Dit is een nieuwe pagina.

Home > Artikelen > IoT beveiligen

Securing IoT

Inhoud

Beschrijving Hoofdstuk

  1. Een korte geschiedenis van OT-beveiliging
  2. Veelvoorkomende uitdagingen bij OT-beveiliging
  3. Hoe IT- en OT-beveiligingspraktijken en -systemen verschillen
  4. Formele risicoanalysestructuren: OCTAVE en FAIR
  5. De gefaseerde toepassing van beveiliging in een operationele omgeving
  6. Overzicht

In dit voorbeeld hoofdstuk van IoT Fundamentals: Netwerk Technologieën, Protocollen, en Use Cases for the Internet of Things, zullen lezers een korte geschiedenis bekijken van de beveiliging van operationele technologie (OT), hoe deze is geëvolueerd en enkele van de veelvoorkomende uitdagingen waarmee deze wordt geconfronteerd.

De tekst op deze webpagina is vertaald vanuit het Engels naar het Nederlands door Priscilla F. Harmanus. De originele tekst van het artikel vind je hier.


Hoe IT- en OT-beveiligingspraktijken en -systemen verschillen

De verschillen tussen een IT-omgeving voor bedrijven en een industriële OT-implementatie zijn belangrijk om te begrijpen omdat ze een directe impact hebben op de toegepaste beveiligingspraktijk. Sommige van deze gebieden worden eerder in dit hoofdstuk kort besproken en in de volgende secties worden ze explicieter besproken.

Het Purdue-model voor controlehiërarchie

Ongeacht waar zich een veiligheidsdreiging voordoet, deze moet consistent en ondubbelzinnig worden behandeld. IT-informatie wordt doorgaans gebruikt om zakelijke beslissingen te nemen, zoals die in procesoptimalisatie, terwijl OT-informatie in plaats daarvan kenmerkend wordt benut om fysieke beslissingen te nemen, zoals het sluiten van een klep, toenemende druk, enzovoort. Het operationele domein moet dus ook fysieke veiligheids- en omgevingsfactoren aanpakken als onderdeel van zijn beveiligingsstrategie - en dit wordt normaal gesproken niet geassocieerd met het IT-domein. Organisatorisch waren IT- en OT-teams en -tools historisch gescheiden, maar dit begon te veranderen en ze begonnen te convergeren, wat leidde tot meer traditionele IT-gerichte oplossingen die werden ingevoerd om operationele activiteiten te ondersteunen. Bijvoorbeeld,systemen zoals firewalls en inbraakpreventiesystemen (IPS) worden gebruikt in IoT-netwerken.

Aangezien de grenzen tussen traditioneel gescheiden OT- en IT-domeinen vervagen, moeten ze strategieën op elkaar afstemmen en nauwer samenwerken om end-to-end beveiliging te garanderen. De soorten apparaten die worden aangetroffen in industriële OT-omgevingen zijn doorgaans veel sterker geoptimaliseerd voor taken en industriële protocolspecifieke werking dan hun IT-tegenhangers. Bovendien verschilt ook hun operationele profiel.

Industriële omgevingen bestaan ​​uit zowel operationele als bedrijfsdomeinen. Om de beveiligings- en netwerkvereisten voor een controlesysteem te begrijpen, is het gebruik van een logisch raamwerk nodig om de basissamenstelling en functie te beschrijven. Het Purdue-model voor controlehiërarchie, geïntroduceerd in hoofdstuk 2, is wereldwijd het meest gebruikte raamwerk in industriële omgevingen en wordt gebruikt in de productie, olie en gas en vele andere industrieën. Het segmenteert apparaten en apparatuur op hiërarchische functieniveaus en gebieden en is opgenomen in de ISA99 / IEC 62443-beveiligingsstandaard, zoals weergegeven in Afbeelding 8-3 . Voor meer informatie over hoe het Purdue-model voor controlehiërarchie wordt toegepast op de productie- en olie- en gasindustrie, zie hoofdstuk 9, "Productie" en hoofdstuk 10, "Olie en gas".











Figure 8-3 The Logical Framework Based on the Purdue Model for Control Hierarchy


Dit model identificeert bewerkingsniveaus en definieert elk niveau. De bedrijfs- en operationele domeinen zijn gescheiden in verschillende zones en worden strikt geïsoleerd gehouden via een industriële gedemilitariseerde zone (DMZ):

  • Enterprise-zone
    Niveau 5: Enterprise-netwerk: Op dit niveau zijn er applicaties op bedrijfsniveau zoals Enterprise Resource Planning (ERP), Customer Relationship Management (CRM), documentbeheer en services zoals internettoegang en VPN-invoer van buitenaf.

