OT security | deel 2

Het Purdue Enterprise Reference Architecture (PERA) model werd voor het eerst geïntroduceerd in 1990 door de Purdue University Consortium. Dit model definieert de verschillende lagen binnen een organisatiestructuur, en nog belangrijker, verduidelijkt de benaderingen om die verschillende lagen op een correcte manier te segmenteren en te beveiligen.

Op deze manier kunt u de getroffen componenten bij een aanval minimaliseren. Waarom? Heel eenvoudig: aangezien de componenten verspreid zijn over verschillende lagen, kan men bij een aanval enkel de componenten binnen de getroffen laag aantasten, en niet die binnen de andere lagen. Dat is natuurlijk enkel het geval wanneer elke laag op zich voldoende beschermd wordt. De manier waarop dit gebeurt, kan verschillen per laag.

De belangrijkste laag binnen een OT-omgeving is de Demilitarized Zone (DMZ). Dat is de plek waar OT en IT samenkomen, en dus de plaats waar het risico het grootst is. Deze laag vormt een zeer aantrekkelijk doelwit voor potentiële aanvallers.

Aangezien de convergentie tussen OT en IT nog relatief nieuws is, hebben heel wat organisaties deze laag nog niet geïmplementeerd, of onvoldoende afgeschermd. Over het algemeen worden enkel firewalls en proxy’s gebruikt, om de IT- en OT-systemen zo veel mogelijk van elkaar te scheiden.

Het Defense in Depth concept leunt dicht aan bij netwerk segmentatie, aangezien het ook focust op het beschermen van systemen in verschillende lagen. Het doel is echter om een aanval uit te stellen, in plaats van rechtstreeks in de tegenaanval te gaan. De theorie is dat wanneer één securitylaag het zou begeven, dat er voldoende andere lagen met hun eigen beschermingsmaatregelen aanwezig zijn om de aanval te weren. Dus eigenlijk gaat u verschillende measures gaan stapelen om zo toegang tot het systeem te vermijden.

Er zijn 3 verschillende soorten lagen die u kunt gebruiken om uw systemen te beveiligen: de fysieke, de technologische en de administratieve. In een OT-omgeving kan dat er als volgt uitzien:

• De fysieke laag: U wilt uiteraard geen indringers in uw netwerk. En soms is simpelweg aanwezig zijn op de fysieke locatie waar het netwerk zich bevindt voldoende voor een aanvaller om toegang te verkrijgen tot dat netwerk. Daarom moet u ervoor zorgen dat het onmogelijk is voor buitenstaanders om toegang te krijgen tot uw fysieke locaties.
• De technologische laag: Hierbij gaat het om de typische beveiligingen die we allemaal kennen, zoals firewalls. Voor OT-netwerken is het echter belangrijk om ook specifieke security software voor OT te voorzien om aanvallen vakkundig af te weren zonder zelf toegang te verliezen tot de informatie binnen de systemen.
• De administratieve laag: In deze laag focussen we op de administratieve kant van security, zoals specifieke policies waaraan medewerkers zich moeten houden. Een ander voorbeeld is het labelen en afschermen van gevoelige of confidentiële data.

Elk soort laag kan op verschillende manieren beschermd worden. Dat raden we zelfs aan!

We geven een voorbeeld van een e-mail service, die zich in de technische laag bevindt: stel u voor dat een malicious e-mail toegang probeert te verkrijgen tot een specifieke computer. Eerst moet deze door een firewall gaan die de inhoud controleert en evalueert. Wanneer deze geen kwaadaardige inhoud detecteert, gaat hij verder naar de mail server, die op zijn beurt opnieuw een controle uitvoert op de inhoud en afzender. Indien de boosaardige e-mail dan nog niet gestopt wordt, is er nog steeds de anti-virus software op de desbetreffende computer om de aanval tegen te gaan.

U ziet, deze verschillende maatregelen maken het aanvallers zeer moeilijk om door te dringen tot de getargete computer.