Dit is een nieuwe pagina.

Home > Artikelen > IoT beveiligen

Securing IoT

Inhoud

Beschrijving Hoofdstuk

  1. Een korte geschiedenis van OT-beveiliging
  2. Veelvoorkomende uitdagingen bij OT-beveiliging
  3. Hoe IT- en OT-beveiligingspraktijken en -systemen verschillen
  4. Formele risicoanalysestructuren: OCTAVE en FAIR
  5. De gefaseerde toepassing van beveiliging in een operationele omgeving
  6. Overzicht

In dit voorbeeld hoofdstuk van IoT Fundamentals: Netwerk Technologieën, Protocollen, en Use Cases for the Internet of Things, zullen lezers een korte geschiedenis bekijken van de beveiliging van operationele technologie (OT), hoe deze is geëvolueerd en enkele van de veelvoorkomende uitdagingen waarmee deze wordt geconfronteerd.

De tekst op deze webpagina is vertaald vanuit het Engels naar het Nederlands door Priscilla F. Harmanus. De originele tekst van het artikel vind je hier.


Formele risicoanalysestructuren: OCTAVE en FAIR

Binnen de industriële omgeving zijn er een aantal normen, richtlijnen en best practices beschikbaar om risico's te helpen begrijpen en hoe deze te verminderen. IEC 62443 is wereldwijd de meest gebruikte standaard in industriële branches. Het bestaat uit een aantal onderdelen, waaronder 62443-3-2 voor risicobeoordelingen en 62443-3-3 voor fundamentele vereisten die worden gebruikt om de industriële omgeving te beveiligen vanuit een netwerk- en communicatieperspectief. ISO 27001 wordt ook veel gebruikt voor het beheer van mensen, processen en informatiebeveiliging van organisaties. Daarnaast biedt het National Institute of Standards and Technology (NIST) een reeks documenten voor kritieke infrastructuur, zoals het NIST Cybersecurity Framework (CSF). In het hulpprogramma-domein, de Critical Infrastructure Protection (CIP) van de North American Electric Reliability Corporation (NERC) heeft wettelijk bindende richtlijnen voor Noord-Amerikaanse nutsbedrijven en IEC 62351 is de cyberbeveiligingsstandaard voor energiebedrijven.

De sleutel voor elke industriële omgeving is dat de beveiliging holistisch moet worden aangepakt en niet alleen gericht op technologie. Het moet mensen en processen bevatten, en het moet alle ecosysteemcomponenten van de leverancier bevatten die een controlesysteem vormen.

In deze sectie presenteren we een korte beoordeling van twee van dergelijke risicobeoordelingskaders:

  • OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) van het Software Engineering Institute van Carnegie Mellon University
  • FAIR (Factor Analysis of Information Risk) van The Open Group

Deze twee systemen werken aan het creëren van een veiligere omgeving, maar met twee verschillende benaderingen en prioriteiten. Kennis van de omgeving is essentieel voor het bepalen van veiligheidsrisico's en speelt een sleutelrol bij het aansturen van prioriteiten.

OCTAAF

OCTAVE heeft meerdere iteraties ondergaan. De versie waar deze sectie zich op richt is OCTAVE Allegro, dat bedoeld is als een lichtgewicht en minder belastend proces om te implementeren. Allegro gaat ervan uit dat een robuust beveiligingsteam niet stand-by staat of onmiddellijk klaar staat om een ​​uitgebreide beveiligingsbeoordeling uit te voeren. Deze aanpak en de veronderstellingen die het maakt, zijn heel toepasselijk, aangezien veel operationele technologiegebieden evenmin een tekort hebben aan op veiligheid gerichte menselijke activa. Figuur 8.5 illustreert de OCTAVE Allegro-stappen en -fasen.








Afbeelding 8-5 OCTAVE Allegro-stappen en -fasen (zie https://blog.compass-security.com/2013/04/lean-risk-assessment-based-on-octave-allegro/ ).

De eerste stap van de OCTAVE Allegro-methodologie is het vaststellen van een criterium voor risicometing. OCTAVE biedt een vrij eenvoudige manier om dit te doen, met de nadruk op impact, waarde en meting. Het punt van het hebben van een criterium voor risicometing is dat op elk moment in de latere stadia prioriteit kan worden gegeven aan het referentiemodel. (Hoewel OCTAVE meer details heeft om bij te dragen, raden we aan om het hierna beschreven FAIR-model te gebruiken voor risicobeoordeling.)

