IT-security hebben we met z’n allen inmiddels redelijk voor elkaar, betoogt Arjan Aelmans van Fortinet. Voor OT-security geldt dat niet. Waarom is dat eigenlijk? En hoe ga je hier wel goed mee aan de slag? Een gesprek over ISA/IEC 62443, het Purdue-model, Zero Trust, Fortinet’s Security Fabric en meer.
We besteden hier op Techzine al geruime tijd best veel aandacht aan OT-security, het beveiligen van operationele systemen en omgevingen. Denk hierbij aan medische apparatuur, maar ook machines in fabrieken en PDU’s en koelers in datacenters. Dit doen we niet voor niets, want dat is ook echt nodig. Met name ransomware zorgt tegenwoordig voor behoorlijk wat incidenten. We berichtten recent bijvoorbeeld nog over een grote haven in Japan (met een uitgestrekte OT-infrastructuur) die volledig platlag na een dergelijke aanval.
Al met al kun je gerust spreken van een ondergeschoven kindje als we het hebben over OT-security. De industrie heeft zich vooral heel erg druk beziggehouden met IT-security de afgelopen decennia. Dat was op zich ook nodig, maar het betekende ook dat OT-security op de achtergrond bleef. Dat moet dus zeker met het oog op de komst van NIS2 echt gaan veranderen.
Convergentie tussen IT en OT: actie is nodig
IT en OT bewegen steeds dichter naar elkaar toe, eigenlijk al sinds het midden van de jaren ’90, constateert Aelmans. Hij is bij Fortinet werkzaam als Specialist Systems Engineer – Operational Technology en werkt in Nederland al zo’n 23 jaar in deze industrie. Met name in specifieke sectoren zoals de maakindustrie is het onderscheid tussen IT en OT op het gebied van de inrichting van de infrastructuur vrijwel volledig verdwenen, geeft hij aan. Dat houdt in dat OT in dat soort omgevingen blootgesteld wordt aan dezelfde bedreigingen als IT.
Aelmans constateert echter dat deze implicatie van de convergentie tussen OT en IT lange tijd niet op de radar stond bij organisaties. “Ik schrik als ik naar OT-security kijk”, geeft hij dan ook aan. “De meeste bedrijven staan nog aan het begin van hun reis binnen OT-security”, vervolgt hij. Daar moet dus verandering in komen. Een partij zoals Fortinet speelt hier vanzelfsprekend ook een rol in. Net als in andere landen is ook in Nederland een team actief dat 100% focus heeft op OT-security. Dit moet de klanten begeleiden tijdens de hierboven aangehaalde reis.
Er is al lang een OT-security practice in EMEA en Fortinet als geheel is al meer dan tien jaar bezig met dit thema. Vorig jaar heeft het bedrijf OT-security als strategisch aangemerkt. Dat houdt in dat er nog meer focus op komt dan voorheen al het geval was. Dit is volgens Aelmans een goed initiatief. Hij verbaast zich nog bijna iedere dag hoeveel er op dit punt beweegt binnen Fortinet. Het is goed om te horen, ook vanuit de markt, dat grote spelers zoals Fortinet hier nog serieuzer mee aan de slag gaan.
Probleem met meerdere lagen
OT-omgevingen zijn zoals aangegeven fundamenteel anders dan IT-omgevingen. Ze zullen ook om andere redenen doelwit zijn van bijvoorbeeld ransomware-aanvallen. Bij dergelijke aanvallen op IT-omgevingen, gaat het meestal om het versleutelen van data en het losgeld dat hiervoor betaald moet worden. Geldelijk gewin speelt echter niet altijd een rol bij ransomware-aanvallen op OT-omgevingen. Daar wordt het ingezet als een cyberwapen, om bepaalde processen stil te leggen, geeft Aelmans aan. Als dat het doel is, dan zoeken aanvallers de meest efficiëntie manier. Dat is doorgaans via de supply chain en OT-omgevingen.
