Dit is een nieuwe pagina.

Home > Artikelen > IoT beveiligen

Securing IoT

Inhoud

Beschrijving Hoofdstuk

  1. Een korte geschiedenis van OT-beveiliging
  2. Veelvoorkomende uitdagingen bij OT-beveiliging
  3. Hoe IT- en OT-beveiligingspraktijken en -systemen verschillen
  4. Formele risicoanalysestructuren: OCTAVE en FAIR
  5. De gefaseerde toepassing van beveiliging in een operationele omgeving
  6. Overzicht

In dit voorbeeld hoofdstuk van IoT Fundamentals: Netwerk Technologieën, Protocollen, en Use Cases for the Internet of Things, zullen lezers een korte geschiedenis bekijken van de beveiliging van operationele technologie (OT), hoe deze is geëvolueerd en enkele van de veelvoorkomende uitdagingen waarmee deze wordt geconfronteerd.

De tekst op deze webpagina is vertaald vanuit het Engels naar het Nederlands door Priscilla F. Harmanus. De originele tekst van het artikel vind je hier.

De gefaseerde toepassing van beveiliging in een operationele omgeving

Het is het doel van een beveiligingsmedewerker om de omgeving waarvoor hij of zij verantwoordelijk is veilig te beveiligen. Voor een operationeel technoloog is dit proces anders omdat de te beschermen prioriteiten en middelen sterk verschillen van de bekendere IT-omgeving. De verschillen zijn in dit hoofdstuk uitgebreid besproken, maar veel van de processen die door IT-beveiligingsmedewerkers worden gebruikt, zijn nog steeds geldig en kunnen worden gebruikt in een OT-omgeving. Als er één sleutelbegrip moet worden begrepen, dan is het wel dat beveiliging voor een IoT-omgeving een continu proces is waarin stappen kunnen worden gezet, maar er is geen echte eindstreep.

In de volgende secties wordt een gefaseerde aanpak gepresenteerd om moderne netwerkbeveiliging te introduceren in grotendeels reeds bestaande industriële netwerken.

Beveiligde netwerkinfrastructuur en activa

Aangezien netwerken, rekenkracht of operationele elementen in een typisch IoT of industrieel systeem waarschijnlijk al vele jaren aanwezig zijn en aangezien de fysieke lay-out grotendeels het operationele proces bepaalt, begint deze gefaseerde benadering van de introductie van moderne netwerkbeveiliging met zeer bescheiden, niet -intrusieve stappen.

Als eerste stap moet u het basisnetwerkontwerp analyseren en beveiligen. De meeste geautomatiseerde processystemen of zelfs hiërarchische energiedistributiesystemen hebben een hoge mate van correlatie tussen het netwerkontwerp en het operationele ontwerp. Het is een basisprincipe van ISA99 en IEC 62443 dat functies in zones (cellen) moeten worden gesegmenteerd en dat communicatie die de grenzen van die zones overschrijdt, moet worden beveiligd en gecontroleerd via het concept van leidingen. Als reactie hierop wordt voorgesteld dat een beveiligingsprofessional de toestand van zijn of haar netwerk en alle communicatiekanalen ontdekt.











Afbeelding 8-6 illustreert beveiligingsmodellen op verschillende niveaus en interzonale leidingen in de procesbesturingshiërarchie.

Normale netwerkontdekkingsprocessen kunnen zeer problematisch zijn voor oudere netwerkapparatuur. In feite kan het ontdekkingsproces op zoek naar verbeterde veiligheid, beveiliging en operationele staat resulteren in degradatie van alle drie. Gezien die toestand, kan het netwerkdetectieproces handmatige inspectie van fysieke verbindingen vereisen, beginnend vanaf het hoogst toegankelijke aggregatiepunt en werkend tot aan de laatste toegangslaag. Deze ontdekkingsactiviteit moet een zoektocht naar draadloze toegangspunten omvatten. Met het oog op risicovermindering moet elke on-wire netwerk mapping zoveel mogelijk passief worden gedaan.

Het is redelijk om op te merken dat dit voorgeschreven proces veel vaker zal slagen in een kleinere besloten ruimte zoals een fabrieksvloer. In geografisch verspreide omgevingen is het misschien niet mogelijk om het netwerk te traceren en in dergelijke gevallen zijn de langeafstandsverbindingen mogelijk niet fysiek of worden ze uitgevoerd door een externe communicatieprovider. Voor die delen van het operationele netwerk is expliciete samenwerking met andere entiteiten vereist.