    Niveau 4: Bedrijfsplanning en logistiek netwerk: De IT-services bestaan ​​op dit niveau en kunnen planningssystemen, materiaalstroomtoepassingen, optimalisatie- en planningssystemen en lokale IT-services zoals telefoon-, e-mail-, print- en beveiligingsmonitoring omvatten.
  • Gedemilitariseerde industriële zone
    DMZ: De DMZ biedt een bufferzone waar services en gegevens kunnen worden gedeeld tussen de operationele en enterprise-zones. Het maakt ook een gemakkelijke segmentering van organisatorische controle mogelijk. Standaard mag geen verkeer de DMZ doorkruisen; alles moet afkomstig zijn van of eindigen op dit gebied.
  • Operationele zone
    Niveau 3: Operaties en controle: Dit niveau omvat de functies die betrokken zijn bij het beheer van de workflows om de gewenste eindproducten te produceren en voor het bewaken en besturen van het gehele operationele systeem. Dit kan productieplanning, betrouwbaarheidsborging, optimalisatie van het systeembeheer, beveiligingsbeheer, netwerkbeheer en mogelijk andere vereiste IT-services, zoals DHCP, DNS en timing, omvatten.

    Niveau 2: Toezichtcontrole: Dit niveau omvat zonecontrolekamers, controllerstatus, netwerk- / applicatiebeheer van het controlesysteem en andere controlegerelateerde applicaties, zoals mens-machine-interface (HMI) en historicus.

    Niveau 1: basisbesturing: op dit niveau kunnen controllers en IED's, speciale HMI's en andere toepassingen met elkaar praten om een ​​deel of de hele besturingsfunctie uit te voeren.

    Niveau 0: Proces: hier communiceren apparaten zoals sensoren en actuatoren en machines zoals aandrijvingen, motoren en robots met controllers of IED's.
  • Veiligheidszone
    Veiligheidskritiek: dit niveau omvat apparaten, sensoren en andere apparatuur die wordt gebruikt om de veiligheidsfuncties van het besturingssysteem te beheren.

Een van de belangrijkste voordelen van het ontwerpen van een industrieel netwerk op gestructureerde niveaus, zoals bij het Purdue-model, is dat het de beveiliging op elk niveau en tussen niveaus correct kan toepassen. IT-netwerken bevinden zich bijvoorbeeld doorgaans op niveau 4 en 5 en gebruiken beveiligingsprincipes die veel voorkomen in IT-netwerken. De lagere niveaus zijn waar de industriële systemen en IoT-netwerken zich bevinden. Zoals weergegeven in afbeelding 8-3 bevindt een DMZ zich tussen de IT- en OT-niveaus. Om de lagere industriële lagen te beschermen, moeten uiteraard beveiligingstechnologieën zoals firewalls, proxyservers en IPS's worden gebruikt om ervoor te zorgen dat alleen geautoriseerde verbindingen van vertrouwde bronnen op verwachte poorten worden gebruikt. Op de DMZ, en in feite zelfs tussen de lagere niveaus, moeten industriële firewalls die de besturingsprotocollen kunnen begrijpen, worden gebruikt om de continue werking van het OT-netwerk te waarborgen.

Hoewel er mogelijk op elk niveau van het model beveiligingskwetsbaarheden bestaan, is het duidelijk dat vanwege de hoeveelheid connectiviteit en verfijning van apparaten en systemen, de hogere niveaus een grotere kans op invasie hebben vanwege het bredere aanvalsoppervlak. Dit betekent niet dat lagere niveaus vanuit veiligheidsoogpunt niet zo belangrijk zijn; het betekent eerder dat hun aanvalsoppervlak kleiner is en als mitigatietechnieken correct worden geïmplementeerd, is er mogelijk minder impact op het totale systeem. Zoals te zien is in figuur 8.4 , blijkt uit een overzicht van gepubliceerde kwetsbaarheden in verband met industriële beveiliging in 2011 dat de activa op de hogere niveaus van het raamwerk meer ontdekte kwetsbaarheden hadden.








Afbeelding 8-4 Industrial Security Report 2011 van gepubliceerde kwetsbaarheidsgebieden (US Industrial Control Systems Cyber ​​Emergency Response Team (ICS-CERT) https://ics-cert.us-cert.gov ).


