Het industriële internet der dingen beveiligen

Terwijl organisaties inspanningen voor het industriële internet der dingen ontwerpen en implementeren, is de term betekenisloos voor beveiligingsprofessionals omdat Industrial Internet of Things (IIoT) een concept is. Het is moeilijk voor beveiligingsleiders om concepten te beschermen.

Dat is volgens Katell Thielemann, VP-analist bij Gartner Inc.

"[Beveiligers] moeten het probleem met specifieke details benaderen, begrijpen dat ze te maken hebben met cyber-fysieke systemen met zeer specifieke kenmerken en het begrijpen van die kenmerken is de sleutel tot het definiëren van hoe een beveiligingsaanpak moet worden ontwikkeld", zei ze.

Te vaak heeft de snelheid van de initiële implementatie voorrang op een beveiligingsstrategie die de hele levenscyclus van systemen zou moeten omvatten, zei Thielemann. Te veel organisaties brengen een IT-gerichte kijk op beveiliging naar industriële omgevingen als het gaat om IIoT-inspanningen.

Hoewel operationele beveiligingstechnologie (OT) op directieniveau aandacht en zichtbaarheid krijgt voor regelgevende instanties, is het een uitdaging om ze onder volledige cyberzichtbaarheid en bescherming te brengen en te zorgen voor voortdurende waakzaamheid op meerdere niveaus, zei Santha Subramoni, wereldwijd hoofd cyberbeveiliging. diensten bij Tata Consultancy Services.

Op het basisniveau is het dreigingsoppervlak (of het gebied dat kan worden aangevallen) zelf complex en gevarieerd, waardoor het ontdekken en integreren van activa een uitdaging is voor de beveiligingsarchitectuur van ondernemingen, zei Subramoni. Sensoren, edge-apparaten, connectiviteit en gerelateerde data, applicaties en hosting-ecosystemen vormen de kern van het gedistribueerde IIoT-ecosysteem.

Er is een significante prevalentie van legacy-technologieën en proliferatie van op zichzelf staande netwerken, buiten de perimeters van bedrijfsnetwerken, zei Subramoni. En het gebrek aan zichtbaarheid van het eindpunt beperkt de mogelijkheid om preventieve maatregelen te nemen.

"Organisaties moeten een catalogus van kwetsbaarheden op meerdere niveaus detecteren en bijhouden en de kennis en de technologie die daarvoor nodig is, behouden binnen het industriële ecosysteem, dat doorgaans nog moet rijpen tot een beheersbare schaal en betrouwbaarheid", aldus Subramoni.

Hoe een maker van bouwmaterialen het IIoT beveiligt

Bouwmaterialenmaker HIL Ltd. zette de eerste stap in zijn digitaliseringsreis en implementeerde IIoT toen het digitale winkelvloertechnologie lanceerde in vier van zijn fabrieken in India, zei Murali Raj, Chief Information Officer van HIL. De digitale werkvloer verbindt alle machines met één netwerk, wat de efficiëntie en kwaliteit optimaliseert.

"Nu gaan we naar de volgende fase van voorspellend onderhoud", zei Raj. "Dus we doen POC's [proofs of concepts] over voorspellend onderhoud en we doen ook POC's over voorspellende kwaliteit. We moeten dus ook voor de veiligheidsmaatregelen zorgen.”

Op de werkvloer worden realtime machineparameters vastgelegd via sensoren, programmeerbare logische controllers (PLC's) en toezichthoudende controle- en data-acquisitiesystemen (SCADA). De gegevens worden vervolgens via het IT-netwerk van HIL naar de cloud overgebracht, waar ze in realtime worden geanalyseerd, zei Raj. Bovendien genereert het systeem onmiddellijke waarschuwingen die het operationele team kan gebruiken om corrigerende maatregelen te nemen.

"Voorheen bestonden de SCADA-systemen als een eiland, niet verbonden met internet", zei Raj. "Dus als je je productiemachines hebt en je hebt daarbovenop je PLC's, dan handelden ze samen in de controlekamer waar de supervisor het hele fabricageproces controleerde. Nu moeten deze gegevens buiten het netwerk gaan.”

