ICS-beveiliging en een netwerk zonder grenzen
Nu de begrenzing van netwerken in beweging is, kan ICS-beveiliging (Industrial Control Systems) profiteren van de architectuur van Zero Trust en microsegmentatie.
Een vrachtwagenchauffeur staat buiten het hek van een fabriek in de rij om zich automatische aan te melden. Het aanmeldsysteem is verbonden met het ICS-netwerk van de fabriek, daardoor kan de chauffeur de aanmeldingsprocedure uitvoeren zonder zijn truck te verlaten. Het geautomatiseerde magazijn-systeem weet nu dat hij is aangekomen om de vracht op te halen.
Een technicus van het technische ondersteuningsteam van een leverancier lost een probleem op met een controller die diep in het ICS-productienetwerk zit. Om het probleem op te lossen, maakt hij rechtstreeks verbinding met het netwerk via een directe L2L (LAN-naar-LAN) VPN-verbinding. De firewall-regels van de perimeter voor het gehele IP-bereik van het netwerk van de leverancier (/ 16 masker) maken het voor bepaalde medewerkers mogelijk om zo nodig verbinding te maken met de fabriek.
Een externe partij bezoekt de fabrieksvloer om controllersoftware bij te werken waarmee de productielijn een nieuw product kan samenstellen. Dat product vereist extra logica voor de sensoren op de lijn. De aannemer steekt zijn eigen laptop rechtstreeks in een ethernetpoort van een switch in het ICS-rek en maakt verbinding met de controller. Hij gebruikt zijn telefoon als mobiel toegangspunt, en download vervolgens online de nieuwste versie van de controllersoftware. Het ICS-productienetwerk is zojuist verbonden met internet.
En waar is de begrenzing dan?
Dit zijn slechts enkele voorbeelden van de flexibele aard van live ICS-omgevingsgrenzen die onze consultants zien als ze productiefaciliteiten bezoeken. De toenemende behoefte aan gegevensoverdracht en externe connectiviteit hebben de ooit geïsoleerde ICS-netwerkfirewall zeer snel in een gatenkaas veranderd. En dat levert uitdagingen op voor ICS-beveiliging. De effectieve begrenzing van het ICS-netwerk kan honderden kilometers verwijderd zijn van de eigenlijke installatie. Deze trend is verder versneld door de aanpassing van mobiele en cloudtechnologieën, zelfs in ICS-omgevingen.
Dit alles heeft het steeds moeilijker gemaakt om de grenzen van het ICS-netwerk op de traditionele manier te beheren. Vroeger plaatste je één barrière bij het beginpunt van het netwerk. Maar de begrenzing bestaat niet langer uit de fysieke afrastering rondom de faciliteit. Integendeel, de grens loopt tot aan het verste punt van het netwerk. Dat kan een hokje zijn dat net buiten het hek staat of het huis van een verkoper.
Het is gebruikelijk dat het bedrijf dat de productiefaciliteit beheert niet eens weet waar hun werkelijke grenzen liggen. Complexe moderne toeleveringsketens en de vele leveranciers die de productieomgeving onderhouden, zorgen voor een complexe netwerkinfrastructuur.
Micro-segmentatie als een oplossing. Met de technologische vooruitgang van de moderne netwerkapparatuur en oplossingen voor toegangscontrole die momenteel op de markt zijn, is het mogelijk om een zogenaamde Zero Trust-architectuur te bouwen. In een Zero Trust-architectuur worden gebruikers die op afstand verbinding maken met het ICS-netwerk adequaat geïdentificeerd op basis van hun identiteit en locatie. Toegangsrechten kunnen heel specifiek worden verleend, waardoor alleen verbindingen voor specifieke hosts of controllers binnen het netwerk mogelijk zijn. Met deze dynamische microsegmentering van het netwerk is strenge toegangscontrole mogelijk zonder dat het nodig is om minder strenge firewallregels voor gebruikers of leveranciers te configureren. Hierdoor verkleint het aanvalsoppervlak in de richting van het ICS-netwerk aanzienlijk en daarmee de mogelijkheden voor zijdelingse verplaatsing binnen het netwerk.
Micro-segmented private overlay-netwerken worden bijvoorbeeld beschreven in het International Society of Automation-document TR100.15.01 “Backhaul Architecture Model: Secured Connectivity over Untrusted or Trusted Networks.”. Dit document presenteert een architectonisch model voor het verbinden van industriële besturingssystemen componenten over untrusted backhaul-netwerken. De learnings en het architectonisch model uit de paper kunnen ook worden gebruikt als basis voor “vertrouwde” VPN- en LAN-verbindingen.
Het is tijd dat we de uitdagingen van ICS-beveiliging erkennen. Ten eerste is het moeilijk om te controleren wat er gebeurt binnen het ICS-netwerk en hoe leveranciers en verkopers omgaan met hun beveiliging. Ten tweede, alle toeleveringsketens worden steeds complexer, dus is het tijd om af te stappen van het paradigma dat “al het VPN-verkeer van vertrouwde bronnen komt”.
Voor meer informatie over ICS-beveiliging download ons e-book over het verhaal van een gerichte cyberaanval in de maakindustrie. Je leert hoe aanvallers je verdedigingsdrempels doorbreken en ontdekt hoe een complete ICS-aanval in zijn werk gaat.
Categorieën