Het gaat goed met de bewustwording rondom informatiebeveiliging in de klassieke IT-omgevingen! Op allerlei niveaus in organisaties wordt hard gewerkt om het kennisniveau op het gebied van informatiebeveiliging te verhogen en maatregelen te treffen waardoor cyberrisico’s sterk afnemen.

Er zijn echter sectoren waar – naast de klassieke IT-omgevingen – ook Operationele Techniek (OT-)omgevingen zijn ingericht waarin verschillende soorten operationele componenten met elkaar communiceren. Voorbeelden van branches en sectoren waarin je dit soort omgevingen tegenkomt zijn: olie- en gaswinning, mijnbouw, watermanagement, infrastructuur ziekenhuizen, farmaceutische industrie, waterzuiveringsbedrijven, energiesector, automobielsector en agrarische sector.

De impact van hacks op OT-omgevingen kan desastreus zijn; maatschappijen kunnen er zelfs door worden ontwricht. Wat gebeurt er als hackers langdurig de stroomvoorziening, drinkwatertoevoer of de ziekenhuizen weten te saboteren?

OT-omgevingen vereisen op sommige punten een afwijkende aanpak ten opzichte van IT-omgevingen. In deze blog wil Navaio enkele punten hiervan belichten.

Isolatie

Sabotage van OT-omgevingen is een maatregel die veiligheidsdiensten en concurrenten toepassen om de vitale infrastructuur en bedrijfsprocessen te ontregelen, en zo geldelijk of politiek gewin te bereiken en in extreme gevallen zelfs hele samenlevingen lam te leggen …

Een zeer effectieve methode om de risico’s rondom cyberaanvallen op OT-omgevingen te reduceren is deze omgevingen te isoleren van het reguliere kantoornetwerk en het internet. Dikwijls is dit vanwege praktische redenen niet haalbaar of wenselijk. Vaak bestaat de behoefte om op afstand de OT-omgevingen te kunnen bedienen, monitoren en onderhouden. Toch is het aan te bevelen om – in het geval van een (cyber)aanval – het OT-netwerk los te koppelen van het internet en dit geïsoleerd verder te laten werken totdat de (cyber)dreigingen zijn geëlimineerd.

De internetverbinding moet gekanaliseerd worden via één zwaarbewaakte opgang en tijdens het maken van het ontwerp van de OT-omgeving moet deze met één druk op de knop te onderbreken zijn, op zo’n manier dat het productieproces niet wordt onderbroken. Er dienen voorzieningen te zijn waarmee de omgeving in geval van nood in isolatie kan worden bestuurd, bewaakt en beheerd.

Micro-segmentatie

Is een hacker eenmaal doorgedrongen tot de OT-omgeving, dan is het voor de hacker wel heel erg gemakkelijk als deze omgeving niet is opgedeeld in deelsegmenten. Hij kan dan overal bij zonder dat hij belemmerd wordt door firewalls en/of routeringsregels, ongeacht met welk protocol of via welke poort er wordt gecommuniceerd.

Deel het OT-netwerk op in micro-segmenten zodat, zelfs als een hacker de OT-omgeving weet binnen te dringen, hij niet zonder enige belemmering bij alle systemen kan. Zorg dat elk micro-segment zodanig is geïsoleerd dat uitsluitend voor de productie strikt noodzakelijke netwerkcommunicatie naar en van deze segmenten mag plaatsvinden. Een zeer effectieve maatregel om de schade die hackers kunnen toebrengen aan de OT-omgeving te beperken!

Detectie

OT-netwerken bestaan uit een groot scala van verschillende typen componenten: ICS, PLC’s, DCS bestaande uit SCADA-apparatuur, meters en sensoren, elektronische pompen, kleppen, schakelaars, etc. Sommige componenten hebben een lange levensduur, in de praktijk komen we zelfs voorbeelden van componenten tegen die ouder zijn dan 30 jaar. Veel componenten in OT-omgevingen spreken echter geen TCP/IP maar communiceren via andere protocollen. Denk hierbij aan bijvoorbeeld aan DNP3, HART, Modbus en Profibus.

Navaio kent diverse oplossingen om de diverse soorten OT-systemen aan traditionele SIEM (Security Incident & Event Management)-detectieomgevingen te koppelen. Hiermee kunnen de SOC-analisten signalen uit de OT-apparaten oppakken. De SIEM-software kan de uit het TCP/IP-netwerk verkregen beveiligingsinformatie automatisch verrijken om zo afwijkend gedrag in de OT-omgeving  op te sporen. Door de OT-informatie te correleren aan, uit traditioneel communicerende systemen gegenereerde beveiligingsmeldingen, kan potentieel misbruik (of pogingen daartoe) eerder en effectiever worden voorkomen en/of bestreden.

Afwijkend gedrag

Door het sterk afgebakend gedrag in OT-omgevingen en de hierbij behorende voorspelbare datastromen op de OT-netwerken lenen deze omgevingen zich goed om juist op afwijkend gedrag en verkeersstromen te monitoren. Een goed ingericht SIEM kan hierbij veel meerwaarde bieden. Deze oplossingen kunnen het ‘normale’ gedrag van uw OT-omgeving en netwerken herkennen en vervolgens op afwijkingen rapporteren. Aanvullend kunnen diverse OT-specifieke gebruikerscases worden geïmplementeerd om afwijkend gedrag geautomatiseerd te detecteren en rapporteren.

Wat kan Navaio hierin betekenen?

Navaio kan helpen uw OT-omgeving verregaand te beschermen. We geven advies op het gebied van OT-beveiliging en bieden daarnaast een hoogwaardige SOC as a Service-oplossing, waarmee we uw OT-omgevingen kunnen bewaken en u op het gebied van security monitoring kunnen ontzorgen1.

Daarnaast helpt Navaio u met het definiëren wat de signalen en patronen zijn waarmee ongewenste gedragingen in uw OT-omgeving kunnen worden opgespoord. Hiervoor gaat Navaio in gesprek met uw procesexperts en vertaalt bedrijfsrisico’s in concrete notificaties, waarmee de SOC-analisten worden gealarmeerd op het moment dat verdachte gedragingen in uw OT-omgevingen worden gedetecteerd.

1 Naast OT-omgevingen bewaakt Navaio ook traditionele kantoorautomatiseringsomgevingen (IT).