OT-netwerkkenmerken die van invloed zijn op de beveiliging

Terwijl IT- en OT-netwerken beginnen te convergeren, behouden ze nog steeds veel uiteenlopende kenmerken wat betreft hun werking en het verkeer dat ze verwerken. Deze verschillen zijn van invloed op hoe ze worden behandeld in het kader van een beveiligingsstrategie. Vergelijk bijvoorbeeld de aard van hoe verkeer over IT- en OT-netwerken stroomt:

  • IT-netwerken: in een IT-omgeving zijn er veel verschillende gegevensstromen. De communicatiegegevensstromen die afkomstig zijn van een typisch IT-eindpunt reizen relatief ver. Ze doorkruisen vaak het netwerk via lagen schakelaars en vinden uiteindelijk hun weg naar een reeks lokale of externe servers, waarmee ze rechtstreeks verbinding kunnen maken. Gegevens in de vorm van e-mail, bestandsoverdrachten of afdrukservices zullen waarschijnlijk allemaal hun weg vinden naar het centrale datacenter, waar ze worden beantwoord, of acties activeren in meer lokale services, zoals een printer. In het geval van browsen via e-mail of internet, initieert het eindpunt acties die de grenzen van het bedrijfsnetwerk verlaten en mogelijk rond de aarde reizen.
  • OT-netwerken: Ter vergelijking: in een OT-omgeving (niveaus 0–3) zijn er doorgaans twee soorten operationeel verkeer. De eerste is lokaal verkeer dat zich in een specifiek pakket of gebied kan bevinden om lokale monitoring en closed-loop controle te bieden. Dit is het verkeer dat wordt gebruikt voor realtime (of bijna realtime) processen en hoeft de procesbeheersingsniveaus niet te verlaten. Het tweede type verkeer wordt gebruikt voor het bewaken en besturen van gebieden of zones of het algehele systeem. SCADA-verkeer is hiervan een goed voorbeeld, waarbij informatie over externe apparaten of samenvattende informatie van een functie op systeemniveau wordt gedeeld, zodat operators kunnen begrijpen hoe het algehele systeem of delen ervan werkt. Op basis van deze informatie kunnen ze vervolgens de juiste besturingsopdrachten implementeren.


Wanneer IT-eindpunten communiceren, zijn het meestal korte en frequente gesprekken met veel verbindingen. De aard van de communicatie is open en bijna iedereen kan met iemand anders praten, zoals via e-mail of browsen. Hoewel er duidelijk toegangscontroles zijn, bevinden de meeste van deze controles zich op applicatieniveau in plaats van op netwerkniveau.

In een OT-omgeving is eindpuntcommunicatie typisch punt-tot-punt, zoals een SCADA-master naar SCADA-slave, of maakt gebruik van multicast of broadcast, waarbij gebruik wordt gemaakt van een model van een uitgever / abonnee. Communicatie kan TCP of UDP zijn of geen van beide (zoals in het geval van PROFINET, besproken in hoofdstuk 9, "Productie").

Hoewel netwerktiming in de OT-ruimte typisch die van de onderneming weerspiegelt met NTP / SNTP die wordt gebruikt voor apparaatklokken tegen een hoofdtijdbron, vereisen een aantal use-cases een uiterst nauwkeurige klokbron en een uiterst nauwkeurige tijd- / synchronisatiedistributie, evenals meetbaar en consistente latentie / jitter. Sommige industriële toepassingen vereisen timing via IEEE 1588, PTP (Precision Time Protocol), zodat informatie van bron en bestemming nauwkeurig kan worden gemeten en vergeleken met microseconde intervallen met communicatieapparatuur met vertragingen van niet meer dan 50 nanoseconden. Jitter voor het verzenden en ontvangen van informatie moet ook worden geminimaliseerd om een ​​juiste werking te garanderen. Ter vergelijking: in de bedrijfsruimte wordt spraak vaak beschouwd als de toepassing met de hoogste prioriteit,met een typische eenrichtingsvertraging van 150 milliseconden of meer. In een aantal operationele omgevingen voor olie en gas, productie en energiebedrijven moet de vertraging minder dan 10 microseconden bedragen. Beveiligingsaanvallen die vertraging veroorzaken, zoals Denial of Service (DoS) -aanvallen, kunnen ervoor zorgen dat systemen puur defect raken door het timingmechanisme te verstoren.

IT-netwerken zijn doorgaans volwassener en maken gebruik van up-to-date technologieën. Deze volwassen moderne netwerkpraktijken zijn van cruciaal belang om te voldoen aan de hoge mate van flexibiliteit die vereist is in de IT-omgeving. Virtueel netwerken, virtuele werkruimten en virtuele servers zijn gemeengoed. Het is waarschijnlijk dat er op elk moment een grote verscheidenheid aan apparaattypen actief deelneemt aan een bepaald netwerk. Flexibele interoperabiliteit is dus van cruciaal belang. Om interoperabiliteit te bereiken, is er doorgaans minimale eigen communicatieactiviteit en ligt de nadruk meestal op open standaarden. De overgang naar IPv6 gaat door en ook netwerkdiensten van hogere orde, zoals quality of service (QoS), zijn normaal. Eindpunten zijn niet alleen promiscue in hun communicatie, maar ze beheren een groot aantal applicaties van een groot aantal verschillende leveranciers.Het open karakter van deze computersystemen betekent dat een breed scala aan protocollen het OT-netwerk doorkruist.

