OT Cybersecurity 101: Een essentiële gids voor securityteams

Leestijd: 13 minuten

Categorie: Industrial Technology

Voor veel IT’ers voelt OT-security als iets vaags en ingewikkelds. Er wordt vaak gedacht dat OT-systemen net zo werken als IT-systemen, simpelweg omdat ze ook IP-adressen hebben.

En hoewel dat in bepaalde opzichten klopt, zijn er wel degelijk grote verschillen die OT en IT echt van elkaar onderscheiden.

Maar eerst: wat is OT-security eigenlijk?

Operational Technology (OT) gaat over de hardware en software die fysieke systemen aansturen, zoals machines in fabrieken, elektriciteitsnetten of medische apparatuur in ziekenhuizen. Waar IT vooral draait om data en gebruikersdiensten, richt OT zich juist op het draaiend houden van processen en het leveren van tastbare producten of diensten.

Als IT eruit ligt, kunnen veel bedrijven nog wel even door. Maar als OT uitvalt, kan dat veel grotere gevolgen hebben: van stilstaande productielijnen tot fysieke schade of zelfs levensgevaar. Denk bijvoorbeeld aan schepen of ziekenhuizen, waar systemen zoals zuurstofgeneratoren, insulinepompen, liften of hart-longmachines allemaal onder OT vallen.

Benieuwd naar meer verborgen OT risico’s? In deze aflevering van Threat Talks laten we zien hoe onder andere luchthavens, ziekenhuizen, havens en watersystemen doelwit kunnen zijn.

IT versus OT-security

Als je kijkt naar de verschillen tussen IT en OT, zie je dat ze andere dingen belangrijk vinden als het gaat om wat een systeem waardevol maakt. In IT werken we meestal met het CIA-model: Confidentiality, Integrity en Availability. OT gebruikt juist SRP: Safety, Reliability & Performance. Hoe verder je opschuift van IT richting OT en dan naar ICS (Industrial Control Systems), hoe belangrijker SRP wordt en hoe minder de focus ligt op CIA.

Er zit ook een groot verschil in de levensduur van apparaten. IT-apparatuur gaat meestal zo’n drie tot vijf jaar mee. OT-apparaten blijven vaak 25 tot 30 jaar in gebruik. De investering in OT is vaak flink, nog los van alle tijd en moeite die het kost om een nieuwe productielijn operationeel te krijgen. Denk aan nieuwe processen, aangepaste procedures, connectiviteit, training van personeel, noem maar op.

Daarom veranderen IT-omgevingen snel en zijn ze constant in beweging. Stabiliteit is mooi meegenomen, maar geen harde eis. OT-omgevingen zijn juist gebouwd om jarenlang stabiel en onafgebroken te draaien, vaak 24 uur per dag, 7 dagen per week.

De uitdagingen van OT-security

OT-leveranciers hechten veel waarde aan betrouwbaarheid en voorspelbaarheid. Alles wat de stabiliteit of prestaties van hun systemen kan beïnvloeden, is meestal niet toegestaan.

Het gaat vaak niet alleen om wat je níét mag doen, maar juist ook om een vaste lijst van wat je wél mag doen. Als je daarvan afwijkt, kun je het risico lopen dat garanties komen te vervallen, contracten worden verbroken of de aansprakelijkheid verschuift.

Zelfs als veranderingen wél zijn toegestaan, zoals het installeren van securitysoftware, blijkt in de praktijk dat veel moderne oplossingen niet goed werken in een OT-omgeving. Veel OT-apparaten draaien nog op oude besturingssystemen die niet worden ondersteund door de meeste moderne security tools.

Belangrijk om te onthouden: de meeste OT-systemen die nu nog gebruikt worden, zijn meer dan 20 jaar geleden ontworpen. Toen was security simpelweg geen prioriteit. Dingen die we nu heel normaal vinden zoals authenticatie, encryptie of automatische updates, bestonden toen vaak nog niet.

Wat dit betekent voor het beveiligingen van OT-omgevingen

Het beveiligen van OT-omgevingen is een stuk ingewikkelder dan simpelweg IT-security tools inzetten. Zo is het vaak niet toegestaan om bijvoorbeeld een EDR-oplossing direct op OT-apparaten te installeren. Zulke tools kunnen de werking van de apparatuur verstoren, waardoor je de garantie kwijtraakt en je niet meer zeker bent van de veiligheid of beschikbaarheid van het systeem.

