OT-Security maatregelen bepalen: Stap 1

Blog door Florian Buijs, Security Consultant

Bij het bepalen van de security maatregelen in een OT (Operational Technology) infrastructuur komt vaak de vraag naar voren welke maatregelen er zijn en in welke volgorde deze toegepast dienen te worden. Een terechte vraag, want de security binnen OT omgevingen loopt vaak achter op datgene dat we gewend zijn binnen enterprise IT omgevingen. Vanuit SecureLink hebben we alle stappen in kaart gebracht die nodig zijn om een OT omgeving op hetzelfde security niveau te brengen als een enterprise IT omgeving.

Omdat een OT omgeving heel andere prioriteiten heeft, zijn de stappen daarop aangepast. Een oplossing die in een enterprise IT omgeving perfect werkt, is niet per definitie te ‘kopiëren’ naar een OT omgeving. De belangrijkste factoren in een OT omgeving moeten er voor zorgen dat niets het (productie)proces verstoord en dat niemand gewond raakt of overlijd.

Deze factoren beperken de mogelijke maatregelen die men wat betreft security kan treffen. Dat geldt in ieder geval totdat men exact weet wat er speelt op OT niveau. De eerste stap is dus altijd het in kaart brengen van het netwerk verkeer, zonder dat dit enig impact heeft op het (productie)proces. In een enterprise IT omgeving zal dat worden gedaan door de logs van een firewall te analyseren, omdat daar een groot deel van het verkeer doorheen gaat (ZeroTrust). In tegendeel tot de OT omgeving, waar we vaak terug gaan in de tijd. Alles bevindt zich hierin in één plat netwerk, en VLAN’s worden niet tot nauwelijks gebruikt.

Het in kaart brengen kan dus alleen op basis van sensoren, door bijvoorbeeld mee te luisteren op hubs of op basis van SPAN/MIRROR poorten op switches. Dit kan echter alleen als deze poorten dat ondersteunen. In situaties waar geen SPAN/MIRROR poorten beschikbaar zijn, kunnen sensoren letterlijk tussen OT apparatuur en de netwerk switches worden geplaatst.

Door gebruik te maken van sensoren die toegespitst zijn op OT applicaties/protocollen (in de volksmond ICS/SCADA genoemd) verkrijgt men inzicht in de aanwezige verkeersstromen en de assets (OT devices) die hierbij in gebruik zijn.

OTsecurityblog1

Door de sensoren uit te breiden met security informatie, kunnen ook security gerelateerde events meteen zichtbaar worden gemaakt.

OTsecurityblog2

Hiermee is stap 1 bereikt: inzicht in verkeersstromen, assets en security events. En dat zonder impact op de OT omgeving, geen verstoring in het (productie)proces en geen extra risico op ongevallen.

Benieuwd naar stap 2?

Deze zal Florian uitgebreid behandelen in zijn volgende blog. Wilt u niets missen? Meld u nu aan voor de nieuwsbrief en ontvang alle nieuwe content maandelijks in uw mailbox.

Aanmelden nieuwsbrief

Ook interessant voor u…

OTsecurity

Meer over OT security

SMR19_webinar

OT als risk driver? – Lees het in het Security Maturity Report

thumb-website-page-newsletter

Maandelijks interessante content ontvangen? Meld u aan voor de nieuwsbrief!