Wist je dat DataDiodes een vitale beschermingslaag en verbeterde bruikbaarheid bieden die verder gaat dan traditionele air gapping en firewalls? Dit is vooral cruciaal in industrieën zoals productie, energieopwekking en andere OT-omgevingen, die centraal staan in uw bedrijfsfuncties en het genereren van inkomsten. Ondanks hun belang worstelen organisaties vaak met een beperkt inzicht in deze kritieke bedrijfsmiddelen. Om deze uitdaging aan te gaan, kan het inzetten van tools zoals Splunk zeer effectief zijn. Splunk biedt robuuste mogelijkheden voor het veilig analyseren van grote hoeveelheden gegevens en het detecteren van afwijkend gedrag door middel van gedetailleerde logging. Door gebruik te maken van Splunk's tools, kunt u uw operationele omgeving beter beschermen, uw personeel beschermen en ervoor zorgen dat uw inkomstenstromen veilig blijven. Johan Splinter, Senior Software Engineer bij Fox Crypto gaat dieper in op dit onderwerp.
Hoe OT-netwerken gegevens veilig kunnen verzenden
De belangrijkste uitdaging voor OT-netwerken is het veilig verzenden van gegevens van hun systemen naar SIEM-systemen, zonder kwetsbaarheden te introduceren. Een DataDiode kan die uitdaging oplossen. DataDiodes spelen een cruciale rol bij het beveiligen van de OT-markt tegen cyberaanvallen door een extra beschermingslaag toe te voegen die verder gaat dan traditionele air gapping of firewalls. Dankzij deze laag kunnen ruwe gegevens veilig worden verzonden en omgezet in bruikbare informatie voor een effectieve 24/7 detectie en reactie op bedreigingen.
Johan Splinter legt uit: "Een DataDiode gaat een stap verder dan air gapping. Als je een netwerk hebt dat volledig air gapped is, is het veilig totdat je fysieke toegang hebt." Dit betekent dat een air gapped netwerk al goed beschermd is tegen bedreigingen van buitenaf, maar dat je fysieke toegang nodig hebt om SIEM-gegevens te extraheren. Dit zorgt voor extra vertraging en introduceert bij het gebruik van mobiele gegevensopslag een infectierisico. Door in plaats daarvan een DataDiode te implementeren, kunnen gegevens slechts in één richting stromen - van een OT- naar een IT-omgeving, zoals met een SIEM-oplossing zoals Splunk. Bovendien biedt een DataDiode gebruiksvriendelijkheid terwijl je Splunk-gegevens in real-time kunt analyseren.
Johan legt uit: "Wat we meestal doen is een DataDiode van een niet-vertrouwd netwerk naar een vertrouwd netwerk sturen. Je hebt bijvoorbeeld een OT-netwerk dat software-updates ontvangt van een minder beveiligd netwerk. Door een DataDiode in de omgekeerde richting te gebruiken (waarbij gegevens van het vertrouwde naar het niet-vertrouwde netwerk stromen), zorg je ervoor dat gegevens het netwerk kunnen verlaten, zonder dat iemand van de andere kant kan komen om je netwerk over te nemen. Dit voorkomt dat hackers toegang krijgen tot gevoelige OT-systemen, zoals assemblagerobots, die alleen fysiek bediend kunnen worden als er iemand binnen het OT-netwerk aanwezig is."
Belangrijkste gegevenstypen die worden overgedragen via DataDiodes
De specifieke soorten gegevens die doorgaans met behulp van een DataDiode worden overgedragen van OT-systemen naar IT-netwerken zijn onder andere verschillende vormen van monitoring- en sensordata. Fox Crypto biedt replicators die in samenwerking met partners zijn ontwikkeld om specifieke OT-protocollen zoals OPC en PI te ondersteunen. Johan merkt op dat Splunk weliswaar een meer algemene oplossing is die in eerste instantie is ontwikkeld voor klanten die gegevens willen overbrengen van een minder vertrouwd netwerk naar een vertrouwd netwerk, maar dat het ook andersom kan worden gebruikt. "We hebben een use case gezien om Splunk replicators in omgekeerde richting te gebruiken. Dus als je een OT-systeem hebt met een DataDiode, kun je deze Splunk replicator effectief gebruiken om je Splunk-gegevens te verkrijgen van een systeem dat je op afstand wilt monitoren. De soorten gegevens die Splunk verwerkt omvatten alle IT-streaming en historische gegevens, zoals mislukte aanmeldingspogingen, live toepassingslogs, netwerkfeeds, systeemmetriek of andere SIEM-gegevens."
