Gesponsorde functie Internetconnectiviteit heeft alles veranderd, inclusief ouderwetse industriële omgevingen. Naarmate bedrijven hun activiteiten moderniseren, verbinden ze meer van hun machines met internet. Het is een situatie die duidelijke en actuele veiligheidsproblemen veroorzaakt, en de industrie heeft nieuwe benaderingen nodig om hiermee om te gaan.
De adoptie van Industrial Internet of Things (IIoT) gaat snel. Onderzoek van Inmarsat ontdekte dat 77 procent van de ondervraagde organisaties ten minste één IIoT-project volledig heeft geïmplementeerd, en 41 procent van hen heeft dit tussen het tweede kwartaal van 2020 en 2021 gedaan.
Hetzelfde onderzoek waarschuwde ook dat beveiliging een primaire zorg was voor bedrijven die aan IIoT-implementaties beginnen, waarbij 54 procent van de respondenten klaagde dat het hen ervan weerhield hun gegevens effectief te gebruiken. De helft noemt ook het risico van externe cyberaanvallen als een issue.
IIoT-oplossingen zijn cruciaal voor de convergentie van IT en OT (operationele technologie). OT-platforms, vaak industriële controlesystemen (ICS), helpen bedrijven hun fysieke apparaten te beheren, zoals persen en transportbanden die de productie aandrijven of de kleppen en pompen die gemeentelijk water laten stromen.
Daarbij genereren ze enorme hoeveelheden data die nuttig zijn voor analytische doeleinden. Maar om die informatie in de juiste bedrijfstools te krijgen, moet de kloof tussen IT en OT worden overbrugd.
Operators willen ook dat die OT-systemen op afstand toegankelijk zijn. Door conventionele IT-toepassingen de mogelijkheid te bieden om die apparaten te besturen, kunnen ze worden gekoppeld aan dezelfde back-endprocessen die zijn gedefinieerd in IT-systemen. En het inschakelen van toegang op afstand voor technici die niet in staat of niet bereid zijn om een retour van meerdere kilometers te maken om een operationele verandering door te voeren, kan ook tijd en geld besparen.
Deze behoefte aan toegang op afstand werd scherper tijdens de COVID-19-crisis toen sociale afstand en reisbeperkingen technici ervan weerhielden om ter plaatse te komen. Inmarsat ontdekte dat de pandemie bijvoorbeeld een oorzaak was van de versnelde invoering van IIoT, waarbij 84 procent meldde dat ze hun projecten hebben of zullen versnellen als een directe reactie op de pandemie.
Dus voor velen is de convergentie van IT en OT meer dan alleen handig; het is essentieel. Maar het heeft ook voor een perfecte storm gezorgd voor beveiligingsteams. Een extern toegankelijk ICS-systeem dat toegankelijk is, vergroot het aanvalsoppervlak voor hackers.
ICS-aanvallen in actie
Soms kan die IT/OT-convergentie zo eenvoudig zijn als iemand die externe toegangssoftware op een pc in een faciliteit installeert. Dat is de opzet die toegestaan hackers om toegang te krijgen tot controlesystemen via een installatie van een tool voor externe toegang bij de gemeentelijke waterfabriek in Oldsmar, Florida in 2021, voordat ze lokale bewoners probeerden te vergiftigen met natriumhydroxide. De pc die de aanvaller had gehackt, had toegang tot de OT-apparatuur in de fabriek. De sheriff van de stad meldde dat de onzichtbare indringer de muiscursor voor een van zijn arbeiders had gesleept.
Het is niet duidelijk waarom hackers onschuldige Floridians probeerden te vergiftigen, maar sommige aanvallen hebben financiële motieven. Een voorbeeld is de EKANS ransomware-aanval die: raak Honda in juni 2020, waarbij de productieactiviteiten in het VK, de VS en Turkije worden stopgezet.
Aanvallers gebruikten de EKANS-ransomware om de interne servers van het bedrijf aan te vallen, wat grote verstoringen veroorzaakte in de fabrieken. in een analyse van de aanval legde cyberbeveiligingsbedrijf Darktrace uit dat EKANS een nieuw type ransomware was. Ransomware-systemen die zich richten op OT-netwerken doen dit normaal gesproken door eerst IT-apparatuur te raken en vervolgens te draaien. EKANS is relatief zeldzaam omdat het zich rechtstreeks richt op ICS-infrastructuur. Het kan zich richten op maximaal 64 specifieke ICS-systemen in zijn kill-keten.