Daarom moest HIL aan de IT-kant firewalls implementeren om een ​​veilige verbinding met internet te maken. Om zijn edge-apparaten en sensoren met internet te verbinden om gegevens over te dragen, zorgde het bedrijf ervoor dat deze apparaten voldeden aan de juiste beveiligingsnormen, zei Raj. En HIL moest er ook voor zorgen dat zijn software en firmware regelmatig werden gepatcht en geüpgraded.

Na de techniek te hebben behandeld, heeft HIL ook gekeken naar mensen en processen.

"Voorheen hadden de onderhoudstechnici, elektrotechnici die de SCADA en PLC en de fabriek bestuurden zelfs geen interactie met een van onze IT-ingenieurs, netwerkingenieurs of de leider die op zoek was naar beveiliging voor de organisatie," zei Raj.

Nu moeten deze teams samenkomen en elkaar begrijpen en een proces opzetten om op de hoogte te blijven van wat er in hun gebied gebeurt, zei hij. HIL heeft ook enkele van zijn IT-ingenieurs getraind in OT- en OT-beveiliging en heeft het fabrieksteam gevraagd om op zijn minst kennis te hebben van cyberbeveiliging.

"We brachten ook een extern perspectief in, waarbij EY en Deloitte ons hielpen om een ​​raamwerk te creëren om IT en OT samen te begrijpen," zei Raj. "Omdat deze mogelijkheid niet intern binnen de organisatie bestond, helpt het soms om een ​​extern perspectief in te brengen."

Op het procesfront zorgde HIL ervoor dat IT-beveiligingsmaatregelen, zoals rolmachtigingen, wachtwoordresets, gebruikerstoegang, ook aan de OT-kant werden gevolgd.

"Dus het fabrieksteam, dat niet gewend was aan dit soort strenge procedures, moest ze accepteren", zei hij.

Zorg ervoor dat kritieke apparaten/activa goed worden beschermd

Hoewel aanvallen op IIoT minder vaak voorkomen dan IT-aanvallen, kunnen de gevolgen ervan nog steeds enorm zijn, waaronder productieverlies, impact op de inkomsten, gegevensdiefstal, aanzienlijke schade aan apparatuur, industriële spionage en zelfs lichamelijk letsel, zei Asaf Karas, mede-oprichter en chief technology. officer bij Vdoo, een leverancier van geautomatiseerde cyberbeveiliging voor aangesloten apparaten en IIoT.

Daarom is het niet voldoende om het aantal aanvallen statistisch te verminderen, maar om ervoor te zorgen dat kritieke apparaten en activa goed worden beschermd zodra ze in productie gaan, zei hij.

Karas bood een aantal benaderingen aan om organisaties te helpen hun IIoT-beveiliging te verbeteren:

• Adopteer risico- en bedreigingsbeheerprocessen die specifiek zijn voor hun brancheomgevingen.
• Voordat u nieuwe apparaten implementeert, moet u ervoor zorgen dat ze door hun ontwerp zijn beveiligd en dat er geen exploiteerbare zwakke punten van de eerste of derde partij worden gevonden in de apparaatcode of configuratie.
• Gebruik hulpmiddelen voor activabeheer na implementatie om relevante industriële activa te ontdekken en te identificeren
• Implementeer runtime-toepassingsagenten voor eindpunten die uniek zijn ontworpen voor deze apparaten om continue bewaking en bescherming te garanderen.

Hyperconnectiviteit beheren

De grootste uitdaging van veel van de huidige apparaten is dat ze niet zijn gebouwd met cyberbeveiliging in gedachten, zegt Kyle Miller, directeur/directeur van Booz Allen Hamilton. Ze gebruiken vaak vereenvoudigde realtime legacy-besturingssystemen die niet hetzelfde beveiligingsniveau ondersteunen als traditionele IT-systemen. Als gevolg hiervan hebben ze het potentieel om het aanvalsoppervlak van een organisatie behoorlijk te vergroten, zei hij.

Nu wordt aan deze apparaten gevraagd om rechtstreeks verbinding te maken van de industriële netwerken naar het bedrijfsnetwerk met internet en de cloud, in veel gevallen, zei Miller.

“[Het is belangrijk] om die hyperconnectiviteit, de datastromen en het uitbouwen van . . . een zero-trust-omgeving waar je echt beheert waar dat apparaat mee kan praten, waar het niet mee kan praten, en in het geval van een compromis, om de explosieradius echt te kunnen beperken, "zei hij.