De meeste OT-leveranciers staan ook geen oplossingen toe die ‘inline’ in het netwerkverkeer zitten, zoals Intrusion Prevention Systems. Elke mogelijke verstoring van het communicatie pad kan de betrouwbaarheid van het systeem aantasten. Daarom worden OT-security tools meestal ingezet in een TAP-configuratie (Test Access Point). Dit betekent dat ze passief meeluisteren met het netwerkverkeer, zonder dat ze dat verkeer beïnvloeden. Ze geven waarschuwingen als er iets verdachts gebeurt, maar kunnen bedreigingen niet direct blokkeren. Het is dan aan het OT-security team om zelf onderzoek te doen en actie te ondernemen.

Daar komt nog bij dat veel OT-protocollen, zoals Modbus, DNP3 en BACnet, al tientallen jaren bestaan en geen basisvoorzieningen hebben zoals authenticatie of encryptie. Daardoor zijn ze kwetsbaar voor spoofing, interception en manipulatie.

Ook de netwerkstructuur vormt een risico. Veel OT-netwerken zijn ‘plat’: alle apparaten zitten op hetzelfde netwerksegment, zonder segmentatie of isolatie. Als een aanvaller eenmaal binnen is op één apparaat, is het vaak eenvoudig om zich verder door het netwerk te bewegen.

Tot slot werken veel locaties samen met externe partijen voor onderhoud. Die leveranciers gebruiken vaak verouderde tools om op afstand toegang te krijgen, niet omdat ze dat graag willen, maar omdat de OT-systemen simpelweg geen moderne oplossingen ondersteunen.

Nu IT en OT steeds meer met elkaar verbonden raken, verdwijnt de oude ‘air gap’ die vroeger voor enige bescherming zorgde. Daardoor kunnen IT-dreigingen nu makkelijker overspringen naar OT, terwijl traditionele beveiligingsmaatregelen zoals IPS en EDR daar vaak niet toepasbaar zijn.

OT-security, stap voor stap

OT beveiligen is niet makkelijk, maar zeker niet onmogelijk. Met een gestructureerde aanpak in lagen kun je al veel bereiken.

Laten we deze gestructureerde aanpak laten zien aan de hand van de OT-beveiliging voor een bedrijf dat verschillende appel producten produceert.

Voorbeeld: Apple Mania

Apple Mania is een bedrijf dat appels koopt en deze verwerkt tot allerlei verschillende producten. Enkele van deze producten zijn:

Voedingsmiddelen en dranken

  • Appelsap en cider – Versgeperst appelsap, gefilterd of troebel, en alcoholische appelcider (hard cider).
  • Appelazijn – Gefermenteerde appelazijn voor gebruik in de keuken, voor gezondheidsdoeleinden en voor schoonmaakdoeleinden.
  • Gedroogde appelsnacks – Gedehydrateerde appelringen of -chips, eventueel met smaakstoffen (kaneel, honingglazuur, chocoladelaagje).
  • Appeljam en -confituur – Appelboter, appeljam of gemengde vruchtenpasta’s.
  • Appelmoes – Glad of met stukjes, gezoet of ongezoet, voor directe consumptie of babyvoeding.
  • Zoetwaren op basis van appel – Gekonfijte appels, met karamel omhulde appels, appelvruchtenleer of appelgummies.
  • Appelwijn en -brandewijn – Gefermenteerde appelwijn of gedistilleerde appelbrandewijn (bijv. Calvados).
  • Appelpoeder – Gedroogd appelpoeder voor bakken, smoothies of supplementen.

Gezondheids- en welzijnsproducten

  • Appelextract voor supplementen – Polyfenolrijk appelextract voor antioxidanten en supplementen voor een gezond hart.
  • Appelpectinepoeder – Pectine gewonnen uit appelschillen voor een gezonde spijsvertering en als natuurlijk geleermiddel.
  • Appelvezel supplementen – Vezelrijk poeder voor een gezonde darmflora en dieetproducten.

Cosmetica en huidverzorging

  • Huidverzorging op basis van appel – Appelextract voor gezichtsmaskers, serums en lotions met anti-aging en verhelderende eigenschappen.
  • Haarverzorging met appel – Shampoos, conditioners en hoofdhuidbehandelingen met appelazijn.
  • Zeep en kaarsen met appelgeur – Natuurlijke zeep, badbruisballen en geurkaarsen op basis van appel.

Industriële en milieuvriendelijke producten

  • Bioplastic op basis van appels – Appelpulp en -vezels voor biologisch afbreekbare verpakkingen en wegwerpartikelen.
  • Biomassa uit appelafval voor energie – Fermentatie van appelafval om bio-ethanol of biogas te produceren.
  • Natuurlijke kleurstoffen op basis van appels – Appelschillen en -extracten voor textiel- of cosmetische kleurstoffen.

Om de productie van al deze producten te ondersteunen, hebben ze een slimme online omgeving gebouwd voor orderverwerking. Klanten plaatsen bestellingen online en de afhandeling gebeurt grotendeels automatisch.

