IT en OT groeien steeds meer naar elkaar toe. Dat brengt mogelijkheden en gevaren met zich mee. Op de Secure OT 2020-summit georganiseerd door Fortinet bekijken experts de twee kanten van de medaille.
IT en OT komen steeds meer samen, maar dat wil OT Industry Evangelist Dale Peterson niet zo gezegd hebben. “Ik spreek liever van integratie”, verduidelijkt hij tijdens de Secure OT 2020-summit, digitaal georganiseerd door beveiligingsspecialist Fortinet. “IT en OT zullen op verschillende manieren samenkomen, en dat is een goede zaak.”
Van IT naar OT
Volgens Peterson bestaat er al lang een zekere synergie tussen IT en OT, al is de perceptie vaak anders. “Ethernet, virtualisatie, IDS, antivirus of Windows: van alle technologieën beweerden experts dat ze niet zouden werken in een OT-omgeving. Vandaag zijn ze bijna allemaal standaard. Als er iets gebeurt in de wereld van de business-IT, kan je er vanop aan dat de innovatie twee tot vijf jaar later doorsijpelt naar OT-omgevingen.”
lees ook
Cyberaanvallen verschuiven van IT naar OT: security moet ook mee
Die realiteit maakt dat OT en IT eigenlijk al best dicht bij elkaar staan. Op bepaalde vlakken is integratie vanzelfsprekend, al waarschuwt hij ervoor dat het niet de bedoeling is om alles zomaar onder één dak te proppen.
Integratie, maar met voorwaarden
“Soms zal OT wel degelijk integreren met de enterprise-IT-omgeving”, zegt Peterson. “Denk maar aan beveiliging. Het is al een hele klus om een enkel Security Operations Center (SOC) op te zetten, dus waarom zou je er dan twee uitbouwen? De beveiliging van de OT-omgeving kan best samen met die van de IT-infrastructuur gebeuren.” In die aanpak is één plus één bovendien drie, aangezien het SOC aan de hand van de data in staat is om correlaties te vinden en dreigingen zo sneller te detecteren.
Anderzijds blijft Industrial Control System (ICS) management best wel onder de vlag van OT varen. “Een single source of truth waarin iedereen in de enterprise alle assets kan zien, is een goed idee. Aan de andere kant wil je niet dat enterprise-gebruikers gemachtigd zijn om aanpassingen aan de OT-assets uit te voeren.” Peterson benadrukt dat integratie niet betekent dat iedereen plots overal aankan, integendeel.
OT en de cloud
Verder ziet hij de OT-omgeving steeds meer richting de cloud evolueren, naar analogie met de IT-infrastructuur. “Daar zijn snelle winsten te boeken. Vandaag sturen organisaties al data naar de cloud voor analyse en predictive maintenance.” Volgens Peterson zal de interactie in de nabije toekomst nog een stapje verder gaan. “De cloud kan ook dingen terugsturen. Na de analyse van data is het perfect mogelijk om de configuratie van een toestel lichtjes aan te passen, zodat het efficiënter loopt.”
Die verbinding met de cloud heeft voordelen maar brengt ook risico’s met zich mee. Wanneer een externe omgeving de configuratie van machines kan wijzigen, is beveiliging belangrijker dan ooit. Een extra laag beveiliging is via de cloud binnen handbereik. Peterson spreekt van een digitale tweeling: een virtuele kopie van een machine of een deel daarvan, die gevoed wordt door de parameters van het echte toestel.
Aan de hand van een digitale tweeling kan een systeem anomalieën ontdekken.
Dale Peterson, OT Industry Evangelist
“Aan de hand van die tweeling kan het systeem anomalieën ontdekken. Een combinatie van machine learning, fysica en chemie samen met een veelvoud aan sensordata geeft een computer een duidelijk beeld van wat er gebeurt. Zo kan een beveiligingssysteem situaties herkennen die onwenselijk of onlogisch zijn.”
Geavanceerde detectie
Peterson verduidelijkt met een eenvoudig voorbeeld: “Als een sensor in de wagen registreert dat je het gaspedaal induwt, moet een andere sensor aangeven dat het toerental van de motor stijgt. Gebeurt dat niet, dan is er een sensor stuk, of probeert een hacker je misschien voor gek te houden. Een echte staat waarin je succesvol gas geeft maar het toerental toch daalt, bestaat immers niet.”
De expert verwacht veel van de extra beveiligingslaag en is ervan overtuigd dat ze bijvoorbeeld de Stuxnet-aanval op de Iraanse nucleaire centrifuges had kunnen tegenhouden. “Het Stuxnet-wormvirus kopieerde realistische sensordata en voedde die aan de computer, terwijl de centrifuges op de achtergrond zichzelf stukmaakten. Een combinatie van alle sensordata met een slim digitaal model zou al snel aangeven dat bepaalde data niet tezamen kunnen bestaan.
