben dan geen directe gevolgen voor niet-beïnvloede segmenten, maar alleen voor de segmenten die het doelwit zijn. Zo kan bijvoorbeeld alleen de ontwikkelingsafdeling het doelwit van een aanval zijn en niet de verkoopafdeling.

De netwerksegmenten moeten worden toegewezen aan overeenkomstige beveiligingszones in de firewall, zodat alleen duidelijk gedefinieerd netwerkverkeer van het ene segment naar het andere wordt toegestaan. Een van de gevolgen hiervan zal zijn dat het risico van onopgemerkte toegang tot waardevolle netwerkdiensten die beschermd moeten worden, toeneemt.

Segmentering kan verder worden geïntensiveerd door "microsegmentering", waarbij afzonderlijke toepassingen naar speciale netwerksegmenten worden verplaatst om alleen speciale gebruikers of hosts toegang te geven tot gevoelige gegevens. Met de toenemende migratie van on-premise diensten naar hybride (multi) cloudomgevingen biedt microsegmentatie een goede mogelijkheid om dergelijke omgevingen te beveiligen en een veilige toegang te garanderen.

Fase 3: Veilige toegang

Vandaag de dag is veilige toegang tot bedrijfsresources een grote uitdaging dankzij wijdverspreide systeemdiensten in on-premise applicaties in bedrijfsnetwerken en in uiteenlopende cloudapplicaties. Verschillende middelen moeten via talrijke toegangsroutes beschikbaar worden gesteld aan een groot aantal verschillende gebruikers. Enerzijds zijn er gebruikers die vanaf kantoor op bedrijfsapparatuur werken en toegang tot interne netwerkbronnen nodig hebben. Anderzijds zijn er gebruikers die zich niet op het netwerk bevinden, maar die toch toegang moeten kunnen krijgen tot bronnen op het bedrijfsnetwerk of in de cloud. In het ergste geval maken deze gebruikers geen gebruik van bedrijfsapparatuur, maar werken ze volgens het BYOD-principe. De beveiligingsstatus van deze apparaten valt logischerwijs buiten de verantwoordelijkheid van IT. Het is mogelijk dat ze momenteel niet gepatcht zijn en geen actuele virusscanner hebben, of dat ze zich buiten een beveiligde omgeving bevinden (bv. verbonden met een openbaar of onbeveiligd hotspotnetwerk, zoals in een hotel of op een luchthaven).

Om gebruikers in dit soort omgevingen veilige toegang te kunnen bieden, moet de gebruikerstoegang op een dienstspecifieke basis worden beveiligd met multifactorauthenticatie, zodat als een gebruiker per ongeluk zijn gebruikersgegevens kwijtraakt, niemand heimelijk toegang kan krijgen tot kritieke bedrijfsmiddelen.

Het firewallbeleid zelf moet ook rekening houden met deze gebruikersgegevens, en niet alleen toestemming verlenen op basis van IP-adressen.

Gebruik van next-generation functies voor OT

Met next-generation features wordt een verbinding tussen client en server niet alleen op verbindingsniveau (bron- en bestemmings-IP en -poort) geregeld, maar wordt er dieper in de verbinding gekeken om bijvoorbeeld te controleren of een TCP-verbinding op bestemmingspoort 80 wel degelijk een HTTP-verbinding is. Het protocol of de toepassing wordt daarom aan een extra controle onderworpen en het verkeer in de OSI-lagen 4-7 wordt geanalyseerd. De hulpmiddelen die voor deze controles nodig zijn, zijn SSL-versleuteling, om versleuteld netwerkverkeer te kunnen analyseren, dat tegenwoordig 80 à 90% van al het verkeer uitmaakt, of Intrusion Prevention Systems (IPS), die dieper gaan en ook applicatie- en protocolgericht netwerkverkeer analyseren.

En het is precies hier dat we in de OT-omgeving op problemen stuiten, omdat industriële protocollen zoals Siemens S7, DICOM, Ether-S-Bus, LOGO, KNXne/IP of IEC 60870-5-104 geen TCP/IP-protocollen zijn, wat betekent dat ze door de meeste firewalls niet op applicatieniveau kunnen worden gecontroleerd en gevalideerd. Dit is van doorslaggevend belang voor de beveiliging van de desbetreffende OT-omgevingen, want alleen als de IT er zeker van kan zijn dat de OT-protocollen ook OT-protocolgegevens transporteren van gevalideerde bronnen naar gevalideerde bestemmingen, kan deze communicatie redelijkerwijs worden toegestaan.

Een switch cabinet is geen airconditioned serverruimte

De fysieke omstandigheden die in sommige productieomgevingen heersen, maken de zaak nog ingewikkelder, omdat ze weinig gemeen hebben met geklimatiseerde serverruimte-omgevingen, nog afgezien van het zuivere ontwerp (19"- versus top-hat railmontage). In deze omstandigheden moet hardware worden gebruikt die in ruwe omgevingen functioneel blijft, misschien hardware die veilig in stof of in vochtige omgevingen kan worden gebruikt, of die, in de kast geplaatst, nog steeds aan normale weersomstandigheden kan worden blootgesteld.

Dit zijn allemaal factoren die in aanmerking moeten worden genomen bij de beslissing over beveiligingsmaatregelen voor uw OT-omgeving. Er zijn zeker nog andere omstandigheden waarmee je op jouw terrein rekening moet houden, dus aarzel niet om contact met ons op te nemen en samen zullen we de juiste oplossing vinden.

Meld je aan voor onze nieuwsbrief

Ontvang het laatste security nieuws, inzichten en markttrends in jouw inbox.

Artikelen

Meer updates