Header Image overlay

Safety first in Operational Technology / OT

Operational Technology (OT) verwijst naar hard- en software die fysieke apparaten & processen aanstuurt. Hierbij gaat het vaak om systemen in productieomgevingen, zoals pompen, machines, tot zelfs sluizen en windmolens. Middels IoT vinden deze systemen steeds meer hun weg naar het bedrijfsnetwerk en de cloud.

Deze evolutie naar IIoT (Industrial Internet of Things) komt echter ook met ernstige cybersecurity risico’s gezien tal van systemen nog op Windows XP of zelfs Windows 3.1(!) draaien, onder het motto: “If it ain’t broke, don’t fix it.”.

Operational Technology: van CNC-machine tot kerncentrale

Industrial Control Systems (ICS), zoals SCADA en PLC-sturingen, waren vroeger geïsoleerde silo’s waarbij niet stilgestaan werd bij cybersecurity. Maar aanvallen op OT kunnen leiden tot ernstige gevolgen, gaande van verminderde productiviteit tot fysieke ongelukken of zelfs maatschappelijke rampen. Als we denken aan de hack bij de Colonial Pipeline in de VS, waardoor een tekort aan brandstof ontstond, of aanvallen op kerncentrales in Iran… De mogelijke gevolgen zijn niet te overzien.

Vandaag bestaat er bv. ransomware die zich specifiek richt op CNC-machines. Er lijkt niet meteen iets mis, maar eens je de productie start, wijken de waardes keer op keer lichtjes af van de input en wordt het hele productieproces verstoord. Ook maken hackers gretig gebruik van minder goed beveiligde OT-omgevingen om zo hun weg te vinden naar de rest van het bedrijfsnetwerk.

LAT-relatie voor IT & OT

Om deze risico’s te verminderen, is het belangrijk om OT en IT omgevingen gescheiden te houden en de communicatie tussen beiden strikt te bewaken. Het PERA-model (Purdue Enterprise Reference Architecture) onderscheidt vijf lagen van systeembeveiliging, waarbij de laag die de OT-systemen beschermt gescheiden moet worden van de laag die de IT-systemen beschermt.

Daarom wordt zone ‘3,5’, een Industrial DMZ tussen OT en IT, geïmplementeerd waarbij security management en specifieke scanprotocollen worden toegevoegd. Fortinet biedt diverse oplossingen en werkt hiervoor samen met gespecialiseerde partners in het OT-landschap, zoals Dragos, Nozomi, Microsoft, Siemens, Schneider Electric enz… om een zo adequaat mogelijke beveiliging te kunnen garanderen.

NAC & Deep Packet inspection voor Operational Technology

Het is te allen tijde belangrijk om de O van OT in het achterhoofd te houden. Securitymaatregelen mogen dus niet in de weg zitten en geen onnodige storing veroorzaken in de productie of werking van je organisatie.

Zo werkt een NAC met DPI (Network Access Control met Deep Packet Inspection) systeem anders bij OT. Je wil vermijden dat een toestel per ongeluk geweerd wordt uit het netwerk, want die impact is veel dramatischer dan wanneer bv. een printer even inactief is. Ook het type verkeer alsook de protocollen verschillen van traditioneel IT-verkeer. Daarom wordt gewerkt met actieve, non-intrusive device classification & fingerprinting.

Op een 20-tal niveaus (denk aan mac-address + https requests + Vendor logo + tcp requests…) wordt een profiel opgezet van toestellen en kunnen ‘rogue devices’ onmiddellijk worden gedetecteerd en kan je automatisch of manueel beslissen wat ermee moet gebeuren. Omdat Fortinet haar ecosysteem ook openstelt voor integratie van derde partijen, kan er direct gecommuniceerd worden met systemen van Modbus, Siemens, Microsoft en tal van andere specialisten om deze informatie en protocollen steeds correct te verwerken.

Application Control

Met Application Control wordt de operationele werking verder geanalyseerd en beveiligd. Het systeem kent en bestudeert de gebruikelijke werking van je toestellen dankzij de eerdergenoemde integratie met partners. Als bepaalde commando’s binnenkomen met verwachte waardes tussen bv. 0 en 2 is er geen probleem, maar zodra een onverwachte waarde zou voorbijkomen, dan gaan de alarmbellen af.

Industriële honeypot

Fortideceptor Nog een interessant voorbeeld is FortiDeceptor. Hiermee worden fictieve OT omgevingen (Decoys) opgezet en naar de buitenwereld gecommuniceerd, om zo aanvallers te lokken. Zodra deze een aanvalspoging doen op een Decoy, wordt de aanval onmiddellijk geanalyseerd en geweerd. Nog vóór deze effectief een aanvalspoging kan ondernemen op de live-omgeving zal deze worden uitgesloten. Er zijn heel wat Decoys beschikbaar, waaronder dus ook SCADA-systemen zoals Modbus, S7comm, HTTP, TFTP, Bacnet, Triconex…

Tot Slot

Het is belangrijk om regelmatig de beveiliging van OT-systemen te monitoren en updaten. Veel OT-systemen draaien nog op oudere softwareversies, zoals Windows XP, die niet langer worden ondersteund, daarom moet extra voorzichtig worden omgesprongen met deze systemen, zodat ze blijven voldoen aan de nieuwste beveiligingsnormen.

Fortinet Expert Partner | VanRoey.beDit artikel is slechts een samenvatting van deze videopresentatie van Lars Putteneers, Channel System Engineer bij Fortinet. Hierin gaat hij nog veel dieper in op het PERDUE model, alsook de uitdagingen én oplossingen die in een hedendaagse OT-omgeving spelen.

Security-Audit voor je Operational Technology omgeving?

Wil je weten hoe veilig jouw omgeving is? Daarvoor kan je rekenen op onze grondige Security Audit, waarbij onze experts je omgeving op meer dan 60.000 aanvalsvectoren zal toetsen en een fysiek bezoek komen brengen. Alle issues komen naar boven. Wil je meer weten? Vraag dan gerust wat extra info aan:

btw nr.*

“Zodra een aanvaller een poging doet op een decoy-omgeving wordt deze onmiddellijk gedetecteerd en geweerd. Nog vóór deze effectief aan een aanvalspoging op de live omgeving kan beginnen.”

deel dit bericht:

Hoe sta jij ervoor?
We zijn nog nooit een 100% veilige omgeving tegengekomen…
Wat is Operational Technology (OT) en wat zijn de verschillen met IT? Wat zijn de uitdagingen in het beschermen van industriële omgevingen? Lars Putteneers van Fortinet legt het haarfijn uit!
Sinds 18 oktober is NIS-2 officieel van kracht! Samen met onze partners organiseren we op 30/01 een Cybersecurity Workshop om praktische inzichten en tools te delen, die je direct kan toepassen om jouw organisatie te beschermen en NIS-2-compliant te worden.