De tweede stap is het ontwikkelen van een informatie-activaprofiel. Dit profiel is gevuld met activa, een prioriteit van activa, kenmerken die aan elk activum zijn gekoppeld, inclusief eigenaren, bewaarders, mensen, expliciete beveiligingsvereisten en technologieactiva. Het is belangrijk om het belang van het proces te benadrukken. Zeker, de noodzaak om informatie te beschermen verdwijnt niet, maar operationele veiligheid en continuïteit zijn belangrijker.

Binnen dit activaprofiel zijn er meerdere substages die de definitie van de activa voltooien. Sommige hiervan zijn eenvoudig onderzoek- en rapportageactiviteiten, zoals het identificeren van de activa en attributen die ermee verbonden zijn, zoals de eigenaren, bewaarders, menselijke actoren waarmee het samenwerkt en de samenstelling van zijn technologische activa. Er zijn echter op beoordelingen gebaseerde kenmerken zoals prioriteitstelling. In plaats van simpelweg een willekeurige rangorde toe te kennen, vraagt ​​het systeem om een ​​verantwoording van de prioriteitstelling. Met inzicht in de attributen van activa, met name de technische componenten, kunnen geschikte methoden voor het verminderen van bedreigingen worden toegepast. Met de toepassing van risicobeoordeling kan het niveau van beveiligingsinvesteringen worden afgestemd op dat individuele activum.

De derde stap is het identificeren van containers voor informatie-items. Dit is grofweg het aantal transporten en mogelijke locaties waar de informatie zich zou kunnen bevinden. Dit verwijst naar de rekenelementen en de netwerken waarmee ze communiceren. Het kan echter ook fysieke manifestaties betekenen, zoals papieren documenten of zelfs de mensen die de informatie kennen. Merk op dat het bedienbare doel hier informatie is, waaronder gegevens waarvan de informatie is afgeleid.

In OCTAVE ligt de nadruk meer op het containerniveau dan op het activaniveau. De waarde is om potentiële remmers in de container te verminderen voor informatieverwerking. In de OT-wereld ligt de nadruk op het verminderen van potentiële remmers in de gecontaineriseerde operationele ruimte. Als er een kenmerk van de informatie is dat endemisch is, werkt de hele container met dat kenmerk omdat de informatie het bepalende element is. In sommige gevallen is dit misschien niet het geval, zelfs niet in IT-omgevingen. Discrete gegevens op atomair niveau kunnen alleen bruikbare informatie worden als ze worden gezien in de context van de rest van de gegevens. Evenzo zijn operationele gegevens die zijn genomen zonder kennis van de rest van de elementen mogelijk ook niet van bijzondere waarde.

De vierde stap is het identificeren van zorgpunten. Op dit punt vertrekken we van een gegevensstroom, aanraking en attribuutfocus naar een waar oordelen worden beoordeeld door middel van het toewijzen van beveiligingsgerelateerde attributen aan meer bedrijfsgerichte use-cases. In dit stadium kijkt de analist naar risicoprofielen en duikt hij in de eerder genoemde risicoanalyse. Het zijn niet langer alleen feiten, maar er is ook een element van creativiteit dat een rol kan spelen bij de evaluatie. Geschiedenis kan zowel binnen als buiten de organisatie bijdragen. Verwijzingen naar vergelijkbare operationele use-cases en incidenten van beveiligingsfouten zijn redelijke associaties.

Nauw verwant is de vijfde stap, waar bedreigingsscenario's worden geïdentificeerd. Bedreigingen worden algemeen (en correct) geïdentificeerd als mogelijke ongewenste gebeurtenissen. Deze definitie betekent dat resultaten van zowel kwaadwillende als accidentele oorzaken levensvatbare bedreigingen zijn. In het kader van operationele focus is dit een waardevolle afweging. Op dit punt vindt een expliciete identificatie van actoren, motieven en resultaten plaats. Deze scenario's worden beschreven in dreigingsbomen om het pad naar ongewenste resultaten te traceren, wat op zijn beurt kan worden geassocieerd met risicometrieken.

Bij de zesde stap worden risico's geïdentificeerd. Risico is binnen OCTAVE de mogelijkheid van een ongewenst resultaat. Dit wordt uitgebreid om te focussen op hoe de organisatie wordt beïnvloed. Voor meer gerichte analyse kan dit worden gelokaliseerd, maar de potentiële impact voor de organisatie kan zich buiten de grenzen van de operatie uitstrekken.

De zevende stap is risicoanalyse, waarbij wordt gestreefd naar kwalitatieve evaluatie van de effecten van het risico. Hier worden de in de eerste stap gedefinieerde risicometingscriteria expliciet in het proces meegenomen.