Voordelen van het gebruik van een DataDiode in OT-omgevingen
Er zijn nogal wat voordelen verbonden aan het gebruik van een DataDiode in OT-omgevingen, zoals veilige realtime bedreigingsmonitoring. De DataDiode maakt continue gegevensstromen naar SIEM-systemen mogelijk voor onmiddellijke analyse en reactie op bedreigingen. Ook beschermt de DataDiode de integriteit van het OT-netwerk, zodat kritieke systemen onaangetast, beschikbaar en operationeel blijven.
Als we kijken naar de grootste voordelen van het gebruik van een DataDiode op het gebied van compliance en operationele integriteit in een OT-omgeving, benadrukt Johan een aantal belangrijke voordelen: "Het hangt ervan af aan wie je het vraagt, maar van de contacten die ik heb, weet ik dat er oscilloscopen zijn die op Windows draaien. Bijvoorbeeld, een oscilloscoop die op Windows XP draait, hoewel die technisch gezien al meer dan twee decennia zeer betrouwbaar werkt, zou inherent onveilig zijn en zou niet op een regulier netwerk aangesloten moeten worden. Wanneer je gegevens benadert van zo'n onveilig systeem, moet je ervoor zorgen dat het systeem niet verbonden is met een netwerk om potentiële veiligheidsrisico's te beperken.
Met een DataDiode maakt het niet uit of je systeem onveilig is. Als je een slecht beveiligde computer via een DataDiode met het internet verbindt, hoef je je geen zorgen te maken dat iemand via het internet toegang krijgt tot die onveilige systemen. Dit vermindert de noodzaak om het OT-netwerk voortdurend te bewaken en te beveiligen. Zonder DataDiodes zou ik een dergelijke opstelling zeker niet gebruiken. DataDiodes bieden een manier om een inherent onveilig systeem op afstand te gebruiken, zonder de veiligheid van je netwerk in gevaar te brengen. In wezen bieden DataDiodes gemoedsrust en verbeteren ze de beveiliging door kwetsbare systemen te isoleren van potentiële externe bedreigingen."
DataDiodes implementeren in OT-omgevingen
Bij het bespreken van de uitdagingen die we tegenkwamen tijdens de implementatie van DataDiodes in OT-omgevingen, legt Johan uit: "Een uitdaging die we tegenkwamen met de specifieke toepassing van Splunk was hoe we een niet-openbaar formaat konden transporteren over een DataDiode. We hebben dit snel opgelost door te overleggen met Splunk, die ons adviseerde om HEC (HTTP Event Collector) te gebruiken. Met deze configuratie kunnen de gegevens worden verzonden via een open protocol zoals HTTP, waardoor we de gegevens kunnen verzenden zonder dat we de inhoud hoeven te interpreteren of begrijpen. Voor continue toegang tot gegevens, zoals Splunk-gegevens, zorgt een DataDiode ervoor dat kritieke beveiligingsinformatie consistent beschikbaar is, terwijl het risico geminimaliseerd wordt."
NIS2-nalevingsregels
Regelgeving zoals NIS2 leggen monitoringeisen op, wat de noodzaak onderstreept om OT-omgevingen te beveiligen die met de buitenwereld verbonden zijn. Johan zegt: "Er zijn concrete complianceregels die vereisen dat SIEM-gegevens worden verzonden en gemonitord, wat onder hygiënemaatregelen valt. Regelgevende maatregelen hebben zowel betrekking op het voorkomen dat ongeautoriseerde gegevens binnenkomen als op het zorgen voor goede monitoring. Als je genoegen neemt met minder frequente updates en extra handmatig werk, zou je een netwerkopstelling kunnen gebruiken waarbij de gegevens één keer per dag op een cd of dvd worden gebrand en handmatig worden overgezet. Als je real-time monitoring nodig hebt, is een DataDiode zeer effectief.
Sommige OT-bedrijven missen specifieke expertise op het gebied van cyberbeveiliging, waardoor cyberaanvallen in deze markt niet ongewoon zijn. Bedrijven stellen investeringen in cyberbeveiliging vaak uit totdat een aanval de noodzaak duidelijk maakt. Een DataDiode is een investering die, eenmaal gedaan, je in staat stelt om je minder te richten op netwerkbeveiliging terwijl je toch continue monitoring en productiecontinuïteit behoudt. Deze aanpak minimaliseert de voortdurende inspanning die nodig is om kwetsbaarheden aan te pakken en zorgt voor consistente gegevensbewaking en -beveiliging."