Een nevenactiviteit van dit netwerktraceringsproces is het noteren van de connectiviteitsstatus van de fysieke verbindingen. Dit is niet alleen een oefening om te zien welke glasvezel of kabels zich in welke poorten bevinden, maar ook om het gebruik of de operationele status van andere fysieke verbindingen, zoals USB, SD-kaart, alarmkanaal, seriële of andere verbindingen, bij elk netwerkapparaat te observeren. Voor modernere omgevingen waar bijgewerkte netwerkapparaten en protocollen worden gebruikt, kunnen tools zoals NetFlow en IPFIX ook worden gebruikt om de netwerkcommunicatiepaden te ontdekken.

Als de netwerkmapping het aggregatiepunt bereikt, is het de moeite waard om door te gaan naar het verbonden activaniveau.

Normaal gesproken is in een IT-omgeving de allereerste ontdekkingsfase gericht op middelen die op het netwerk zijn aangesloten. Activa blijven kritisch, maar vanuit het oogpunt van efficiëntie en kriticiteit wordt over het algemeen aanbevolen om gegevenspaden naar en tussen zones (cellen) te zoeken in plaats van de seriële verbindingen tussen apparaten binnen een zone. Een ding om voortdurend op te letten is de altijd gevaarlijke, onbeveiligde en vaak ongedocumenteerde gemakspoort. Elke fysieke poort die niet fysiek is vergrendeld of geen afdwingbaar beveiligingsbeleid heeft, is een ongecontroleerde bedreigingsvector.

Zodra het netwerk fysiek in kaart is gebracht, is de volgende stap het uitvoeren van een connectiviteitsanalyse via de switch- en router-ARP-tabellen en DHCP-verzoeken binnen de netwerkinfrastructuur. Dit zou moeten helpen om de connectiviteit, goed of slecht, die is opgetreden, verder te verlichten. Gegevens van de firewall en netwerkinfrastructuur kunnen ertoe bijdragen dat u begrijpt welke apparaten met andere apparaten praten en op welke verkeerspaden dit gebeurt.

In dit stadium moet het netwerk redelijk goed worden begrepen en voorbereid op veilige connectiviteit.

Moderne netwerkapparatuur biedt een uitgebreide set toegangscontrole en beveiligde communicatiemogelijkheden. Beginnend op cel- / zoneniveau, is het belangrijk ervoor te zorgen dat er voor elke zone een duidelijk inkomend / uitgaand aggregatiepunt is. Als uw communicatiepatronen goed zijn geïdentificeerd, kunt u toegangscontrolebeleid toepassen om te beheren wie en wat die fysieke delen van het proces kunnen betreden. Als u het verkeer niet expliciet wilt controleren, begin dan met alleen-waarschuwingsacties. Na verloop van tijd moet u voldoende vertrouwen hebben in uw kennis om controles toe te passen.

Overweeg op upstream-niveaus verkeerscontroles zoals Denial of Service (DoS) -beveiliging, verkeersnormalisatie-activiteiten en Quality of Service (QoS) -controles (zoals markering en black-holing of snelheidsbeperkend verkeer van aaseters). Het doel is om ervoor te zorgen dat deze samengevoegde verkeerssegmenten zonder belemmering verkeer met hoge prioriteit vervoeren.

Netwerkinfrastructuur moet ook de mogelijkheid bieden om de communicatie tussen zones te beveiligen via beveiligde kanalen (zie Figuur 8-6 ). De primaire methode is gecodeerde communicatie in de vorm van virtuele privé-netwerken (VPN's). VPN's kunnen in verschillende vormen voorkomen, zoals site-naar-site, die geschikt zou zijn tussen een hulpkantoor en een controlecentrum, of misschien in cel-naar-celcommunicatie. Toegangscontroles op afstand kunnen worden ingesteld in meer ad-hoc situaties en maken gebruik van het gemak van browsergebaseerde VPN's met Secure Sockets Layer (SSL) -gebaseerde VPN's. Als de latentiekwesties niet bijzonder hoog zijn, kunt u hop-by-hop-encryptie van Media Access Control Security (MACSec) gebruiken om potentiële controles en zichtbaarheid op belangrijke kruispunten mogelijk te maken.