Ten slotte wordt mitigatie toegepast in de achtste stap. Er moeten in dit stadium drie outputs of besluiten worden genomen. Het kan zijn dat u een risico accepteert en niets doet, behalve de situatie, mogelijke uitkomsten en redenen voor het accepteren van het risico documenteren. De tweede is om het risico te beperken met welke controle-inspanning dan ook. Door terug te lopen door de bedreigingsscenario's naar activaprofielen, moet een combinatie van compenserende controles om die bedreiging / risico-combinaties te verminderen, ontdekt en vervolgens geïmplementeerd worden. De laatste mogelijke actie is het uitstellen van een beslissing, wat betekent dat het risico niet wordt geaccepteerd of beperkt. Dit kan verder onderzoek of activiteit impliceren, maar is niet vereist door het proces.

OCTAVE is een gebalanceerd informatiegericht proces. Wat het biedt in termen van discipline en grotendeels onbeperkte breedte, wordt echter gecompenseerd door het gebrek aan beveiligingsspecificiteit. Aangenomen wordt dat deze stappen schijnbaar een middel zijn om specifieke mitigaties te identificeren die in kaart kunnen worden gebracht voor de bedreigingen en risico's die tijdens het analyseproces worden blootgelegd.

EERLIJK

FAIR (Factor Analysis of Information Risk) is een technische standaard voor risicodefinitie van The Open Group. Hoewel informatiebeveiliging centraal staat, net als voor OCTAVE, heeft FAIR duidelijke toepassingen binnen de operationele technologie. Net als OCTAVE staat het ook niet-kwaadwillende actoren toe als een mogelijke oorzaak van schade, maar het doet er alles aan om het punt te benadrukken. Voor veel operationele groepen is het een welkome erkenning van de bestaande rampenplanning. Anders dan bij OCTAVE, wordt er veel nadruk gelegd op naamgeving, met de definitie van risicotaxonomie als een zeer specifiek doel.

FAIR legt de nadruk op zowel eenduidige definities als het idee dat risico en bijbehorende attributen meetbaar zijn. Meetbare, kwantificeerbare statistieken zijn een belangrijk aandachtspunt, dat zich goed zou moeten lenen voor een operationele wereld met een schat aan operationele gegevens.

Aan de basis heeft FAIR een definitie van risico als de waarschijnlijke frequentie en waarschijnlijke omvang van het verlies. Met deze definitie ontstaat een duidelijke hiërarchie van subelementen, waarbij de ene kant van de taxonomie gericht is op frequentie en de andere op magnitude.

Verlies, zelfs frequentie is het resultaat van een bedreigingsagent die op een activum inwerkt met als gevolg verlies voor de organisatie. Dit gebeurt met een bepaalde frequentie, de zogenaamde dreigingsgebeurtenisfrequentie (TEF), waarin een bepaald tijdvenster een kans wordt. Er zijn meerdere subkenmerken die de frequentie van gebeurtenissen definiëren, die allemaal kunnen worden begrepen met een of andere vorm van meetbare metriek. Frequenties van bedreigingsgebeurtenissen worden toegepast op een kwetsbaarheid. Kwetsbaarheid hier is niet noodzakelijkerwijs een zwakte in het compute-activum, maar wordt ruimer gedefinieerd als de waarschijnlijkheid dat het beoogde asset faalt als gevolg van de toegepaste acties. Er zijn hier ook andere subkenmerken.

De andere kant van de risicotaxonomie is de waarschijnlijke verliesmagnitude (PLM), die de effecten begint te kwantificeren, waarbij de nadruk opnieuw ligt op meetbare statistieken. De FAIR-specificatie maakt het een punt om te benadrukken hoe vluchtig sommige van deze kostenramingen kunnen zijn, en dit kan inderdaad het geval zijn wanneer informatiebeveiliging het doel van de discussie is. Gelukkig voor de OT-operator maakt een aanzienlijke nadruk op operationele efficiëntie en analyse het begrijpen en kwantificeren van kosten veel gemakkelijker.

FAIR definieert zes vormen van verlies, waarvan vier extern gericht en twee intern gericht. Van bijzonder belang voor operationele teams zijn productiviteit en vervangingsverlies. Het reactieverlies wordt ook redelijk gemeten, met boetes en beoordelingen die gemakkelijk te meten maar moeilijk te voorspellen zijn. Ten slotte zijn concurrentievoordeel en reputatie het minst meetbaar.

NOTITIE

De bespreking van OCTAVE Allegro en FAIR is bedoeld om u een basis te geven in formele risicoanalyseprocessen. Hoewel er andere zijn, vertegenwoordigen beide mechanica die kunnen worden toegepast in een OT-omgeving.



Vorige sectie

5. De gefaseerde toepassing van beveiliging in een operationele omgeving | Volgende sectie