OT-Security maatregelen bepalen: Stap 4

In de IT-wereld zijn we gewend aan het regelmatig vernieuwen en/of updaten van onze endpoints. De lifecycle van een fysiek device (PC of laptop) is meestal tussen de 4-5 jaar, het operating system wordt meestal elke 3-4 jaar vernieuwd, en updates op het operating system worden meestal 1x per maand bijgewerkt (patch-Tuesday).

Een OS dat niet meer wordt ondersteunt door de fabrikant, wordt vervangen door een nieuwere versie, meestal ruim voordat de EOL/EOS (End-Of-Life/End-Of-Support) is bereikt.

Daarbovenop hebben we dan nog Endpoint Protection (EPP), bijvoorbeeld de ingebouwde Windows defender of een 3rd party EPP zoals Cylance/TRAPS/CarbonBlack enzovoorts, welke regelmatig van updates wordt voorzien.

In de OT-wereld is alles anders! De endpoints bestaan uit een hele verzameling van apparatuur:

• Specifieke hardware (zoals PLC’s, sensoren etc.)
• Generieke hardware met een specifiek doel (aansturen PLC’s etc.)
• Generieke hardware met een algemeen doel (monitoring, dashboard, historian etc.)

Iets wat heel gewoon is in de IT-wereld, patchen en updaten, wordt ineens veel moeilijker in een OT-wereld.

De specifieke hardware draait vaak 24/7, waardoor er geen tijdslot is om aanpassingen uit te voeren. Ook is deze hardware vaak oud(er) en zijn er helemaal geen updates/patches meer te verkrijgen. En EPP installeren kan hier helemaal niet, aangezien het OS zo specifiek is dat er geen enkele fabrikant is die hiervoor een product heeft ontwikkeld (aangenomen dat het kan, de meeste OS’en op dit niveau zijn RTOS (Realtime OS) waarbij timing alles is en dus elke aanpassing/uitbreiding uit den boze).

De generieke hardware draait heel vaak op een PC’achtig platform met als basis een Windows operating system, meestal XP. Helaas zijn deze endpoints 24/7 in gebruik, draaien er specifieke applicaties die niet onder nieuwe OS’en worden ondersteunt en zijn zo kritisch dat EPP hierop slechts beperkt of helemaal niet op geinstalleerd kan worden. Fabrikanten van een complete machine bepalen wat er wel of niet mag worden ge-upgraded en/of geinstalleerd.

Er zijn meerdere oplossingen om deze uitdagingen aan te gaan, als eerste is er hardening, dan patch management, als derde device control en als laatste malware protection.

Hardening houd in dat alle niet benodigde features worden uitgezet, alleen beveiligde  communicatie methodes worden toegelaten en toegang wordt beperkt middels niet generieke accounts/wachtwoorden.

Patching betekent het up-to date houden van het OS en de applicaties (zoals een Historian), mits dat mogelijk is op de endpoint.

Device control betekent dat niet iedereen toegang heeft tot de endpoint, hetzij fysiek of logisch.

Malware protection houd in dat er een EPP oplossing wordt geinstalleerd, met minimale impact op het OS (qua performance, RAM & CPU), minimale updates benodigd en vooral OS gerelateerde vulnerabilities kan beschermen.

Indien al deze maatregelen niet kunnen en/of mogen, dan is er nog de optie om specifieke devices te isoleren van de rest van het netwerk middels micro-segmentatie. Door middel van een extra VLAN en een Next Generation Firewall wordt het device logisch gescheiden van de rest van het netwerk (zonder IP hernummering) en worden alle verkeersstromen van en naar dit device geinspecteerd op threats (en geblokkeerd indien gedetecteerd).

Alle varianten hebben wel impact voor de OT-omgeving en zullen dus eerst getest dienen te worden op exact dezelfde endpoints alvorens in productie doorgevoerd te worden.

Endpoint Protection voor OT-omgevingen is moeilijker, maar niet onmogelijk!