De volgende ontdekkingsfase moet aansluiten bij de software en configuraties van de middelen op het netwerk. Op dit moment zijn de rechten en rollen van de netwerkbeheerder mogelijk onvoldoende om toegang te krijgen tot de vereiste informatie. Zeker, de netwerkinfrastructuur en de status ervan zijn binnen de mening van de netwerkbeheerder, maar de individuele activa waarschijnlijk niet. Op dit punt is organisatorische samenwerking vereist voor succes. Voor een ervaren IT-gebaseerde netwerkbeoefenaar is dit geen ongebruikelijke situatie. Het is heel gebruikelijk, vooral bij grotere ondernemingen, om een ​​scheiding van verantwoordelijkheden en controles te zien tussen het communicatietransport en de activa waarmee ze zijn verbonden. Op operationeel niveau is vergelijkbare samenwerking vereist met degenen die verantwoordelijk zijn voor het onderhoud van de OT-middelen.

Er zijn redelijke informatiebronnen die de configuratiestatus van OT-middelen beschrijven. De controlesystemen die bij de processen horen, bevatten historische gegevens die beschrijven wat met elkaar is verbonden en wat die activa doen. Een beoordeling van historische gegevens moet een idee geven van welke activa aanwezig zijn en welke bewerkingen erop worden uitgevoerd, en het moet zaken als firmware-updates en gezondheidsstatus identificeren. Het te analyseren gegevensvolume kan een uitdaging zijn, maar als het correct is georganiseerd, zou het waardevol zijn om de werking van activa te begrijpen.

Als een eerste inventaris van activa is voltooid, kunt u een risicoanalyse uitvoeren op basis van het netwerk en de activa, en een initiële omvang van beveiligingsbehoeften bepalen.

Dedicated Security Appliances inzetten

De volgende fase is het uitbreiden van de beveiligingsvoetafdruk met gerichte beveiligingsfunctionaliteit. Het doel is om het verkeer binnen het netwerk zichtbaar, veilig en beveiligd te maken. Zichtbaarheid geeft inzicht in het applicatie- en communicatiegedrag. Met zichtbaarheid kunt u beleidsacties instellen die het gewenste gedrag weerspiegelen voor interzone- en conduitbeveiliging.

Hoewel netwerkelementen vereenvoudigde weergaven kunnen bieden met verbindingsgeschiedenissen of een soort stroomgegevens, krijgt u een goed begrip wanneer u binnen de pakketten op het netwerk kijkt. Dit niveau van zichtbaarheid wordt doorgaans bereikt met deep packet inspection (DPI) -technologieën zoals inbraakdetectie / -preventiesystemen (IDS / IPS). Deze technologieën kunnen worden gebruikt om vele soorten van interessant verkeer te detecteren, van het eenvoudig identificeren van welke applicaties spreken, tot het al dan niet versluieren van communicatie, of het misbruik gericht is op kwetsbaarheden, tot het passief identificeren van activa op het netwerk.

Met het doel om activa te identificeren, kan een IDS / IPS detecteren wat voor soort activa op het netwerk aanwezig zijn. Passieve OS-identificatieprogramma's kunnen patronen vastleggen die de basisbesturingssystemen en andere toepassingen die op het netwerk communiceren blootleggen. De organisatorisch unieke identificatie (OUI) in een vastgelegd MAC-adres, die afkomstig zou kunnen zijn van de verkenning van de ARP-tabel, is nog een ander middel van blootstelling. In combinatie met de eerder genoemde fysieke en historische gegevens is dit een waardevol hulpmiddel om de inventaris van activa uit te breiden zonder gevaarlijke of opdringerige kritieke systemen te hoeven gebruiken.

Applicatiespecifieke protocollen zijn ook detecteerbaar door IDS / IPS-systemen. Voor meer IT-achtige applicaties zijn user agents waardevol, maar traditioneel kunnen combinaties van poortnummers en andere protocol differentiatoren bijdragen aan identificatie. Sommige applicaties vertonen gedragingen die alleen in bepaalde softwareversies voorkomen. Kennis van die verschillen kan helpen om te bepalen welke softwareversie op een bepaald item wordt uitgevoerd.

Binnen applicaties en industriële protocollen zijn goed gedefinieerde commando's en, vaak, bijbehorende parameterwaarden. Nogmaals, een IDS / IPS kan worden geconfigureerd om die opdrachten en waarden te identificeren om te leren welke acties worden ondernomen en welke bijbehorende instellingen worden gewijzigd.

