SOC: vergeet de operationele techniek niet!
Bij cyberdreigingen denken we meestal aan DDoS-aanvallen die de website platleggen, aan een gehackte database of aan met malware besmette pc’s. Alsof cybercriminaliteit uitsluitend een ‘IT-probleem’ is. Hackers hebben het echter steeds vaker gemunt op de operationele technologie. Deze OT zorgt er bijvoorbeeld voor dat er water uit de kraan en stroom uit het stopcontact komt, en dat de machines in fabrieken 24/7 blijven draaien.
Uit onderzoeken blijkt zelfs dat bijna een derde van de cyberaanvallen wereldwijd is gericht op de OT. Tot deze conclusie kwam onder andere The Ponemon Institute na een onderzoek. Maar liefst 75 procent van de ondervraagde bedrijven had in de twaalf maanden voorafgaand aan het onderzoek te maken met cyberaanvallen die de OT verstoorden of leidden tot diefstal van vertrouwelijke gegevens.
Cyberaanvallen op industriële controlesystemen kunnen catastrofale gevolgen hebben voor mens en maatschappij. Er is weinig fantasie voor nodig om te bedenken wat er kan gebeuren als een hacker productieprocessen of de drinkwatervoorziening manipuleert. En dan hebben we het nog niet eens over de economische schade als fabrieken stil komen te liggen.
OT-SOC
Redenen genoeg om continu in de gaten te houden welke dreigingen zich binnen het OT-domein manifesteren. Dat is voor SOC-medewerkers geen eenvoudige opgave. Beheerders van OT-netwerken hebben vaak een andere manier van werken dan hun ‘collega’s van IT’. De tijd om te reageren op een incident of om beheer en onderhoud uit te voeren, is doorgaans zeer beperkt. Ook is het lang niet altijd mogelijk om een patch uit te rollen voor industriële controlesystemen.
Hoe zorgen we er dan toch voor dat het SOC een positieve bijdrage levert aan zowel de IT- als de OT-security? Ik zet drie succesfactoren op een rij:
1. Gezamenlijke verantwoordelijkheid
Een goed SOC monitort continu de IT/OT-omgeving op dreigingen en adviseert wat er moet gebeuren als er sprake is van een incident. Het advies wordt mede bepaald door de prioriteit die is toegekend aan een dreiging. Een dreiging met een hoog risico vraagt bijvoorbeeld om een snellere response.
Om een goede risico-inschatting te kunnen maken, is wel diepgaande kennis nodig van de infrastructuur. Zo moet voor het SOC duidelijk zijn welke systemen en processen cruciaal zijn. OT-omgevingen zijn voor veel SOC-analisten echter onbekend terrein, zeker als die werkzaam zijn voor een externe dienstverlener. Dan is het lastig om de omgeving van de klant goed te doorgronden.
Een ‘hybride SOC’ kan de oplossing zijn. Hierin werken de analisten van het SOC voor een optimale uitwisseling van kennis nauw samen met de securityprofessionals en andere specialisten van de klant. Door in een breder teamverband samen te werken ontstaat een gezamenlijke verantwoordelijkheid voor de monitoring.
2. KPI’s, KPI’s, KPI’s
Zoals eerder opgemerkt kan een aanval op de OT-omgeving ernstige gevolgen hebben. Die gaan verder dan het even niet beschikbaar zijn van een IT-systeem. Het is niet ondenkbaar dat vitale infrastructuren volledig lam worden gelegd. Een snelle response is dan van essentieel belang.
Het is daarom belangrijk dat er duidelijke afspraken worden gemaakt over de verantwoordelijkheden van het SOC in noodsituaties. Het moet bijvoorbeeld helder zijn hoe snel een reactie van het SOC wordt verwacht en hoe die reactie eruitziet. Naleving van die KPI’s moet ook worden aangetoond.
3. Zorg voor OT-security
Monitoring is niet mogelijk zonder de inzet van technologie. Bijvoorbeeld firewalls, IDS’en en IPS’en leveren de informatie die nodig is om te monitoren. Die technische beveiligingsmaatregelen mogen de OT echter niet verstoren en moeten de protocollen spreken die gangbaar zijn binnen de wereld van de industriële controlesystemen.
Gelukkig komen er steeds meer producten beschikbaar voor het goed beveiligen van OT-omgevingen. Denk aan oplossingen die afwijkend gedrag binnen OT-omgevingen detecteren. Een OT-SOC moet kennis hebben van deze oplossingen en ze misschien zelfs kunnen leveren.