De convergentie tussen IT en OT heeft het de aanvallers op ten minste twee manieren makkelijker gemaakt voor aanvallers om organisaties te treffen via OT-omgevingen. Allereerst is er wat Aelmans de “enorme explosie van remote access” noemt. Deze remote access vindt niet zelden plaats buitenom de IT-omgeving. Dat wil zeggen, je kunt van buitenaf rechtstreeks met OT-apparatuur communiceren, zonder dat je door de beveiligingslagen van de IT-omgeving heengaat. Je zit dan meteen op de process- en control-lagen van het Purdue-model. Deze twee lagen zijn de basis van dat model, waar sensoren, actuatoren, PLC’s (Programmable Logic Controllers), maar ook zaken als Human Machine Interfaces (HMI) en SCADA-systemen te vinden zijn. Daarboven komen zaken zoals iDMZ (industrial Demilitarized Zone), maar ook ERP en databases en uiteindelijk ook het netwerk van de organisatie als geheel.
Als remote access op OT-omgevingen buitenom IT-omgevingen plaatsvindt, dan zouden de security controls eigenlijk op de OT-apparatuur aanwezig moeten zijn. Dat is echter vaak niet het geval. Security is van oudsher geen aandachtspunt voor fabrikanten van OT-apparatuur, geeft Aelmans aan. Daarbij komt ook nog eens dat bijvoorbeeld de automation managers en process analysts binnen organisaties, die zich veel bezighouden met de OT-omgevingen, ook geen focus hebben op security. “Die mensen zijn bezig met availability, niet met security”, stelt hij.
Kan IT-security dan helemaal niets doen voor OT-security? “Je hoort heel vaak een stellig ‘nee’ als antwoord op deze vraag, maar in de praktijk is er best veel overlap”, geeft Aelmans aan. Je kunt veel doen boven de onderste twee lagen van het Purdue-model om de security van OT-omgevingen te verbeteren. Het houdt voor hem op achter de ethernetpoort van een PLC of een HMI. Dat is de wereld van de eerdergenoemde automation managers en process analysts. Daar heeft IT en dus ook IT-security niets te vertellen, kort door de bocht gesteld. Tot dat punt is het echter heel belangrijk om heel diep in het verkeer te kunnen kijken en, waar nodig en toegestaan, ook in te grijpen in het geval van een cybersecurityincident.
ISA/IEC 62443 als vertrekpunt
Aelmans geeft tijdens ons gesprek aan dat hij een grotere sense of urgency had verwacht, vooral vanwege de NIS2 die eraan komt. Dat gaat zo’n 12.000 bedrijven raken binnen Nederland en heeft behoorlijk wat gevolgen voor OT-security. Wellicht dat dit deels komt doordat de wetgeving er nog niet is, dus het is nog onmogelijk om aan compliance te werken. Aan de andere kant ziet Aelmans echter ook dat er een grote bereidheid in de markt is om samen te werken en te integreren met de Fortinet Security Fabric (lees hier een uitgebreid artikel daarover).
Het gaat dan met name om security automation. Daar is lange tijd weinig over gesproken, geeft hij aan, maar daar komt verandering in. Dat moet ook wel. “Ik zag laatst een voorbeeld van een aanval waarbij er niet meer dan zes seconden tussen breach en de eerste laterale beweging zat”, illustreert hij de noodzaak. Dan moet je toch echt enige vorm van automation in je security infrastructuur hebben. Vooraf goed naar de integratiemogelijkheden kijken van producten en oplossingen, ook op het gebied van OT, is dan ook zeker aan te raden, volgens Aelmans.
Onderaan de streep ben je er echter niet met de aanschaf van goede tooling. Het is ook belangrijk dat je de boel op een holistische manier goed inricht. Dit gebeurt doorgaans aan de hand van certificeringen. In de OT-wereld is de ISA/IEC 62443-standaard een ijkpunt wat dat betreft. Dit is een standaard die specifiek is gericht op cybersecurity in OT-omgevingen, doorgaans aangeduid als IACS (Industrial Automation & Control Systems). Het draait hierbij niet alleen om de technologie, maar ook de menselijke component speelt een rol en natuurlijk zaken zoals beleid en procedures. Let wel het is een systematische en praktische aanpak rondom cybersecurity, geen garantie dat er niets kan gebeuren.