Voordat organisaties IIoT-systemen implementeren, moeten ze ook een goed begrip hebben van de soorten risico's die ze nemen, zegt David Forbes, directeur/directeur van Booz Allen Hamilton.

Om dit inzicht te krijgen, moet een bedrijf de huidige beveiligingshouding van zijn leveranciers, de oplossingen en de software-implementatie kennen, evenals de apparaten die het op zijn IIoT-netwerk implementeert, zei Forbes.

Wanneer een organisatie bijvoorbeeld technologieën van externe leveranciers implementeert, moet ze leveranciers vragen stellen zoals:

• Hebben ze hun eigen software op een beveiligd platform gebouwd?
• Gebruiken ze waar nodig versleutelde communicatie?
• Zijn er toegangscontrolefuncties aanwezig?

"Dat is erg belangrijk om het risico te begrijpen en hoe je het bedreigingslandschap van je netwerk gewillig verandert door deze IIoT-systemen aan te pakken", aldus Forbes.

Bedrijven moeten ervoor zorgen dat deze IIoT-apparaten en -systemen, waar nodig, worden gescheiden van andere IT- en OT-netwerken, zei hij. Deze apparaten moeten streng worden gecontroleerd om ervoor te zorgen dat ze beschermd kunnen blijven, maar ook zodat de ene aanvalsvector geen toegang tot een andere kan creëren.

Organisatorische cyberhygiëne

"Dat zijn organisatorische dingen", zei Forbes. "Ik denk echt wat we zien en als je kijkt naar de bevindingen in sommige van deze inbreuken en aanvallen, is veel ervan terug te voeren op organisatorische cyberhygiëne en discipline en protocollen die al dan niet zijn ingevoerd om beginnen met.”

Industriële omgevingen vormen een nieuwe grens voor kwaadwillenden en alles wijst erop dat ze zich in toenemende mate op deze omgevingen richten.

Volgens Thielemann was er in 2020 een significante toename van kwetsbaarheden en bedreigingen gericht op industriële omgevingen. En het is niet verwonderlijk gezien het feit dat ondernemingen waarde creëren door middel van operaties.

"Of het nu gaat om industriële spionage of om ransomware te proberen, deze omgevingen zijn de kroonjuwelen voor de meeste bedrijven", zei ze. “[Dit] gaat niet over naleving van de beveiliging; het gaat om de veerkracht van het bedrijf.”

Om deze uitdagingen aan te gaan, moeten organisaties de belangrijkste kenmerken van de IIoT-inspanningen begrijpen die worden overwogen, zei Thielemann. Bijvoorbeeld:

• Wat zijn de bedrijfsresultaten die met de inspanningen worden nagestreefd?
• Waar worden de IIoT-systemen ingezet?
  • Wie heeft er toegang toe, zowel in de fysieke als in de cyberwereld?
  • Hoe zullen ze worden ontworpen?
• Welke beveiligingsoplossingen worden ingebed en moeten gelaagd zijn?
• Moeten leveranciers zich op afstand bedienen voor onderhoud of upgrades?
• Gaan gegevensstromen via bestaande netwerken? Draadloos?

"Organisaties moeten een levenscyclusvisie hebben op IIoT-inspanningen", zei ze. "Van het ontwerp van vereisten tot aankoop, implementatie, onderhoud en pensionering, bij elke stap moet rekening worden gehouden met beveiligingsoverwegingen."

Beveiligingsleiders moeten zich realiseren dat industriële omgevingen heel anders zijn dan bedrijfsgerichte IT-omgevingen, zei Thielemann. Overwegingen van fysieke locatiebeperkingen, operationele veerkracht of zelfs veiligheid moeten bijvoorbeeld deel uitmaken van de beveiligingsstrategie. Bedrijven moeten hun IT-gerichte beveiligingsbenadering aanpassen om rekening te houden met deze omgevingen, evenals hun benaderingen voor patching, monitoring en authenticatie.

Meestal valt IIoT onder de bevoegdheid van engineering- en productieafdelingen in plaats van IT, zei Subramoni.

"Er moet echter organisatie en toezicht op transformatie zijn, samen met technologische modernisering", zei ze. “De meeste ondernemingen hebben vertrouwde technologie- en systeemintegratiepartners nodig om on-demand op te schalen en de kosten van de bescherming van industriële systemen te beheersen. Dit is een snel evoluerende behoefte en de technologiegemeenschap maakt zich op voor de uitdaging.”