IT-beveiliging voor de fabrieksvloer

De convergentie tussen IT en OT wordt vaak gezien als een risico op het vlak van netwerkbeveiliging, maar biedt ook opportuniteiten om de best practices uit de IT-wereld naar de fabrieksvloer te brengen. Productivity.be had hierover een gesprek met IoT specialist Alexis Malchair en security lead Belux Steven De Ruyver van Cisco, dat eind vorige maand zijn nieuwe beveiligingsarchitectuur voor het IIoT presenteerde.

In Operational Technology (OT) is “Security by Obscurity” lange tijd het gangbare alternatief geweest voor netwerkbeveiliging. De wereld van PLC’s en proprietary netwerkprotocollen werd als voldoende gesloten beschouwd om veilig te zijn tegen indringers. En als er dan toch connecties met de buitenwereld bestonden, waren die vaak zodanig specifiek dat men ervanuit kon gaan dat hackers ze over het hoofd zouden zien. Waarom zouden hackers zich trouwens verdiepen in OT wanneer er in de IT-wereld zo veel boeiendere uitdagingen bestonden?

In 2010 werd die illusie een eerste keer op grote schaal doorprikt door Stuxnet – een gesofisticeerde malware die zich een weg had weten te banen naar duizenden Simatic PLC’s en SCADA-systemen. Sindsdien zijn productiebedrijven wel vaker het doelwit geworden van hackers, waarbij men bijvoorbeeld tracht om machines en controllers via ransomware tot stilstand te brengen en dan losgeld te vragen.

De awareness rond security is met al deze incidenten telkens groter geworden. De aandacht voor beveiliging wordt nog verder versterkt door tendensen als Industrie 4.0 en het Industrial Internet of Things. De moderne trend om open systemen uit de IT-wereld in de productieomgeving in te zetten brengt immers ook een hele reeks kwetsbaarheden met zich mee. Het goede nieuws is dat men tegelijk ook de beveiligingsoplossingen die in de IT-wereld gebruikt worden, op het OT-niveau kan toepassen.

OT vs. IT

De nieuwe beveiligingsarchitectuur van Cisco is daar een mooi voorbeeld van. Het platform maakt gebruik van de inzichten en technologieën die ingezet worden in de IT-wereld en vertaalt die naar een oplossing voor het IIoT.

“De benadering in IT en OT is sterk gelijklopend”, zegt Steven De Ruyver, security lead Belux bij Cisco. “Security wordt in beide domeinen gerealiseerd door visibility en controle te creëren. Daarbij worden dezelfde basistools gebruikt, zoals netwerksegmentatie, access controle en firewalls. Ook de vereisten inzake compliancy zijn in IT en OT dezelfde.”

“Het grote verschilpunt is dat het in de OT-wereld vaak onmogelijk is om aanpassingen te doen aan de machines en controllers zelf”, zegt IoT specialist Alexis Malchair. “Bij een oude PC met software die nog draait op Windows XP, bijvoorbeeld, kan het moeilijk zijn om daar nog patches op te installeren. De oplossing bestaat er dan in om een bijkomende laag toe te voegen om visibiliteit te creëren in wat er op het netwerk gebeurt.”

Veilige toestand in baseline

En dat is precies wat Cisco Cyber Vision doet. Het is een platform dat gebruikmaakt van agents die onder meer in routers en switches draaien. Daarmee kan men alle communicatie op een netwerk in kaart brengen en dus ook detecteren wanneer zich anomalieën voordoen.

Alexis Malchair: “De software volgt permanent welke apparaten met elkaar communiceren, welke protocols daarbij gebruikt worden en wat er gecommuniceerd wordt. Door dat een tijdje te doen wordt een baseline gedefinieerd van wat de normale toestand is. Daarna kan elke afwijkende communicatie als verdacht beschouwd worden. Een PLC die plots contact zoekt met het internet wanneer die dat nooit eerder gedaan heeft, bijvoorbeeld, kan wijzen op de aanwezigheid van malware.”

De tool laat het ook toe om policies te definiëren waarin vastgelegd wordt welke communicatie wel en niet toegelaten is. Daarbij krijgen alle apparaten, die voor het netwerk slechts een IP en MAC adres zijn, een duidelijke context die aangeeft wat ze wel en niet mogen doen op het netwerk.

De tool wordt verder aangevuld met informatie van Cisco Talos – een service waar meer dan 350 mensen aan werken om de gedragspatronen van gekende bedreigingen in kaart te brengen zodat ze automatisch gedetecteerd kunnen worden.

Automatisering is overigens een sleutelwoord bij netwerkbeveiliging. Het komt er niet alleen op aan om bedreigingen te detecteren maar de tools moeten ook in staat zijn om snel en adequaat te reageren. Dat kan bijvoorbeeld inhouden dat apparaten die abnormaal gedrag vertonen in het netwerk direct in quarantaine geplaatst worden.

Segmentering

Bij dit alles moet opgemerkt worden dat Cyber Vision een high-end oplossing is voor bedrijven die al een zekere maturiteit bereikt hebben inzake netwerkbeveiliging. Voor bedrijven die pas om de hoek komen kijken zijn er een hele reeks kleinere maatregelen die men kan nemen om een basis te creëren. Maar het verhaal over Cyber Vision is ook voor hen interessant omdat het de principes van netwerkbeveiliging aangeeft.

Een van die principes is segmentering waardoor men eilanden creëert in een netwerk die goed beveiligd kunnen worden door het in- en uitgaande verkeer precies te definiëren. Door een firewall te plaatsen op de toegangspoort tot een segment kunnen heel duidelijke regels geïmplementeerd worden die aangeven welk verkeer wel en welk zeker niet is toegestaan.

“Het is een waanidee te denken dat men alle bedreigingen kan blokkeren”, zegt Steven De Ruyver. “Daarom is segmentering zo belangrijk. Als er zich dan een incident voordoet, bijvoorbeeld omdat iemand een USB stick met malware in een oude PC gestoken heeft, kan men er tenminste voor zorgen dat de schade beperkt blijft.”

Ransomware

Die truc met de USB stick is 10 jaar na Stuxnet nog steeds een van de grootste risico’s voor zowel IT als OT. De truc bestaat erin dat hackers een USB stick met schadelijke software achterlaten op een parkeerterrein. Men heeft dan aan één nieuwsgierige medewerker genoeg om de software op een PC van het bedrijf te installeren.

Hackers maken trouwens steeds vaker gebruik van zogenaamde con games, waarbij men gebruik of misbruik maakt van het vertrouwen van mensen om op het netwerk van een bedrijf te raken. Voor wie een paswoord kan bemachtigen, is het immers veel gemakkelijker om als een paard van Troje door de grote poort naar binnen te wandelen dan stiekem aan een achterpoortje te moeten staan beuken tot het begeeft.

Bij ransomware is het ook meestal zo dat die door een eigen medewerker geïnstalleerd wordt door niets vermoedend op een foute link te klikken.

Om zich daar tegen te wapenen zijn er een hele reeks tools die er mee voor kunnen zorgen dat er zo weinig mogelijk binnenkomt, maar ook bewustmaking bij de medewerkers speelt hierin een belangrijke rol. Het sluitstuk in het verhaal is visualisering zodat anomalieën, als ze zich dan toch zouden voordoen, tijdig gedetecteerd worden en het netwerk er adequaat op reageert om de schade te beperken.

© Productivity.be, 24/02/2020