Industriële netwerken vertrouwen vaak nog steeds op seriële communicatietechnologieën of hebben gemengde seriële en ethernet. Dit betekent dat niet alleen veel apparaten IP-mogelijkheden missen, maar het is zelfs niet mogelijk om het seriële verkeer op dezelfde manier te bewaken en te beveiligen als voor IP of Ethernet. In sommige omgevingen blijft het netwerk erg statisch, wat betekent dat er een basislijn van verkeerspatronen kan worden opgebouwd en bewaakt op veranderingen. In statische omgevingen kan de zichtbaarheid van apparaten, protocollen en verkeersstromen gemakkelijker worden beheerd en beveiligd. Er is echter een aanhoudende groei van mobiele apparaten en ad-hocconnectiviteit, vooral in sectoren zoals transport en slimme steden, evenals een toename van mobiele vlootactiva in een overvloed aan andere industrieën. Deze dynamische en variabele netwerken zijn veel moeilijker te baseren, te bewaken en te beveiligen.

Beveiligingsprioriteiten: integriteit, beschikbaarheid en vertrouwelijkheid

 

Beveiligingsprioriteiten worden bepaald door de aard van de activa in elke omgeving. In een IT-domein was informatie het meest kritieke element en het doelwit van aanvallen. In een OT-rijk zijn de cruciale activa de procesdeelnemers: werknemers en apparatuur. Op basis van die verschillen lopen de beveiligingsprioriteiten uiteen.

In de IT-zakenwereld zijn er wettelijke, regelgevende en commerciële verplichtingen om gegevens te beschermen, met name gegevens van personen die al dan niet in dienst zijn bij de organisatie. Deze nadruk op privacy richt zich op de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens - niet noodzakelijkerwijs op een systeem of een fysiek activum. De impact van het kwijtraken van een computerapparaat wordt als minimaal beschouwd in vergelijking met de informatie die het zou kunnen bevatten of waartoe toegang zou kunnen bieden. Ter vergelijking: in de OT-wereld betekent het kwijtraken van een apparaat vanwege een beveiligingsprobleem dat de productie stopt en dat het bedrijf zijn basisoperatie niet kan uitvoeren. Verlies van informatie die op deze apparaten is opgeslagen, is een lagere zorg, maar er zijn zeker vertrouwelijke gegevenssets in de besturingsomgeving die economische gevolgen kunnen hebben, zoals formuleringen en processen.

In een operationele ruimte wordt de veiligheid en continuïteit van de procesdeelnemers als de meest kritische zorg beschouwd. Het doel is dus de voortdurende uptime van apparaten en de veiligheid van de mensen die ze bedienen. Het resultaat is om de nadruk te leggen op beschikbaarheid, integriteit en vertrouwelijkheid. De impact van verlies strekt zich hier zelfs uit tot verlies van levens.

Beveiligingsfocus

 

De focus op beveiliging wordt vaak gedreven door de geschiedenis van de impact op de beveiliging die een organisatie heeft ervaren. In een IT-omgeving waren de meest pijnlijke ervaringen meestal inbraakcampagnes waarin kritieke gegevens werden geëxtraheerd of beschadigd. Het resultaat is een aanzienlijke investering in kapitaalgoederen en menskracht om deze externe bedreigingen te verminderen en potentiële interne kwaadwillende actoren te minimaliseren.

In de OT-ruimte is de geschiedenis van verlies door externe actoren niet zo lang geweest, hoewel het potentieel voor schade op menselijke schaal duidelijk aanzienlijk hoger is. Het resultaat is dat de ervaren beveiligingsgebeurtenissen meer het gevolg zijn van menselijke fouten dan van externe aanvallen. Interesse en investeringen in industriële beveiliging waren voornamelijk in de standaardtoegangscontrolelagen. Waar OT tot op zekere hoogte is afgeweken, is het benadrukken van de applicatielaagbesturing tussen de hogere controllerlaag en de ontvangende bedieningslaag. Verderop in dit hoofdstuk leert u meer over de waarde en risico's van deze aanpak.


Vorige sectie


Volgende sectie

4. Formele risicoanalysestructuren: OCTAVE en FAIR