Belangrijke praktische stappen richting een veilig OT-landschap
Een standaard zoals ISA/IEC 62443 en de schematische wereld van het Purdue-model zijn op zich goed om zaken in perspectief te kunnen plaatsen. In de praktijk willen veel organisaties toch graag wat meer concrete zaken hebben om zich aan vast te houden. Op dat vlak heeft Aelmans ook de nodige adviezen.
Als je ISA/IEC 62443 als vertrekpunt neemt, begint het allemaal met weten welke assets verbonden zijn met je OT-infrastructuur, en wat hun kwetsbaarheden zijn. Weet je dat niet, dan kun je nooit voldoen aan de standaard. Het is dus zaak om met tooling van partijen zoals Claroty of Nozomi Networks dit inzicht en overzicht te krijgen. Daarna kun je naar segmentatie en microsegmentatie kijken, want je weet immers precies wat je hebt. Je kunt dan ook bepalen welke assets verbinding mogen maken met elkaar en welke niet. Vanuit Fortinet is hier veel expertise in, geeft Aelmans aan.
De volgende stap is het inrichten van een robuuste iDMZ. Hiermee scherm je IT af van OT en migreer je alle remote access verbindingen binnen de OT-omgeving naar een enkel punt binnen de architectuur. Je kunt deze dan centraal beheren en monitoren. Dit noemt Aelmans na het in kaart brengen van de assets en segmenteren “absoluut prioriteit nummer drie”. Hij heeft het daar dan ook erg druk mee. “Bedrijven snappen dit ook heel goed”, geeft hij aan, “we hoeven ze niet over te halen om dit te doen”. Het is ook niet enorm ingewikkeld, als je het project eromheen vooraf duidelijk definieert. Nadat je deze iDMZ hebt ingericht, kun je er eventueel nog een extra laag overheen leggen rondom toegangsrechten. Fortinet zelf heeft FortiPAM voor dit zogeheten Privileged Access Management. Heb je dit gedaan, dan “ben je goed onderweg”, volgens Aelmans.
Zero Trust voor OT-omgevingen
Als je het hebt over access management, heb je het ook al snel over identiteiten. Dat is dan ook de volgende prioriteit. Het gaat dan concreet om Zero Trust. “We moeten dit ook echt doortrekken naar OT, omdat ook hier identiteit een belangrijke rol speelt”, legt Aelmans uit. Zero Trust klinkt over het algemeen als een overkoepelende visie, maar het concept speelt op meerdere niveaus. Denk hierbij aan het splitsen van authenticatiedomeinen. Dat wil zeggen, gebruik geen authenticatieservers voor OT die je ook voor IT gebruikt. Daarnaast moet je kijken naar role-based access, om te bepalen wie waar wanneer bij mag. In het verlengde daarvan ligt MFA. Dan weet je ook zeker dat de rollen die toegang krijgen, ook zijn wie ze zeggen te zijn. Deze onderdelen zijn allemaal onderdeel van een Zero Trust-strategie
Met MFA moet je overigens wel voorzichtig zijn, waarschuwt Aelmans. Met name in OT-omgevingen kan het snel om mensenlevens gaan als er iets fout gaat. Hij noemt als voorbeeld het gevaar van een chloorwolk, die kan ontstaan in een OT-omgeving waar dit goedje aanwezig is. Dan duurt MFA simpelweg te lang om in te grijpen en moet je een override-mogelijkheid hebben.