Al deze acties kunnen worden uitgevoerd vanuit een niet-opdringerig implementatiescenario. Moderne DPI-implementaties kunnen out-of-band werken vanuit een bereik of tik. Het bekijken van kopieën van pakketten heeft geen invloed op de verkeersprestaties of latentie. Het is gemakkelijk de veiligste manier om diepgaand inzicht te krijgen in de activiteiten die op een netwerk plaatsvinden.

Zichtbaarheid en inzicht in netwerkconnectiviteit onthullen de informatie die nodig is om toegangscontrole te initiëren. Toegangscontrole wordt meestal bereikt met toegangscontrolelijsten (ACL's), die beschikbaar zijn op vrijwel alle moderne netwerkapparatuur. Voor een betere schaalbaarheid verdient een speciale firewall echter de voorkeur. Het bieden van sterke segmentatie en toegangscontrole voor zones is de eerste stap. Toegangscontrole is echter niet alleen beperkt tot de typische adres- en protocol-ID's. Moderne firewalls hebben de mogelijkheid om attributen te onderscheiden die verband houden met de gebruiker die toegang heeft tot het netwerk, waardoor ook bedieningselementen op het "wie" -element kunnen worden geplaatst. Bovendien kan toegangscontrole worden afgestemd op applicaties en applicatiegedrag. Uitgerust met de juiste toolset,een moderne OT-beoefenaar kan ervoor zorgen dat alleen die operators in een bepaalde gebruikersklasse externe opdrachten voor dat specifieke activum kunnen initiëren.

Veiligheid is een bijzonder voordeel omdat applicatiecontroles kunnen worden beheerd aan de cel / zone-rand via een IDS / IPS. Dezelfde technologieën die het wie en wat observeren, kunnen ook de waarden beheren die aan het doelitem worden doorgegeven. In een fabricagescenario waarbij een robot werkt, kan er bijvoorbeeld een gebied zijn dat wordt bezocht door werknemers die zich binnen het potentiële bereik van de robot bevinden. Het bereik is uniek voor de fysieke lay-out van de cel en parameterwijzigingen kunnen fysieke schade toebrengen aan een fabrieksarbeider. Met een IDS / IPS kan het systeem detecteren dat een parameterwaarde het veiligheidsbereik overschrijdt en dienovereenkomstig handelen om de veiligheid van de werknemers te waarborgen.

Veiligheid en beveiliging zijn taalkundig nauw met elkaar verbonden (bijvoorbeeld in het Duits kan hetzelfde woord, Sicherheit, voor beide worden gebruikt), maar voor een beveiligingsmedewerker wordt beveiliging vaker geassocieerd met bedreigingen. Identificatie en bescherming van bedreigingen is een belangrijk kenmerk van IPS's met DPI.

Volwassen IPS-en hebben duizenden bedreigings-ID's, die het volledige scala aan activatypen aanpakken waarvan op afstand misbruikbare kwetsbaarheden bekend zijn. In sommige gevallen is de aard van de bedreigings-ID generiek genoeg om een ​​veel voorkomende techniek aan te pakken zonder te hoeven worden gekoppeld aan een bepaalde applicatie-instantie van het kwetsbaarheidstype.

De plaatsingsprioriteiten voor speciale beveiligingsapparatuur variëren afhankelijk van de risicoperceptie van de beveiligingsmedewerker. Als de zichtbaarheid onvolledig is en bezorgdheid vereist dat meer kennis nodig is voordat een proactieve verdediging wordt gecreëerd, moet het beveiligingsapparaat worden geplaatst waar die kloof wordt waargenomen. Het is belangrijk op te merken dat het proces van het verkrijgen van zichtbaarheid of het aanpakken van risico's dynamisch is. Netwerken veranderen en naarmate kennis wordt opgedaan, creëren nieuwe prioriteiten (hetzij in de vorm van zichtbare bedreigingen of het verminderen van hiaten) nieuwe aandachtspunten. Bedenk, gezien deze dynamiek, dat de plaatsing van een speciaal beveiligingsapparaat ook kan veranderen. Met andere woorden, alleen omdat u met een apparaat op één locatie begint, betekent nog niet dat u het later niet kunt verplaatsen om beveiligingslacunes aan te pakken.

