-Voor het operating systeem van legacy hardware komen lang niet altijd meer firmware updates en patches beschikbaar. Denk hierbij zeker ook aan oudere maar nog veel gebruikte Windowssystemen als XP, die niet meer ondersteund worden. Deze systemen worden in de industrie toch echt nog vaker gebruikt dan je denkt. -Als er wel patches beschikbaar zijn, is het doorvoeren ervan ook niet altijd mogelijk. Een firmware update gaat meestal samen met een reboot. Dit is in lang niet alle productie omgevingen mogelijk. Vaak worden die updates gecombineerd met jaarlijks of halfjaarlijks onderhoud. Voor de cybersecurity is dat echter te lang. -Daarnaast zijn er ook situaties waar er niet gepatched mag worden. Dit heeft dan betrekking op bijvoorbeeld certificeringen die op een systeem zitten, bijvoorbeeld op een specifieke medische OT-applicatie. In een dergelijke situatie kan het zijn dat het medische certificaat niet meer geldig is wanneer er gepatched wordt. Twee gedachten In de IEC-62443 wordt gesproken over de System Security Requirements and Security Levels. Deze kunnen vanuit twee gedachten bekeken worden, namelijk vanuit de nieuw te ontwerpen omgeving, ook wel Greenfield genoemd, en vanuit de bestaande omgeving. “De eerste, het volledig nieuw inrichten gaan wij nu niet verder op in, maar in dat geval is de OT- omgeving vanuit het ontwerp cyber secure te maken”, verduidelijkt Ten Klooster. Het vaststellen van de benodigde security levels en het ontwerp maken aan de hand van onder andere de risicomatrix is voor beide gevallen totaal anders. Ten Klooster: “Greenfield situaties zijn secure-by-design te ontwerpen, terwijl voor bestaande situaties rekening gehouden zal moeten worden met de installed base. Deze installed base zijn bijvoorbeeld legacy PLC’s en marktspecifieke controllers, zoals verkeersregelinstallaties. Deze zullen dan in groepen moeten worden geplaatst en dat levert in een bestaande situatie vaak een hele puzzel op. Het helpt daarbij enorm door overzicht te creëren door het aanbrengen van verschillende zones. Door zones in te richten, beperk je de ongecontroleerde uitbreiding van een eventuele besmetting bij een cyberaanval. Dit noemen we het zoneren van het netwerk. Deze verschillende zones en de daarbij horende security levels worden dan beveiligd met technologieën als Next Generation Firewalls, IDS’en en IPS’en.” 38 | nummer 7 | 2020 Inzoomen Laten we voor nu inzoomen op de bestaande omgeving, ofwel een productie omgeving in bedrijf en dan in het bijzonder op het toepassen van de zojuist genoemde IDS en IPS technologie als cyber security maatregel. “Deze technologie, bekend uit de IT, is nu ook beschikbaar voor OT-specifiek gebruik”, legt Ten Klooster uit. Wat zijn een IDS en IPS dan eigenlijk? “IDS staat voor Intrusion Detection System en IPS voor Intrusion Prevention System. Dit zijn soms twee verschillende typen hardware, maar bestaat ook als één device, dat aan de hand van de gemaakte configuratie als IDS of als IPS functioneert. Een IDS detecteert en meldt verdachte situaties op het netwerk door naar bijvoorbeeld een syslog server. De IDS leest mee op het netwerk, door op een netwerkswitch gebruik te maken van een mirror of span-poort. Hierdoor kan zonder toevoeging van inline apparatuur data worden gecontroleerd. Belangrijk om te onthouden: een IDS detecteert alleen, het is dan aan de OT- engineer om te reageren en te handelen. Er wordt dus niet in het proces ingegrepen.” Een IPS doet in basis hetzelfde, deze detecteert, is in staat te melden en is daarnaast ook in staat te reageren, of zelfs in te grijpen wanneer dit zo geconfigureerd is. “Je moet dus vooraf goed bedenken wat de consequenties voor jouw productie omgeving zullen zijn, wanneer je besluit IPS technologie toe te passen”, verduidelijkt Ten Klooster. Er zijn meerdere technieken die door de IDS en IPS gebruikt worden, legt Ten Klooster uit: “Bekende kwetsbaarheden worden herkend aan de hand van vooraf geladen datapatronen en virusdefinities. Daarnaast wordt zogenaamde DPI ofwel Deep Packet Inspection toegepast, waarbij op bit niveau in de data wordt gekeken of er verdachte of afwijHet toepassen van IDS/IPS technologie die in staat is om tot op bit niveau in datapakketten te kijken, is in onze ogen een belangrijke stap voorwaarts... kende patronen worden gesignaleerd. Deze oplossingen leren datagedrag herkennen en zijn zo in staat om afwijkingen vroegtijdig te signaleren en te detecteren. Ze geven zo de mogelijkheid om in te grijpen wanneer jij hiervoor kiest.” Bedrijfszekerheid “Wij kunnen ons uiteraard goed voorstellen dat de plantmanager z’n vraagtekens heeft bij het toevoegen van zo’n IPS of IDS. Hij wil vooral zeker zijn dat de productiecijfers gehaald worden. Hij zou zich ook af kunnen vragen of we op deze manier geen extra risico introduceren met betrekking tot de benodigde systeem-beschikbaarheid, noodzakelijk voor een productieomgeving. Het is belangrijk om hier goed over na te denken. Door eerst vast te stellen wat normaal en gewenst dataverkeer is met IDS functionaliteit, kan je bepalen welke protocollen nodig zijn voor bijvoorbeeld je besturing. Op basis van die opgedane ervaring is daarop de configuratie aan te passen naar IPS-functionaliteit om bedreigingen actief aan te pakken. Hierdoor is te voorkomen dat gewenste en noodzakelijke data, onbedoeld geblokkeerd wordt en zo het proces verstoord raakt.” Industriële IDS/IPS “Onze klanten verwachten van ons oplossingen met eigenschappen als een hoog MTBF getal, fanless en dus onderhoudsvrij
39 Online Touch Home