abnormaal cybergedrag detecteren vóór een cyberaanval

De belofte van geavanceerde productietechnologieën - ook bekend als slimme fabrieken of Industry 4.0 - is dat we door onze machines, computers, sensoren en systemen te netwerken (onder andere) automatisering mogelijk maken, de veiligheid verbeteren en uiteindelijk productiever en efficiënter worden. En het lijdt geen twijfel dat de productie al heeft geprofiteerd van die transformatie.

Door al deze sensoren en apparaten aan te sluiten op onze industriële controlesystemen (ICS), en de toename van werken en toezicht op afstand, resulteren productienetwerken in grotere kwetsbaarheden voor cyberaanvallen. Dit is een steeds uitdagender wordende dynamiek, aangezien fabrikanten uitzoeken hoe ze commerciële informatietechnologie (IT)-standaarden kunnen toepassen die compatibel zijn met hun operationele technologie (OT)-standaarden.

Nieuwe, op standaarden gebaseerde mogelijkheden zullen fabrikanten helpen

NIST's National Cybersecurity Center of Excellence (NCCoE), in samenwerking met NIST's Engineering Laboratory, heeft onlangs een rapport uitgebracht dat een reeks mogelijkheden voor detectie van gedragsafwijkingen (BAD) demonstreert om cyberbeveiliging in productieorganisaties te ondersteunen. Door deze mogelijkheden te gebruiken, kunnen fabrikanten afwijkende omstandigheden in hun besturingsomgevingen detecteren om malware-aanvallen en andere bedreigingen voor de integriteit van kritieke operationele gegevens te verminderen.

Met andere woorden, fabrikanten kunnen systemen continu in realtime of bijna realtime controleren op bewijs van compromissen. De ontwikkeling van op standaarden gebaseerde cybercontroles is een belangrijk aspect van de beveiligingseisen van fabrikanten.

Hoe slechte monitoring zich vertaalt naar vroege detectie van cyberdreigingen

Detectie van gedragsafwijkingen omvat de continue monitoring van systemen op ongebruikelijke gebeurtenissen of trends. De monitor zoekt in realtime naar bewijs van een compromis, in plaats van naar de cyberaanval zelf. Vroege detectie van potentiële cyberbeveiligingsincidenten is essentieel om de impact van deze incidenten voor fabrikanten te helpen verminderen. Cyberinbreuken worden meestal pas na de aanval ontdekt.

BAD-tools worden geïmplementeerd in ICS- en OT-omgevingen en kunnen worden gecontroleerd door een interface voor menselijke controle, die veel fabrikanten gebruiken om hun activiteiten te bewaken. De operator zou het netwerkverkeer kunnen zien en gewaarschuwd worden als er een geautoriseerd of niet-geautoriseerd apparaat of verbinding wordt toegevoegd.

Het systeem zou bijvoorbeeld weten welke communicatie is geautoriseerd met een programmeerbare logische controller (PLC), dus elk nieuw contact zou een waarschuwing genereren. Evenzo worden abnormale gesprekken tussen aangesloten machines, wijzigingen in de logica van de mens-machine-interface (HMI) of andere afwijkingen opgemerkt.

De BAD-oplossing is een relatief goedkope modulaire benadering en een efficiënte manier om afwijkingen te detecteren, maar BAD-waarschuwingen zijn passief van aard en zouden niet noodzakelijkerwijs corrigerende maatregelen nemen, zoals het stilleggen van het productieproces.

Fabrikanten blijven een doelwit voor cyberaanvallen

Volgens het Amerikaanse ministerie van Binnenlandse Veiligheid was de industrie in 2015 de meest gerichte sector voor infrastructuuraanvallen en blijven kleine en middelgrote fabrikanten (SMM's) de belangrijkste cyberdoelen.

Er is een grotere vraag naar cyberbeveiliging vanwege de groeiende afhankelijkheid van fabrikanten van technologie en data als aanjagers van productiviteit en efficiëntie. SMM's worden traditioneel om verschillende redenen uitgedaagd in het omgaan met cyberbeveiligingsproblemen:

• De mix van productietechnologie omvat IT (netwerken en zakelijke software zoals e-mail, financiën en ERP's) en OT (operationele technologie, zoals machines en besturingssystemen).
• Cyber ​​concurreert met veel andere gebieden op het gebied van financiering, bewustwording en educatie.
• Het is moeilijk om gespecialiseerde middelen in te zetten voor intern personeel.
• Cyberbeveiliging is geen prioriteit geweest in de OT-build, wat betekent dat als IT en OT met elkaar verbonden zijn, de kwetsbaarheden van legacy-systemen potentiële verplichtingen worden voor het hele netwerk.

Wat biedt de toekomst van NIST Labs en NCCoE voor cyberbeveiliging

Bij het werk om de BAD-capaciteit te ontwikkelen, werden 16 testgevallen of classificaties gebruikt. Sommige waren eenvoudige waarschuwingen voor een gebeurtenis, zoals wachtwoord- en authenticatiefouten, en andere hadden betrekking op een bepaald niveau van analyse, zoals melding van ongeautoriseerde software-installaties en een waarschuwing voor denial of service.

Het volgende gezamenlijke project van NIST's NCCoE and Engineering Laboratory, Protecting Information and System Integrity in Industrial Control System Environments, gaat uit van een meer alomvattende benadering van bescherming tegen data-integriteitshacks. Deze mogelijkheden omvatten:

• Bewaking van beveiligingsincidenten en -gebeurtenissen;
• Toelatingslijst voor aanmelding;
• Malwaredetectie en -beperking;
• Besturingsbeheer wijzigen;
• Gebruikersauthenticatie en autorisatie;
• Toegangscontrole minste privilege; en
• Mechanismen voor het controleren van bestandsintegriteit

Negen productieleveranciers en integrators hebben samenwerkingsovereenkomsten voor onderzoek en ontwikkeling (CRADA) ondertekend met de NCCoE om de capaciteit te helpen ontwikkelen.

Neem contact op met uw lokale MEP-centrum voor deskundig advies over cyberbeveiliging

Cybersecurity-experts die in de productiesector werken, zien onderwijs als een sleutel tot SMM-acceptatie. Meer MKB-bedrijven kijken op dezelfde manier naar cyberconsultaties als hoe ze expertise zoeken voor financiën of verzekeringen.

Als u niet zeker weet waar u moet beginnen met cyberbeveiliging voor uw productiebedrijf, bekijk dan deze beoordelingstool en NIST's Cybersecurity Framework. U kunt ook door de NIST MEP-verzameling van bronnen voor cyberbeveiliging voor fabrikanten bladeren.

Voor specifieke behoeften is de meest geschikte manier om goede begeleiding te vinden, contact op te nemen met een cyberbeveiligingsexpert in uw plaatselijke MEP-centrum.