Er moet onvermijdelijk een beslissing worden genomen. Hier bespreken we enkele van de relatieve verdiensten van verschillende plaatsingslocaties. Plaatsing in de operationele cel is waarschijnlijk het meest verfijnde implementatiescenario. Door fijnmazigwe bedoelen dat het het laagste deel van een netwerk is dat netwerkgebaseerde toegang geeft tot het laagste niveau van bedrijfsmiddelen. Zoals eerder besproken, hangt de aard van de implementatie - out-of-band of in-line - af van het comfortniveau van de organisatie voor in-line bediening en de wens om daadwerkelijk controle uit te oefenen. In beide gevallen moet het industriële beveiligingsapparaat rechtstreeks op de schakelaar worden aangesloten, wat het toegangspunt tot de cel aangeeft. Deze locatie biedt het hoogste niveau van controle voor veiligheidscontroles, zichtbaarheid en bedreigingen. Als het netwerkontwerp op de juiste manier is gesegmenteerd naar een ingangspunt voor één zone, is dit een optimale implementatielocatie. Om veiligheidsredenen kan toepassingsbeheer worden uitgeoefend om ervoor te zorgen dat toepassingswijzigingen geen gevaarlijke instellingen toestaan. Bedreigingen kunnen worden verminderd wanneer ze het apparaat passeren,en verkeer dat de cel binnenkomt en verlaat kan zichtbaar worden gemaakt.

Een bijzonder waardevolle functie is ingeschakeld als een beveiligingsapparaat VPN's kan beëindigen naast het uitvoeren van diepgaande pakketinspectie. Beveiligde communicatie, mogelijk van een leveranciervertegenwoordiger buiten de organisatie, kan bij binnenkomst op het apparaat worden beëindigd en vervolgens worden geïnspecteerd. De tijdkosten van de beëindiging zouden vergelijkbaar zijn met wat er op de switch zou worden gedaan, en dan is inspectie van wat die externe gebruiker die toegang tot het netwerk doet, haalbaar. Uiteraard kan ook elk potentieel dreigingsverkeer worden gestopt.

Als de zone / cel een kritieke infrastructuur bevat en bediening op afstand vereist is, wordt een redundante configuratie met hoge beschikbaarheid aanbevolen voor zowel het netwerk als de beveiligingsinfrastructuur.

Voor puur zicht zou het optimaal zijn om een ​​spiegel of spanpoort aan de switch te hangen. Voor controlemogelijkheden moet men in de rij staan ​​om echt te kunnen reageren op ongewenst verkeer. In de meeste gevallen is de voorkeurslocatie stroomopwaarts van de zone / celtoegangsschakelaar tussen de aggregatielaag en de zoneswitch. Het kan levensvatbaar zijn om het beveiligingsapparaat ook tussen de zoneactiva en de zonetoegangsschakelaar te hebben.

Voor bredere, minder gedetailleerde controleniveaus is de plaatsing van speciale beveiligingsapparatuur stroomopwaarts van de aggregatieswitches de voorkeursbenadering. Als het netwerk meerdere zones heeft die door de aggregatieschakelaar gaan met overwegend redundante functionaliteit maar zonder communicatie daartussen, kan dit een efficiënter punt van implementatie zijn.

Op een gegeven moment wordt een functionele laag boven de onderste zonelaag verbonden met het netwerk en er zou een apparaat moeten zijn tussen die functies en hun OT-ladingen in de zones / cellen. Op die volgende laag kunnen er HMI's of andere operationele tools op een lager niveau zijn. Om veiligheidsredenen is een controlepunt tussen die laag en de cel waardevol.

Op het hogere niveau van het netwerk bevinden zich een groot aantal hogere functionele middelen, zoals standaard netwerkelementen (bijvoorbeeld directoryservers, tools voor netwerkbewaking, externe toegang plus proxyservers, printservers, beveiligingscontrole-elementen). Meer operationeel gerichte functionaliteit omvat elementen zoals technische werkstations en operationele controletoepassingen. Afhankelijk van de diversiteit en netwerktopologieën die in het spel zijn, kunnen deze operationele structuren binnen hun eigen subzones (subnetten) op hetzelfde niveau worden gerepliceerd. Het kan gerechtvaardigd zijn om een ​​speciaal beveiligingsapparaat tussen de subzones te gebruiken, afhankelijk van de noodzaak om de toegang te controleren, maar voor het grootste deel is dit een zone die boven en onder geplaatst moet worden.

