Operationele Technologie (OT) is hard- en software die zorgt voor de aansturing en monitoring van industriële systemen. Dit zie je bijvoorbeeld terug in de maakindustrie, de zware industrie en bij kritieke infrastructuur. Denk aan de hardware die nodig is voor het aansturen van een brug of sluis, maar ook een MRI scanner behoort tot de OT appliances.
Als je kijkt naar de typen netwerken en systemen dan kent Operationele Technologie vele verschijningsvormen. Dat maakt het lastig deze omgevingen op een algemene manier te beschrijven. Niet elk onderwerp dat hieronder beschreven staat zal dus op jouw applicance of omgeving van toepassing zijn. Wel biedt dit artikel inzicht in enkele onderwerpen die in algemene zin aandacht verdienen als het gaat om een securityincident in je OT omgeving.
In het verleden stonden OT-systemen meestal op zichzelf, of ze waren verbonden met een afgeschermd OT netwerk. Tegenwoordig zijn deze appliances (kritieke infrastructuur uitgezonderd) steeds vaker verbonden met een netwerk waarmee ze ook op afstand benaderbaar zijn. Met deze IT/OT convergentie rijst ook de vraag hoe je je het beste kan voorbereiden op een incident in een OT omgeving.
Als de hieronder benoemde aandachtspunten op je overkomen als open deuren dan is dat heel mooi: je weet waaraan je aandacht moet besteden als het aankomt op OT security. In de praktijk zien wij echter dat deze elementen helaas onvoldoende op orde zijn. Zo ook bij een recent onderzoek dat we uitvoerden naar een securityincident in een OT omgeving. Vanwege de aard van die zaak kunnen we daar helaas niet op in gaan, maar wel is het goed om de belangrijkste aandachtspunten nog eens op een rijtje te zetten.
Wat is er bijzonder aan een securityincident in een OT omgeving?
Wat is er zo bijzonder aan securityincidenten in een OT omgeving? En hoe verschilt dat van een IT incident?
Allereerst is er de potentiële impact van een OT securityincident. Downtime is slechts het best-case scenario. Aangezien OT appliances regelmatig worden toegepast in kritieke infrastructuren kan een incident letterlijk een kwestie van leven en dood betekenen.
Ten tweede is er een verschil in prioriteiten tussen OT en IT omgevingen. Waar bij IT de vertrouwelijkheid van informatie bovenaan de prioriteitenlijst staat, is dat bij OT de beschikbaarheid van de apparatuur. Met uitval van- of vertraging in operationele processen zijn enorme (zakelijke) belangen gemoeid. Daardoor heeft het voorkomen van downtime de hoogste prioriteit in veel OT omgevingen.
Ten derde zien we dat organisaties moeite hebben met de uitdagingen die OT security met zich meebrengt. Welke zaken liggen bij de leverancier? Waarvoor ben je als gebruiker verantwoordelijk? Hoe zorg je dat de juiste kennis aanwezig is als het misgaat? En welke incidentaanpak hanteer je in geval van een OT appliance? De 6 aandachtspunten in dit artikel dienen als leidraad om binnen je organisatie, maar ook met leveranciers het gesprek aan te gaan over OT security. Zo zorg je dat jouw organisatie is voorbereid als het ooit misgaat.
De 6 aandachtspunten bij een OT securityincident
Heb je te maken met OT appliances, zorg dan dat je actie hebt ondernomen op de onderstaande 6 gebieden.
1. Creëer inzicht in je OT apparatuur
Zoals het aloude security adagium gaat: ‘You can’t protect what you don’t know’. Voordat je jouw OT omgeving kan beschermen, moet je eerst weten welke appliances het betreft. Dat houdt in dat je weet welke hardware wordt gebruikt, waar die appliances zich bevinden en welke firmware erop draait.
CMDB integratie van OT appliances is vaak een uitdaging. Bij kritieke infrastructuren worden vaak specifieke protocollen gebruikt. Het is de moeite waard na te gaan hoe daarmee informatie over een appliance gedeeld kan worden.
2. Kies voor gehardende appliances
Is bij de appliance die je toepast voldoende aandacht besteed aan ‘hardening’ ervan? Dit houdt bijvoorbeeld in dat onnodige functionaliteiten niet beschikbaar zijn, rechten worden beperkt en firewallbeperkingen worden opgelegd.
Dit is lang niet bij alle OT appliances van toepassing, maar wanneer dit wel mogelijk is, dan zien we vaak dat inkomend verkeer wel gereguleerd wordt, maar dat voor uitgaand verkeer geen beperkingen gelden. Dat is zonde. Juist door uitgaand verkeer te limiteren voorkom je dat bepaalde ‘exploits’ een externe verbinding kunnen opzetten.
3. Zorg dat je appliances gepentest zijn
In softwareontwikkeling is het pentesten van externe aanvalsoppervlakken een logische stap in de product- en dienstontwikkeling. Helaas zien we deze werkwijze nog lang niet bij elke leverancier terug. Hou bij het selecteren van je appliances rekening met certificering van het apparaat en ga na of een penetratietest onderdeel van het ontwikkelproces is.