Achter de schermen is het productieproces behoorlijk complex, verdeeld over meerdere stappen:

  • Ontvangst en opslag (in zuurstof gereguleerde ruimtes)
  • Kwaliteitscontrole (beschadigd fruit wordt eruit gefilterd)
  • Wassen (pesticiden worden verwijderd)
  • Persen (sap wordt uit de appels gehaald)
  • Optimalisatie (afval wordt hergebruikt in andere producten)
  • Afvalbeheer (restafval minimaliseren en omzetten in biomassa)
  • Verpakking (per productielijn geïntegreerd)
  • Opslag (zodat ze snel kunnen leveren)

Elke fase gebruikt apparatuur die continu moet worden gemonitord, ingesteld en aangestuurd. Sommige systemen zijn sterk met elkaar verbonden, andere werken meer los van elkaar, maar uiteindelijk moet alles soepel samenwerken.

De vraag is dan: hoe beveilig je zo’n complexe en onderling verbonden OT-omgeving?

Step 1: Know your assets, define your protect surfaces

Bij het toepassen van Zero Trust in OT-omgevingen begin je met het beveiligen van zogeheten DAAS-elementen. DAAS staat voor Data, Assets, Applications en Services.

Voor Apple Mania kun je de verschillende productiefasen zien als afzonderlijke DAAS-elementen. Elk vormt een protect surface: een duidelijk afgebakend deel van het proces dat je los moet beveiligen.

  • Appel opslag, die onafhankelijk van andere processen werkt
  • Kwaliteitscontrole, die appels filtert en de output apart opslaat
  • Wassen, waarbij appels na de kwaliteitscontrole worden voorbereid en kunnen worden bewaard voor verdere verwerking
  • Persing, waarbij appels worden omgezet in sap en het sap in grote containers wordt opgeslagen
  • Afvalbeheer, waarbij bijproducten van de persing in batches worden verwerkt
  • Verpakking, waarbij sap uit de opslag wordt verpakt voor distributie
  • Opslag, waarbij eindproducten worden opgeslagen met inachtneming van de houdbaarheid

Elk van deze zones vormt een logische grens met eigen inputs, outputs en risico’s. Door deze zeven protect surfaces te definiëren, kan Apple Mania per zone gerichte securitymaatregelen nemen, afgestemd op wat daar precies gebeurt en wat er beschermd moet worden.

Step 2: Transaction flows

In een traditionele OT-omgeving delen alle protect surfaces meestal hetzelfde netwerk. Dat betekent dat als een aanvaller één OT-apparaat weet te hacken, die via lateral movement ook toegang krijgt tot alle andere apparaten.

Om dit te voorkomen zijn er drie belangrijke stappen om de communicatie tussen protect surfaces te beperken:

  1. Toegang tot de OT-omgeving moet beperkt worden tot vooraf goedgekeurde en duidelijk gedefinieerde flows. Dit betekent dat er een firewall tussen IT en OT moet staan, die pakketinspectie doet en IPS-functionaliteit heeft.
  2. Toegang van het ene protect surface naar het andere moet ook beperkt zijn tot goedgekeurde flows, afgedwongen door firewalls tussen productielijnen met IPS aan.
  3. Elke fase moet op zijn eigen fysieke infrastructuur draaien, met aparte switches.

Deze aanpak zorgt voor de beste bescherming, omdat:

  • Toegang van IT naar OT veel lastiger wordt; gebruikers moeten de juiste identiteit en locatie hebben om verbinding te maken.
  • Als één protect surface wordt gehackt, wordt het een stuk moeilijker om verder te bewegen naar een ander, omdat ze geïsoleerd zijn.
  • Een storing in de fysieke infrastructuur raakt alleen dat specifieke protect surface.
  • Externe leveranciers die aan één productielijn werken, kunnen per ongeluk geen andere lijnen verstoren.

Met deze aanpak bouw je effectief een Distributed Control System (DCS), zoals het Purdue model beschrijft. Een DCS is een verzameling geïsoleerde systemen die een specifiek proces aansturen. Denk aan HMI’s (Human Machine Interfaces), PLC’s (Programmable Logic Controllers) en apparaten zoals sensoren en pompen.

Bron: https://medium.com/@srank2000/industry-4-0-security-iiot-iot-ot-scada-purdue-model-of-industrial-network-architecture-d86c70f06c74

Wat we hiermee nog niet hebben behandeld, is lateral movement binnen een protect surface zelf. De vraag is of het de moeite waard is om hier iets aan te doen. Meestal geldt namelijk dat wanneer een deel van een DCS of protect surface wordt aangetast, de hele lijn toch al stilgelegd moet worden omdat die niet meer werkt.