Hieronder is de kans groter dat industrieel bewustzijn en, mogelijk, robuuste hardware nodig zijn. Aangezien een deel van het industriële verkeer deze laag doorkruist, zou een speciale en beveiligingsbewuste tool raadzaam zijn.

Boven dit hoogste niveau wordt een speciaal beveiligingsapparaat met IT-gerichte dreigingsbeheersing aanbevolen. Als de hier gehoste applicaties vergelijkbaar zijn met die in IT-omgevingen (bijvoorbeeld op Windows of Linux gebaseerde applicaties), vereist dit een gemeenschappelijke netwerkinfrastructuur, webgebaseerde toegang, enzovoort voor een goede zichtbaarheid, controle en bescherming . Het toepassen van dergelijke controles op alle toegangspunten (boven en onder) is belangrijk. Er mogen geen aannames worden gedaan dat een IT-gerichte dreiging alleen kan komen vanuit de IT / bedrijfslaag boven de DMZ. Aanvallers zouden zich niet tot dat denken beperken.

Er zijn aanwijzingen dat OS- en softwarecomponenten aan het einde van de levensduur bestaan ​​in operationele omgevingen. Een al te algemeen en ongelukkig kenmerk van dergelijke systemen is dat verdere patching voor beveiligingsproblemen waarschijnlijk niet beschikbaar is. Om die systemen te beschermen na hun officiële einde van de ondersteuningsdatum, is het concept van een "virtuele patch" -laag mogelijk mogelijk. Het idee is dat bescherming voor kwetsbaarheden kan worden toegepast via het netwerkpad waarmee deze systemen communiceren. Hoewel dit geen vervanging is voor het op de hoogte blijven van patching, kan het een risicobeperkende aanpak zijn die past bij het risicoacceptatiebeleid van uw organisatie.

Aan de logische rand van de operationele ruimte bevindt zich de DMZ (gedemilitariseerde zone) - een beveiligingsgrens tussen twee uiteenlopende rekengebieden. Activa op dit gebied zijn bedoeld om de communicatie op een veilige manier te overbruggen tussen het IT-domein van de onderneming en het industriële OT-domein. Beveiliging moet zowel boven als onder deze laag worden toegepast.

Voordat we de tweede fase van operationele beveiliging verlaten, is het belangrijk om opnieuw te benadrukken dat beveiliging, op welke locatie dan ook, een continu proces is. Het toegepaste beleid en de opgedane kennis mag nooit stagneren. De omstandigheden zullen onvermijdelijk veranderen, dus beveiligingsimplementaties en soms netwerken zelf moeten veranderen om zich aan te passen. Waar u uw producten voor beveiligingshandhaving plaatst en het beleid dat ze hanteren, moet klaar zijn om met hen te veranderen.

Beleidconvergentie van hogere orde en netwerkmonitoring

Tot dusver hebben we ons gericht op zeer basisconcepten die veel voorkomen en gemakkelijk kunnen worden geïmplementeerd door netwerkengroepen. Netwerkprofessionals vinden met ervaring in het uitvoeren van dergelijke functies of zelfs het trainen van mensen zonder eerdere ervaring is niet moeilijk.

Een andere beveiligingspraktijk die waarde toevoegt aan een genetwerkte industriële ruimte is convergentie, namelijk het overnemen en integreren van beveiliging over operationele grenzen heen. Dit betekent het coördineren van de beveiliging aan zowel de IT- als OT-kant van de organisatie. De convergentie van de IT- en OT-ruimtes is aan het samensmelten, of er is tenminste actieve coördinatie over voorheen verschillende IT- en OT-grenzen. Vanuit beveiligingsoogpunt volgt de waarde het argument dat de meeste nieuwe netwerk- en computertechnologieën die naar de operatieruimte kwamen, eerder werden gevonden en gevestigd in de IT-ruimte. Het is naar verwachting ook waar dat de praktijken en tools die aan deze nieuwe technologieën zijn gekoppeld, waarschijnlijk volwassener zullen zijn in de IT-ruimte.

Er zijn geavanceerde bedrijfsbrede praktijken met betrekking tot toegangscontrole, bedreigingsdetectie en vele andere beveiligingsmechanismen die de OT-beveiliging ten goede kunnen komen. Zoals eerder vermeld, is de sleutel om de aanpak aan te passen aan de doelomgeving.