Een goede werkwijze is om regelmatig een pentest uit te voeren. Doe dit minimaal op jaarlijkse basis en bij elke major release. Het pentesten van de appliance is de verantwoordelijkheid van de leverancier. De verantwoordelijkheid voor het pentesten van de configuratie waarbinnen de OT appliance wordt toegepast ligt bij jou als gebruiker.
4. Patch tijdig
Als gebruiker van een OT appliance ben je verantwoordelijk voor het doorvoeren van patches. Over het algemeen betreft dit firmware updates. De uitdaging daarbij is dat een appliance vaak goed werkt voordat de patch wordt toegepast, terwijl met het indraaien van de patch een risico op downtime gemoeid is. Hoe maak je daarin als organisatie de juiste afweging tussen security en business continuïteit?
Hou de updatekanalen van de leverancier in de gaten, zodat je weet welke patches beschikbaar zijn. Ook als je niet direct wil of kan patchen is het wel belangrijk te weten welke patches beschikbaar zijn en hoe kritiek die zijn. Raadpleeg de CVSS score van een patch om te helpen bij het maken van de juiste risico inschatting. Een andere overweging is het redundant uitvoeren van systemen. Helaas is dat bij veel appliances niet haalbaar vanwege de aard van de OT omgeving.
5. Log events en monitor je omgeving
Logdata op OT systemen is nog te vaak gericht op troubleshooting en debuggen van de appliance. Van security logging is vaak onvoldoende sprake. Dit heeft invloed op de volledigheid, compleetheid en het detailniveau van de logbestanden. Met goede security logging kan al veel onderzoek naar een security incident worden uitgevoerd zonder afhankelijk te zijn van de leverancier. Maar wat is goede security logging?
Goede security logging zou elke relevante actie die, handmatig of geautomatiseerd, wordt uitgevoerd moeten registreren. Dit houdt in dat voor bijvoorbeeld een configuratiewijziging terug te vinden is welke persoon of applicatie de wijziging doet en wanneer die is uitgevoerd. Vervolgens is de snelheid van aanleveren van logbestanden cruciaal voor de voortgang van een onderzoek: hoe snel kunnen de logbestanden in het juiste format worden aangeleverd, zodat analyse en correlatie van de data mogelijk is?
Monitoring van een OT omgeving kan een uitdaging zijn. Sturen de appliances bijvoorbeeld geen, of maar zeer beperkt informatie, dan zal je in de monitoring moeten focussen op de aansturende servers of werkstations. Ook zijn Endpoint Detection & Response oplossingen niet gericht op OT appliances. Daarmee zijn nog steeds wel andere opties, zoals een netwerksensor, mogelijk om inzicht te krijgen in het netwerkverkeer.
Domeinkennis is hierbij cruciaal: enerzijds heb je de juiste detectieregels of signatures nodig om te kunnen monitoren, anderzijds moet je begrijpen wat normaal gedrag is om afwijkingen te kunnen detecteren. Weet je dat de monitoring van de appliance niet of slechts beperkt mogelijk is, besteed dan extra aandacht aan de inrichting van de beveiliging van de omgeving. Je kan de bruikbaarheid van de logdata en monitoring bijvoorbeeld testen tijdens een crisissimulatie en op basis van die uitkomsten verbeteringen doorvoeren.
6. Neem het besluit: kan ik een OT securityincident zelf tot een goed einde brengen?
Een incident op een OT omgeving vereist zowel kennis van IT als van OT omgevingen. Enerzijds heb je OT domeinkennis nodig met betrekking tot de betreffende appliances, anderzijds kunnen IT experts gedegen onderzoek doen naar het incident. Heb je de juiste expertise in huis om dit type incidenten zelf af te handelen?
Het antwoord op deze vraag kan per type incident verschillen. Belangrijk is dat je deze besluiten vastlegt voordat je geforceerd wordt ze onder druk te nemen. Neem de tijd om een gedegen Incident Response plan op te stellen en betrek ook leveranciers daarin. Neem de informatie vanuit de leverancier niet zondermeer aan, maar zorg dat je voldoende kennis is huis hebt om dit te verifiëren.
If you fail to prepare, you better prepare to fail
Als eindgebruiker heb je niet op alle belangrijke security aspecten van een OT apparaat directe invloed. Het is dus van belang voldoende tijd en aandacht te besteden aan de selectie van je appliances en het gesprek met potentiële leveranciers aan te gaan over de security van hun appliances.
Hieronder staan de belangrijkste aandachtspunten als het aankomt op OT security nog een keer op een rij:
- Zorg voor inzicht in je OT appliances
- Kies voor gehardende appliances
- Zorg dat je appliances gepentest zijn
- Patch tijdig
- Log events en monitor je omgeving
- Neem het besluit: kan ik een OT cyberincident zelf tot een goed einde brengen?
Wil je in gesprek over OT security, neem dan contact op met Fox-IT.