Step 3: Controls & architecture

Nu de protect surfaces en transaction flows zijn vastgesteld, hebben we een duidelijk overzicht van elke productielijn en de onderlinge interacties. Tot nu toe zijn er nog geen veranderingen aan de infrastructuur gedaan. Deze fase draait vooral om het vastleggen van de scope en de vereisten.

De vereisten voor OT-systemen lijken vaak op die van IT, maar OT-leveranciers leggen soms beperkingen op. Zo staan de meeste OT-systemen bijvoorbeeld niet toe dat je antivirus, EDR- of XDR-oplossingen installeert. Je kunt deze toch als ‘vereiste controls’ opnemen, met de wetenschap dat de daadwerkelijke implementatie nu nog niet mogelijk is. Daardoor ontstaat er een ‘gap’ tussen wat je wilt en wat nu kan.

Ook al kun je sommige controls nog niet toepassen, het is belangrijk ze op papier te zetten. Misschien kun je die gap in de toekomst wel dichten.

Met je lijst van vereiste controls (zoals disk encryption, SSL inspection, hardened hardware en centralized logging) kun je beginnen met het ontwerpen van de architectuur voor elke protect surface en productielijn.

Dat kan betekenen dat je de fysieke infrastructuur opnieuw moet inrichten of tools anders moet inzetten. Soms is directe implementatie nog niet haalbaar, en dat is geen probleem. Het doel is om eerst te bepalen welke verbeteringen mogelijk zijn met wat er nu is, voordat je investeert in nieuwe hardware of software.

Step 4: Policy enforcement

Zodra de controls helder zijn, is het tijd om ze zo in te stellen dat ze het beleid afdwingen. Een inventaris van alle OT-apparaten helpt hierbij. Zo kun je firewallregels maken op basis van apparaat type in plaats van alleen IP-adressen. Een firewallbeleid kan bijvoorbeeld monitoring toestaan voor specifieke PLC’s die de vulsnelheid van sap verpakkingen regelen, zonder dat ze toegang krijgen tot andere PLC’s. Dit zorgt voor een gedetailleerd en dynamisch beleid dat automatisch meebeweegt met de live omgeving en up-to-date blijft.

Communicatieprotocollen

Een grote uitdaging in OT-security is het monitoren en beheren van berichten die via protocollen zoals S7 en Modbus lopen. Machine learning kan helpen door ‘normal commands’ te leren en allowlists op te stellen.

Maar er zitten haken en ogen aan. Als een allowlist niet alle noodzakelijke acties bevat, ontstaan problemen. Stel dat ‘shutdown’ nooit in de leerperiode zat, hoe regel je dan een geplande onderhoudsstop? En als ‘start’ en ‘stop’ beide zijn toegestaan, hoe weet je dan of er misbruik wordt gemaakt, bijvoorbeeld door het herhaaldelijk starten en stoppen van de lijn?

Hoewel zulke gedetailleerde controles ideaal lijken, zijn ze vaak duur en tijdrovend, zonder dat ze veel opleveren. Vaak hebben andere, eenvoudigere en goedkopere maatregelen een grotere impact op de security en vragen ze minder moeite.

Step 5: Monitor & maintain

Nu je omgeving veerkrachtiger en weerbaarder is, en je een antifragile architectuur hebt ingevoerd, is het tijd om te zorgen voor goede monitoring en onderhoud. De logs die je controls genereren, moeten worden gecontroleerd, het liefst via geautomatiseerde systemen.

Alle wijzigingen in de productielijn of de protect surfaces moeten getoetst worden aan de eerder vastgestelde vereisten. Daarbij moet bewijs worden geleverd dat ze nog steeds passen binnen de ontworpen infrastructuur.

Hier komt ook het monitoren van OT-berichten om de hoek kijken. Hoewel proactieve ‘inline’ preventie lastig kan zijn, is het wel goed mogelijk om OT message logs te bekijken voor alerts. Zo kun je problemen vroeg signaleren zonder dat je kritieke processen verstoort.

De kern van OT-security

OT-omgevingen beveiligen is complex, maar door het stap voor stap aan te pakken wordt het overzichtelijk. Inzicht in je assets, het creëren van duidelijke protect surfaces, realistische controls, nauwkeurig beleid en het blijven monitoren vormen samen een stevige basis.

Hoewel OT-security anders is dan IT-security en zijn eigen uitdagingen heeft, zorgt een gelaagde en doordachte aanpak ervoor dat je systemen goed beschermd zijn zonder de bedrijfsvoering te verstoren.

Met de juiste strategie kun je een OT-omgeving vandaag de dag veilig en betrouwbaar maken, en makkelijk mee laten groeien met nieuwe technologieën en dreigingen.