Experts geloven dat andere ICS-aanvallen door de staat worden gesponsord. De Triton-malware, voor het eerst gericht op petrochemische fabrieken in 2017, is nog steeds een bedreiging volgens de FBI, die aanvallen toeschrijft aan door de staat gesteunde Russische groepen. Deze malware is volgens het Bureau vooral smerig omdat het fysieke schade, milieu-impact en verlies van mensenlevens mogelijk maakte.
Standaard beveiligingsoplossingen werken hier niet
Traditionele cyberbeveiligingsbenaderingen zijn niet effectief in het oplossen van deze OT-kwetsbaarheden. Bedrijven zouden eindpuntbeveiligingstools kunnen gebruiken, waaronder anti-malware, om hun pc's te beschermen. Maar wat als het eindpunt een programmeerbare logische controller, een AI-compatibele videocamera of een gloeilamp was? Deze apparaten hebben vaak niet de capaciteit om softwareagenten uit te voeren die hun interne processen kunnen controleren. Sommige hebben mogelijk geen CPU's of gegevensopslagfaciliteiten.
Zelfs als een IIoT-apparaat de verwerkingsbandbreedte en het vermogen zou hebben om een ingebouwde beveiligingsagent te ondersteunen, is het onwaarschijnlijk dat de aangepaste besturingssystemen die ze gebruiken generieke oplossingen ondersteunen. IIoT-omgevingen gebruiken vaak meerdere soorten apparaten van verschillende leveranciers, waardoor een divers portfolio van niet-standaard systemen ontstaat.
Dan is er nog de kwestie van schaal en distributie. Beheerders en beveiligingsprofessionals die gewend zijn om met duizenden standaard-pc's in een netwerk om te gaan, zullen een IIoT-omgeving, waar het aantal sensoren honderdduizenden kan zijn, heel verschillend vinden. Ze kunnen zich ook over een groot gebied verspreiden, vooral naarmate edge computing-omgevingen aan kracht winnen. Ze kunnen hun verbindingen met het netwerk in sommige meer afgelegen omgevingen beperken om stroom te besparen.
Evaluatie van traditionele ICS-beveiligingskaders
Als conventionele IT-beveiligingsconfiguraties deze uitdagingen niet aankunnen, kunnen OT-gecentreerde alternatieven dat dan misschien wel? Het standaardmodel is het Purdue cybersecurity-model. Gemaakt aan de Purdue University en aangenomen door de International Society of Automation als onderdeel van de ISA 99-standaard, definieert het meerdere niveaus die de IT- en ICS-omgeving beschrijven.
Niveau nul houdt zich bezig met de fysieke machines - de draaibanken, industriële persen, kleppen en pompen die dingen voor elkaar krijgen. Het volgende niveau betreft de intelligente apparaten die die machines manipuleren. Dit zijn de sensoren die informatie doorgeven van de fysieke machines en de actuatoren die ze aandrijven. Dan vinden we de toezichthoudende controle- en data-acquisitie (SCADA) -systemen die toezicht houden op die machines, zoals programmeerbare logische controllers.
Deze apparaten maken verbinding met de productiebeheersystemen op het volgende niveau, die industriële workflows uitvoeren. Deze machines zorgen ervoor dat de fabriek optimaal blijft werken en registreren de bedrijfsgegevens.
Op de bovenste niveaus van het Purdue-model bevinden zich de bedrijfssystemen die volledig op het gebied van IT rusten. Het eerste niveau hier bevat de productiespecifieke toepassingen zoals enterprise resource planning die de productielogistiek afhandelt. Op het hoogste niveau bevindt zich het IT-netwerk, dat gegevens uit de ICS-systemen verzamelt om bedrijfsrapportage en besluitvorming te stimuleren.
Vroeger, toen niets met iets buiten het netwerk sprak, was het gemakkelijker om ICS-omgevingen met deze aanpak te beheren, omdat beheerders het netwerk langs de grenzen konden segmenteren.
Om dit type segmentatie te ondersteunen, is bewust een laag met een gedemilitariseerde zone (DMZ) toegevoegd, die tussen de twee bedrijfslagen en de ICS-lagen verderop in de stapel zit. Het fungeert als een luchtgat tussen de onderneming en de ICS-domeinen, waarbij beveiligingsapparatuur zoals firewalls wordt gebruikt om het verkeer tussen hen te regelen.
