Bij het bepalen van de security maatregelen in een OT (Operational Technology) infrastructuur komt vaak de vraag naar voren welke maatregelen er zijn en in welke volgorde deze toegepast dienen te worden. Een terechte vraag, want de security binnen OT-omgevingen loopt vaak achter op datgene dat we gewend zijn binnen enterprise IT-omgevingen. Vanuit Orange Cyberdefense hebben we alle stappen in kaart gebracht die nodig zijn om een OT-omgeving op hetzelfde security niveau te brengen als een enterprise IT-omgeving.
Omdat een OT-omgeving heel andere prioriteiten heeft, zijn de stappen daarop aangepast. Een oplossing die in een enterprise IT-omgeving perfect werkt, is niet per definitie te ‘kopiëren’ naar een OT-omgeving. De belangrijkste factoren in een OT-omgeving moeten er voor zorgen dat niets het (productie)proces verstoord en dat niemand gewond raakt of overlijdt.
Deze factoren beperken de mogelijke maatregelen die men wat betreft security kan treffen. Dat geldt in ieder geval totdat men exact weet wat er speelt op OT-niveau. De eerste stap is dus altijd het in kaart brengen van het netwerk verkeer, zonder dat dit enig impact heeft op het (productie)proces. In een enterprise IT omgeving zal dat worden gedaan door de logs van een firewall te analyseren, omdat daar een groot deel van het verkeer doorheen gaat (ZeroTrust). Dit in tegenstelling tot de OT omgeving, waar we vaak terug gaan in de tijd. Alles bevindt zich hierin in één plat netwerk, en VLAN’s worden niet tot nauwelijks gebruikt.
Het in kaart brengen kan dus alleen op basis van sensoren, door bijvoorbeeld mee te luisteren op hubs of op basis van SPAN/MIRROR poorten op switches. Dit kan echter alleen als deze poorten dat ondersteunen. In situaties waar geen SPAN/MIRROR poorten beschikbaar zijn, kunnen sensoren letterlijk tussen OT apparatuur en de netwerk switches worden geplaatst.
Door gebruik te maken van sensoren die toegespitst zijn op OT applicaties/protocollen (in de volksmond ICS/ SCADA genoemd) verkrijgt men inzicht in de aanwezige verkeersstromen en de assets (OT devices) die hierbij in gebruik zijn.
Door de sensoren uit te breiden met security informatie, kunnen ook security gerelateerde events meteen zichtbaar worden gemaakt.
Hiermee is stap 1 bereikt: inzicht in verkeersstromen, assets en security events. En dat zonder impact op de OT-omgeving, geen verstoring in het (productie)proces en geen extra risico op ongevallen.
Alle stappen voor het bepalen van de OT-Security maatregelen hebben we gebundeld in een E-book.
E-book: In 6 stappen de security maatregelen bepalen