en mogelijkheden als by-pass functionaliteit om een maximale beschikbaarheid te waarborgen”, weet Ten Klooster uit ervaring. “Dit zijn voorbeelden van parameters die een oplossing geschikt maken voor een OTomgeving, nog los van functioneel gedrag. Uiteraard geldt dat ook voor de oplossingen waar we het hier over hebben, maar er zijn zaken die voor de OT cybersecurity volgens ons belangrijker zijn. Denk hierbij aan ondersteuning van OT-specifieke protocollen en Virtual Patching.” Virtual Patching Virtual Patching: wat houdt dat in? Ten Klooster: “Stel je een bestaande PLC of Windows XP workstation voor, zoals eerder genoemd, waarvoor geen beveiligingsupdates meer beschikbaar zijn. Wanneer je dan naar een hoger security level wilt of moet gaan, zou het de enige optie zijn om het apparaat te vervangen. In de praktijk blijkt dit zeker niet altijd mogelijk, alleen al omdat de productieomgeving van deze apparatuur afhankelijk is. Of omdat de gebruikte applicatie niet ondersteund wordt op moderne workstations en Operating Systems. Door zones toe te passen en een IDS of IPS hiervoor te plaatsen, verzorg je de zogenaamde Virtual Patch en is hierdoor een hoger gewenst of noodzakelijk security level bereikt. Dit noemen wij ook wel cell bescherming. De legacy hardware hoeft nu niet meer gepatched te worden, omdat de virusdefinities en signature updates worden doorgevoerd in de IDS of IPS. Deze patch geldt dus voor de hele cell achter deze hardware. Dit kan je handmatig doen, maar ons advies is om dit geautomatiseerd in te richten. Hiervoor is een Security Dashboard Console software oftewel een Network Security Appliance te gebruiken. Hiermee is dan ook een koppeling te maken naar een bestaande SOC/SIEM oplossing. Zo is IT/OT integratie mogelijk op een in onze ogen juiste wijze; IT is betrokken en op de hoogte, maar de controle ligt volledig bij de OT.” Deep Packet Inspection Eerder kwam Deep Packet Inspection ter sprake als technologie voor de aanpak tegen cybercriminaliteit. Is dit dan de sleutel tot de aanpak? “Niet alleen maar DPI” verduidelijkt Ten Klooster, “maar het toepassen van IDS/IPS technologie die in staat is om tot op bit niveau in datapakketten te kijken, is in onze ogen een belangrijke stap voorwaarts.” Maar wat is Deep Packet Inspection nu precies? “We vertelden al iets over het herkennen van datagedrag”, begint Ten Klooster. “Misschien is een voorbeeld op basis van een veel gebruikt OT-protocol als Modbus/ TCP een goed idee: binnen Modbus/TCP zijn er verschillende commando’s verwerkt in de data. Denk aan Read, Write en een combinatie van Read/Write. Door in de data te kijken op bit niveau, kan er actief worden vastgesteld of een bekende en geautoriseerde PLC, bijvoorbeeld een Modbus, een Write pakket verstuurt. Als eerder is bepaald dat deze PLC alleen mag lezen, is dit dus ongewenst gedrag. In de IPS-mode kan zo’n ongewenste actie geblokkeerd worden. In IDS mode wordt in zo’n geval alleen een melding gegeven. Het is dan aan de OTengineer om te bepalen wat hier mee moet gebeuren. Dit is een voorbeeld van een veelgebruikt OT-protocol, maar werkt uiteraard ook voor OT-protocollen als Modbus UDP, Profinet, Ethernet/IP en PLC specifieke protocollen. Natuurlijk breidt deze protocol ondersteuning zich steeds verder uit en zal via de Security Dashboard Console Software beschikbaar worden gemaakt als update.” Moxa cybersecurity oplossing. Aanpak Waarom is een IDS/IPS met DPI-technologie toepassen zo belangrijk? “Traditioneel worden Firewalls ingezet om het netwerk in zones in te delen en zijn deze in staat om alle verkeer van buiten tegen te houden, behalve wat de gebruiker toe wilde staan”, legt Ten Klooster uit. “Dit gebeurt veelal alleen op Ethernet/TCPIP poort niveau. Ondertussen weten we dat de grootste bedreigingen eerder van binnenuit het netwerk komen, waardoor enkel een Firewall niet meer afdoende is. De huidige cyberbedreigingen zijn veel intelligenter. Ze zijn in staat om zich in OT-protocollen te verstoppen. Hierdoor zijn ze alleen te ontdekken door op bit niveau de data te controleren. Een oplossing die gebaseerd is op de Moxa IDS/ IPS biedt een oplossing die schaalbaar en toekomstgericht is. Er is gekozen voor een samenwerking met een leverancier van virus definitie updates en AI-technologie voor het herkennen van software patronen en dan voornamelijk in het ontdekken van afwijkingen hierin. De perfecte cybersecurity oplossing bestaat niet, maar oplossingen die de veiligheid echt verhogen wel, zonder daarbij afbreuk te doen aan systeembeschikbaarheid. Belangrijk voor een OT-omgeving, waarbij mensveiligheid en productie continuïteit van het grootste belang zijn.” 39
40 Online Touch Home