Niet elke IT/OT-omgeving zal deze laag hebben, aangezien ISA deze echter pas recentelijk heeft geïntroduceerd. Zelfs degenen die dat wel doen, worden geconfronteerd met uitdagingen.
De operationele omgevingen van vandaag zijn anders dan die in de jaren negentig, toen het Purdue-model voor het eerst evolueerde en de cloud zoals we die kennen nog niet bestond. Ingenieurs willen rechtstreeks inloggen op on-premises beheeractiviteiten of SCADA-systemen. Verkopers willen misschien hun intelligente apparaten bij klanten rechtstreeks vanaf internet in de gaten houden. Sommige bedrijven verlangen ernaar om hun hele SCADA-laag naar de cloud te tillen, zoals Severn Trent Water beslist te doen in 2020.
De evolutie van ICS as a Service (ICSaaS), beheerd door derden, heeft de wateren voor beveiligingsteams die worstelen met IT/OT-convergentie verder vertroebeld. Al deze factoren lopen het risico meerdere gaten in de omgeving te openen en eerdere segmentatie-inspanningen te omzeilen.
Door de hele verwarde puinhoop snijden
In plaats daarvan passen sommige bedrijven nieuwe benaderingen toe die verder gaan dan segmentatie. In plaats van te vertrouwen op snel verdwijnende netwerkgrenzen, onderzoeken ze het verkeer op apparaatniveau in realtime. Dit is niet ver verwijderd van de oorspronkelijke voorstellen voor de-perimeterisatie die in het begin van de jaren negentig door het Jericho Forum van de Open Group werden gedaan, maar het analyseren van verkeer op zoveel verschillende punten in het netwerk was toen moeilijk. Tegenwoordig kunnen verdedigers dankzij de komst van AI beter een oogje in het zeil houden.
Donker spoor is het toepassen van enkele van deze concepten binnen het industriële immuunsysteem. In plaats van te kijken naar bekende kwaadaardige handtekeningen aan de grenzen van netwerksegmenten, begint het met te leren wat overal normaal is in de IT- en OT-omgeving, inclusief alle delen van die omgeving die in de cloud worden gehost.
Door een evoluerende basislijn van normaliteit tot stand te brengen, analyseert de service vervolgens al het verkeer op activiteiten die daarbuiten vallen. Het kan beheerders en beveiligingsanalisten waarschuwen voor deze problemen, omdat het deed voor één Europese productieklant.
De dienst is ook autonoom. Wanneer een klant genoeg vertrouwen heeft in zijn beslissingen om de knop om te zetten, kan het immuunsysteem overgaan van louter waarschuwen naar proportionele actie ondernemen. Dit kan betekenen dat bepaalde vormen van verkeer worden geblokkeerd, het normale gedrag van een apparaat wordt afgedwongen, of in ernstige gevallen systemen volledig in quarantaine worden geplaatst, inclusief apparatuur in de OT/ICS-lagen.
De executives van Darktrace hopen dat deze overstap naar een meer gedetailleerd model van constante, alomtegenwoordige verkeersanalyse, gecombineerd met realtime beoordeling van bekend normaal gedrag, zal helpen om de opkomende stroom van ICS-cyberaanvallen te dwarsbomen. Het zal bedrijven hopelijk ook in staat stellen om wendbaarder te worden en ondersteuning op afstand en cloudgebaseerde ICS-initiatieven. In de toekomst hoef je niet het risico te lopen dat iemand het licht uitdoet tijdens je zoektocht om het licht aan te houden.
Gesponsord door Darktrace
- AI
- ai kunst
- ai kunst generator
- je hebt een robot
- kunstmatige intelligentie
- certificering van kunstmatige intelligentie
- kunstmatige intelligentie in het bankwezen
- kunstmatige intelligentie robot
- kunstmatige intelligentie robots
- kunstmatige intelligentiesoftware
- blockchain
- blockchain conferentie ai
- vindingrijk
- conversatie kunstmatige intelligentie
- crypto conferentie ai
- van dall
- diepgaand leren
- google ai
- machine learning
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- schaal ai
- syntaxis
- Het register
- zephyrnet
