De unieke eisen van OT-omgevingen invullen is een uitdagende taak voor traditionele Security Operations Centers (SOC’s). Nu cyberdreigingen zich steeds vaker richten op deze kritieke systemen, is de behoefte aan gespecialiseerde OT security nog nooit zo groot geweest. Maar waarom zijn traditionele SOC’s niet voldoende afgestemd op OT? Wat maakt OT security zo anders?
Werken in Detection and Response is een van de moeilijkste rollen in de cybersecurity-industrie. Hoewel de theorieën er goed uitzien op papier, is de realiteit op de werkvloer een ander verhaal. Het is een wereld vol onzekerheid en ambiguïteit. De cybersecurity-gemeenschap heeft zich over de jaren heen gerealiseerd dat OT security een heel andere uitdaging is, dat een nieuwe manier van denken vereist. Naarmate bedreigingen steeds geavanceerder worden en steeds vaker gericht zijn op cyber-fysieke systemen, wordt het duidelijk dat beveiligingsactiviteiten in OT innovatie nodig hebben.
1. De uitdaging vaan geconvergeerde IT- en OT-gegevens
Het misvatting tussen OT en IT security komt voort uit de convergentie van IT- en OT-systemen in moderne industriële omgevingen. Alle IT- en OT-waarschuwingen centraliseren in één Security Information and Event Management (SIEM)-systeem lijkt een goed idee. De meeste cyberaanvallen zijn namelijk gericht op een IT-component. Hoewel OT misschien niet het primaire doelwit is, kan het nog steeds lijden onder de gevolgen van een ongecontroleerder IT-aanval.
Het interpreteren van OT-waarschuwingen vormt echter een complexe uitdaging waardoor waarschuwingen vaak over het hoofd worden gezien of onvoldoende worden onderzocht. Dit is vooral het geval bij enterprise-level SOC’s, waaronder Managed Security Service Providers (MSSP’s) en Managed Detection and Response (MDR)-providers. Het aantal dagelijkse waarschuwingen kan bij hen oplopen tot duizenden. Deze hoeveelheid alleen al zorgt voor een sterke neiging om waarschuwingen te minimaliseren of te negeren, wat de voordelen van convergentie ondermijnt. Idealiter zouden SOC’s kwaliteitsvolle OT-waarschuwingen moeten ontvangen, waarbij verschillende signalen worden gegroepeerd tot een waardevol inzicht. Dit zorgt voor een beter begrip van de wisselwerking tussen IT en OT, terwijl het ook sneller potentiële OT-bedreigingen aanpakt.
2. IT-detecties en een OT-netwerksensor zijn niet genoeg
De berg aan gegevens die SecOps-tools produceren, kan overweldigend zijn voor security-analisten en threat/incident responders. Een OT-netwerksensor toevoegen aan je stack is niet alleen onvoldoende; het kan ook een averechts effect hebben. De extra gegevens van deze sensoren kunnen de capaciteit van al overbelaste teams overschrijden. Dit maakt het voor hen moeilijk om waarschuwingen effectief te contextualiseren en erop te reageren. Kritieke onderdelen, zoals technische werkstations, draadloze IoT-protocollen en het monitoren van procesafwijkingen, blijven onderbelicht. Dit maakt organisaties kwetsbaar voor aanvallen op hun cyber-fysieke systemen.
De beveiliging van OT-omgevingen moet verder gaan dan enkel traditionele IT-detectie en netwerksensoren. Door uitgebreide OT security-maatregelen te implementeren, verkrijgen SOC’s waardevolle inzichten, in plaats van enkel ruwe data. Dit kan de kwaliteit en doeltreffendheid van hun beveiligingsactiviteiten aanzienlijk verbeteren en leiden tot vooruitgang in hun OT security-strategieën.
3. De cruciale rol van deskundig personeel
De meeste MSSP’s en interne SOC’s hebben een achtergrond in IT. Daardoor zijn hun tools, processen en technische expertise gestoeld op IT-principes. Dit kan leiden tot een situatie waarin SOC’s regelmatig waarschuwingen doorsturen naar OT-teams, zonder aanvullende details. Dit maakt het moeilijk om effectief in te spelen op de specifieke behoeften van OT-systemen en –infrastructuur.
Voor OT-engineers is de kloof tussen IT en OT groot. De vereisten voor beschikbaarheid, veerkracht en praktische toepasbaarheid liggen mijlenver uit elkaar. De leveranciers en producten moeten ontzettend specifiek zijn. Zonder diepgaande expertise in OT wordt het onmogelijk om waarschuwingen te interpreteren, ze te koppelen aan relevante incidenten en responsplannen op te stellen. Deskundig personeel beschikt over de gespecialiseerde kennis en vaardigheden die nodig zijn voor OT security. Ze werken nauw samen met OT-engineers om waarschuwingen nauwkeurig te interpreteren en doeltreffend te reageren op bedreigingen.
4. De kloof tussen IT en OT overbruggen
De unieke uitdagingen van OT-risicodetectie en -respons hebben alomvattende oplossingen op maat nodig. Die onderscheiden zich van traditionele SOC’s doordat ze vlot navigeren doorheen OT-omgevingen en de unieke beveiligingsbehoeften van industriële systemen begrijpen. Van het interpreteren van complexe waarschuwingen tot het beheren van gespecialiseerde werkstations.
De juiste OT security-oplossing helpt SOC’s onnodige ruis te filteren en geeft prioriteit aan echte inzichten. Dit vermindert de overbelasting van gegevens, voorkomt verkeerde interpretaties van waarschuwingen en benut gespecialiseerd personeel optimaal. Zo zijn uw OT-omgevingen beschermd tegen evoluerende cyberbedreigingen.
Dit is ingezonden bijdrage van SoterICS. Voor meer informatie over hun oplossingen, kan je hier terecht.