Verschillende gebieden vereisen waarschijnlijk een soort coördinatie tussen IT- en OT-omgevingen. Twee van dergelijke gebieden zijn toegang op afstand en detectie van bedreigingen. Voor toegang op afstand gebruiken de meeste grote industriële organisaties de communicatie via het IT-netwerk. Sommige communicaties, zoals e-mail en webbrowsen, zijn voor de hand liggende communicatietypes die waarschijnlijk de gedeelde IT-infrastructuur zullen raken. Vaak doorlopen leveranciers of consultants die een vorm van externe toegang tot OT-middelen nodig hebben ook de IT-kant van het netwerk. Gezien dit, zou het voor een OT-beveiligingsdeskundige van grote waarde zijn om het toegangscontrolebeleid van de externe initiator te coördineren via de internetgerichte beveiligingslagen, via het kernnetwerk en naar een overdrachtspunt bij de industriële afbakening en dieper, richting de IoT-middelen.Het gebruik van gemeenschappelijke toegangscontroles en operationele voorwaarden vereenvoudigt en beschermt netwerkactiva in grotere mate dan het hebben van uiteenlopende groepen die ad-hocmethoden creëren. Het gebruik van locatiegegevens, de beveiliging van het apparaat van de deelnemer, de identiteit van de gebruiker en de kenmerken van het toegangsdoel zijn allemaal standaardfuncties waar moderne tools voor toegangsbeleid gebruik van kunnen maken. Dergelijke verfijning is een relatief nieuwe praktijk in industriële omgevingen, en dus, als deze functies beschikbaar zijn, zou een OT-beveiligingsmedewerker baat hebben bij coördinatie met zijn of haar IT-equivalenten.en attributen voor toegangsdoelen zijn allemaal standaardfuncties waar moderne tools voor toegangsbeleid gebruik van kunnen maken. Dergelijke verfijning is een relatief nieuwe praktijk in industriële omgevingen, en dus, als deze functies beschikbaar zijn, zou een OT-beveiligingsmedewerker baat hebben bij coördinatie met zijn of haar IT-equivalenten.en attributen voor toegangsdoelen zijn allemaal standaardfuncties waar moderne tools voor toegangsbeleid gebruik van kunnen maken. Dergelijke verfijning is een relatief nieuwe praktijk in industriële omgevingen, en dus, als deze functies beschikbaar zijn, zou een OT-beveiligingsmedewerker baat hebben bij coördinatie met zijn of haar IT-equivalenten.

Network Security Monitoring (NSM) is een proces waarbij indringers in een netwerk worden gevonden. Dit wordt bereikt door indicatoren en waarschuwingen te verzamelen en te analyseren om incidenten te prioriteren en te onderzoeken, in de veronderstelling dat er inderdaad sprake is van een ongewenste aanwezigheid.

De praktijk van NSM is niet nieuw, maar wordt niet vaak of grondig genoeg geïmplementeerd, zelfs niet binnen redelijk volwassen en grote organisaties. Er zijn veel redenen voor deze onderbenutting, maar gebrek aan opleiding en geduld van de organisatie zijn veelvoorkomende redenen. Om de aanpak te vereenvoudigen, is er een grote hoeveelheid gemakkelijk beschikbare gegevens die, indien herzien, de activiteiten van een indringer zouden blootleggen.

Het is belangrijk op te merken dat NSM inherent een proces is waarbij ontdekking plaatsvindt door de beoordeling van bewijs en acties die al zijn gebeurd. Dit wil niet zeggen dat het een puur postmortale activiteit is. Als je erkent dat inbraakactiviteiten, net als beveiliging, een continu proces zijn, dan zie je dat er een vergelijkbare reeks fasen is die een aanvaller moet doorlopen. De gebruikte tools zullen dat proces vertragen en mogelijkheden bieden om de aanvaller te detecteren en te dwarsbomen, maar er is zelden een enkele gebeurtenis die een aanval in zijn geheel vertegenwoordigt. NSM is de discipline die hoogstwaarschijnlijk de omvang van het aanvalsproces zal ontdekken en op zijn beurt de reikwijdte voor zijn herstel zal bepalen.



Vorige sectie

Samenvatting | volgende sectie