Machine learning in de plaats van mensen
Peterson gaat nog een stapje verder en pleit er voor klassieke operatoren van ICS te vervangen door machine learning. “Waarom niet? De meeste operatoren voeren afgebakende en repetitieve taken uit. Wanneer ze X zien, moeten ze Y doen. Machine learning kan die taken overnemen en menselijke vergissingen uitsluiten, zodat experts zich kunnen focussen op situaties waarbij er zich wel unieke problemen voordoen.”
lees ook
AI, machine learning en deep learning: wat is het verschil?
Tot slot hoopt de OT-evangelist dat het einde van de stokoude PLC / Controller in zicht is. “Legacy is de standaard vandaag. De dingen zijn erg betrouwbaar, maar onveilig qua design. Ik verwacht dat PLC’s binnenkort gevirtualiseerd zullen worden. Dat maakt eenvoudige en veilige updates mogelijk. Het zorgt er bovendien voor dat machines een stuk weerbaarder zijn tegen cyberaanvallen.”
Het toekomstbeeld van Peterson brengt heel wat mogelijkheden met zich mee, maar ook risico’s. Hoe nauwer de integratie van OT met IT en zelfs de cloud is, hoe groter de kans dat malware tot aan gevoelige machines geraakt.
Segmenteren, segmenteren en segmenteren
“Netwerksegmentering is essentieel”, vindt Antoine d’Haussy, OT Director EMEA bij Fortinet. Tijdens de conferentie zal je niemand vinden die hem daarin tegenspreekt. Segmentering alleen is natuurlijk niet voldoende. D’Haussy pleit verder voor een diepe zichtbaarheid van alle aspecten van de OT-omgeving met strikte toegangscontrole.
Netwerksegmentering is essentieel.
Antoine d’Haussy, OT Director EMEA bij Fortinet
Op de tweede dag van de conferentie gaat Roger Hiestand, Head of IT Security bij Siemens Smart Infrastructure, dieper in op de segmentering en beveiliging die nodig is om een OT-omgeving op een moderne manier veilig te houden. “Ieder systeem moet eerst en vooral in zijn eigen VLAN terecht komen”, weet hij. Daarbij doelt Hiestand niet alleen op machines, maar ook IoT-toestellen. “videobewaking moet niet in hetzelfde netwerk zitten als de toegangscontrole voor de deuren.”
Strakke toegangscontrole
Vervolgens moet je natuurlijk iets met die segmentering doen. “Maak nooit totale trafiek van één zone naar de andere mogelijk. Begin met alles uit te sluiten en laat vervolgens alleen het verkeer toe dat essentieel is. Definieer de systemen die met elkaar mogen praten en de protocollen die daarbij horen.”
lees ook
Fortinet: ‘Eén verkeerde instelling in de cloud kan fataal zijn’
Grijpen we terug naar het toekomstbeeld van Peterson, dan zien we wat hij bedoelt. Een enterprise asset management-systeem mag wel zien welke toestellen er in de OT-omgeving zitten, maar trafiek van de laptop van een IT-ingenieur naar het ICS kan niet de bedoeling zijn. De systemen die wel rechtstreeks met de machines moeten spreken, mogen dat vervolgens enkel doen via gespecifieerde poorten en protocollen. Dat verkleint de kans dat een hacker die toch in het systeem raakt, schade kan aanrichten. Vervolgens moeten de machines rapporteren aan de monitoringsoftware, maar niet meer dan dat. Er is dus geen reden om complexer verkeer toe te laten dan wat hoogstnoodzakelijk is.
Simon Bryden, Manager Consulting Systems Engineer bij Fortinet, bevestigt dat. “Met segmentering en een doordacht beleid dat trafiek beperkt, kom je al een heel eind. Uiteindelijk is OT-beveiliging geen rocket science.”
Mogelijkheden en risico’s
Dat is uiteindelijk de teneur van de conferentie. Er is veel mogelijk in OT, naar analogie met de evoluties in IT, maar de beveiliging loopt nog achter. Legacy maar ook een gebrek aan best practices maakt omgevingen kwetsbaar.
“Vandaag is er zeker meer aandacht voor de beveiligingsproblematiek”, sluit Peterson af, “maar ik denk niet dat de dreiging echt veel groter is. Er wordt veel geklopt op de deur van firewalls, maar aanvallen zijn maar heel zelden erg gericht. Soms gebeurt het wel, zoals bij Stuxnet in Iran of de aanval op het elektriciteitsnetwerk in Oekraïne, maar we zijn ons vandaag vooral meer bewust van de mogelijkheid van de dreiging.”
Volgens de experts is het risico echter perfect beheersbaar, en dat zonder je OT-omgeving af te schermen van de moderne wereld en innovaties te laten passeren. Modernisering en risicobeheersing gaan echter hand in hand: wie zijn OT-omgeving aan de IT-infrastructuur hangt en geen maatregelen neemt, zal vroeg of laat wel tegen de lamp lopen.