Onderaan de streep is Zero Trust voor Aelmans niet zo heel ingewikkeld: “Het is het verwijderen van implicit trust in de infrastructuur.” Om te illustreren wat hij hiermee bedoelt, geeft hij het volgende voorbeeld: “Als ik ergens een netwerkkabel inprik, moet het niet normaal zijn dat dat apparaat meteen een IP-adres krijgt.” Voor OT-apparaten, die niet meteen ontwikkeld zijn met cybersecurity in het achterhoofd, zou dat al een heleboel schelen. Je hebt dan in ieder geval geen apparaten op het netwerk die eigenlijk niet verbonden zouden moeten zijn, maar dat per ongeluk toch zijn. Je kunt deze pas een IP-adres toewijzen op het moment dat het veilig is om dit te doen, bijvoorbeeld als resultaat van een NAC (Network Access Control)-proces.
Welke rol speelt Fortinet binnen OT-security?
We haalden hierboven al even gedeeltelijk aan welke rol Fortinet voor zich ziet als het gaat om OT-security. Uiteraard speelt de al eerder aangehaalde Security Fabric hierin een belangrijke rol. Dat is uiteindelijk waar de securitymarkt als geheel naartoe beweegt. Het zou gek zijn als OT-security daar geen onderdeel van uitmaakt. De Security Fabric is daarnaast ook in de basis agnostisch. “Het biedt je de mogelijkheid om te gebruiken wat je al hebt en maakt het makkelijker richting de toekomst om additionele producten toe te voegen, zonder de beheerlast te verhogen”, vat Aelmans het samen. Uiteraard ziet hij het liefst dat je zoveel mogelijk producten van Fortinet in de Security Fabric opneemt, maar het hoeft dus niet. Het is wel zaak om, als je een oplossing van een andere leveranciers overweegt, vooraf te kijken hoe dit integreert.
Wat meer op productniveau noemt Aelmans uiteraard de firewalls van Fortinet, de FortiGates. Deze spelen een belangrijke rol op het gebied van segmentatie, maar ook op het verkrijgen van diepe inzichten in het verkeer. Je kunt vanuit FortiGate ook FortiSwitch beheren. Hiermee krijg je vanuit die centrale GUI inzicht in alles wat er gebeurt, tot op de MAC-laag. Je kunt hiermee dus ook verkeer binnen VLAN’s in de gaten houden. Op het gebied van endpoint security begint het nu ook steeds beter te lopen, met FortiEDR. Verder biedt Fortinet natuurlijk ook Sandbox, NDR en deception-oplossingen
Aelmans noemt verder ook nog FortiSIEM, dat volgens hem behoorlijk wat waardering krijgt. Ze kunnen alarmen met FortiSIEM plotten op bedrijfsprocessen. Dit geeft klanten veel meer context rondom de alarmen. Daarnaast mappen ze het ook op het MITRE Att&ck framework voor ICS (Industrial Control Systems). Als een bepaalde malware binnen het MITRE framework zes stappen heeft en ze zien via FortiSIEM dat hij op stap twee zit, is het nog mogelijk om specifieke playbooks af te trappen.
Het begint met inzicht, vooral in de risico’s
De beveiliging van OT-omgevingen is best een lastige kwestie. Ondanks de convergentie tussen IT en OT in de afgelopen decennia, blijven het onderliggend tamelijk separate werelden. Technisch wordt het echter steeds beter mogelijk om inzicht te krijgen in bedreigingen, ook in de OT-wereld. Het is echter ook belangrijk om inzicht te krijgen in de risico’s die organisaties lopen als ze niets doen. Dat is nog altijd best een uitdaging. “Je hebt IT-budgetten, OT-budgetten, maar nog geen OT-securitybudgetten”, vat Aelmans het samen.
Om dat laatste wel te krijgen, moeten investeringen verdedigbaar zijn. Mensen hoger in de organisatie moeten snappen wat de risico’s zijn. Daar is ISA/IEC 62443 de kapstok voor. Hiermee is het mogelijk om een risk-based beoordeling te krijgen of geven op het gebied van OT-security. Pas als die er is, kunnen organisaties met het technische gedeelte aan de slag. NIS2 gaat hier ongetwijfeld een rol in spelen. Wat die specifiek in Nederland precies gaat zijn, is nog even afwachten. Organisaties doen er goed aan om hier niet op te wachten, maar nu alvast stappen te zetten.
2 dagen geleden
