In veel industriële omgevingen houden OT-teams vooral de productielijnen draaiende en zorgen ze voor de hoogst mogelijke beschikbaarheid van systemen zoals PLC's (Programmable Logic Controllers) en SCADA-apparaten. IT, aan de andere kant, is meestal belast met het beveiligen en optimaliseren van kantoornetwerken, datacenters en cloudoplossingen. Hoewel beide partijen verschillende doelstellingen en expertise hebben, betekent de toenemende complexiteit van cyberbedreigingen en de toenemende interconnectiviteit tussen IT- en OT-systemen dat deze lang bestaande scheiding niet langer haalbaar is. We spraken over dit onderwerp met Ronald Beiboer, Solutions Engineer bij Splunk.
"In een OT-context is beschikbaarheid koning".
Een belangrijke bron van spanning komt voort uit de verschillende prioriteiten van elke afdeling. Het OT-personeel richt zich op het continu beschikbaar houden van productie- en productieomgevingen, omdat elke minuut stilstand zich vertaalt in aanzienlijke kosten en, nog belangrijker, potentiële risico's voor de veiligheid van mensen. IT-teams concentreren zich op de vertrouwelijkheid en integriteit van gegevens. Beide in evenwicht houden is essentieel.
Ronald legt uit: "In een OT-context is beschikbaarheid koning. Aan de IT-kant hebben teams de neiging om de nadruk te leggen op nieuwe functies en vertrouwelijkheid. Omdat dit twee verschillende denkwijzen zijn, zijn veel organisaties nog steeds zo gestructureerd dat OT en IT volledig geïsoleerd van elkaar werken."
De kloof overbruggen is dringender dan ooit
Naast traditionele aanvallen worden organisaties nu ook geconfronteerd met snel evoluerende bedreigingen die gericht zijn op kritieke infrastructuur. De toenemende geopolitieke spanningen, geavanceerde ransomwarecampagnes en kwaadwillende bedreigingen van binnenuit onderstrepen allemaal het belang van het beschermen van productieomgevingen. Ronald benadrukt:
"We zien meer aandacht voor de publieke sector en nutsbedrijven in het bijzonder. Recente wereldwijde gebeurtenissen hebben de behoefte aan allesomvattende beveiliging versneld. Het is niet langer voldoende om IT en OT afzonderlijk te beveiligen - bedrijven lopen het risico dat ze hele aanvalspaden missen."
Verschillende gegevensbronnen verbinden met Splunk
De flexibiliteit van Splunk is een belangrijke kracht bij het overbruggen van de IT-OT kloof. Splunk staat bekend als een robuust data-analyse- en SIEM-platform en kan gegevens van elke bron, in elk formaat en op elke schaal verwerken. Ronald zegt: "Het belangrijkste voordeel van Splunk is de mogelijkheid om 'elke data' te verwerken. Of dat nu logs zijn van een Windows server of gespecialiseerde data van OT monitoring tools, Splunk kan het verenigen. Deze omgevingsoverstijgende zichtbaarheid is cruciaal wanneer je IT- en OT-beveiliging combineert."
Het platform kan lokaal worden ingezet, wat een populaire keuze is voor gevoelige industriële omgevingen die terughoudend zijn met het verplaatsen van gegevens naar de cloud, of in private/publieke cloudomgevingen, afhankelijk van de behoeften van de organisatie.
Belangrijkste functionaliteiten voor OT-incidentrespons
Traditionele OT-specifieke oplossingen genereren vaak een stortvloed aan waarschuwingen, maar bewaren slechts minimale historische gegevens. OT-teams kunnen worstelen met "waarschuwingsmoeheid" en missen de mogelijkheid voor robuuste forensische analyse. "Veel OT-oplossingen slaan gegevens niet op lange termijn op en overspoelen je met waarschuwingen. Door deze tools te integreren in Splunk behoud je de context die je nodig hebt voor threat hunting of forensisch werk, en zie je alleen de alerts die er echt toe doen." Splunk helpt deze pijnpunten op te lossen door:
- Ruis bij waarschuwingen verminderen: Splunk kan waarschuwingen uit verschillende bronnen correleren en gebeurtenissen met een laag risico of dubbele gebeurtenissen eruit filteren. Analisten krijgen minder, meer zinvolle waarschuwingen.
- Langdurig bewaren van gegevens: Splunk schaalt op om historische logs en sensorgegevens veel langer te bewaren dan veel standaardoplossingen. Deze uitgebreide dataretentie is cruciaal voor forensisch onderzoek en onderzoek na een incident.
- Eenvoudige integratie met OT-tools: Veel leveranciers van industriële beveiliging sluiten direct aan op Splunk. Dit creëert een centrale console voor zowel IT- als OT-gebeurtenissen.
Voor organisaties die bijzonder gevoelige gegevens verwerken, creëert de DataDiode een eenrichtingsstroom waarmee bewakingsgegevens uit de OT-omgeving kunnen worden gehaald en gecorreleerd met IT-gegevens, terwijl wordt voorkomen dat netwerkverkeer terugstroomt naar de OT-omgeving. Dit zorgt ervoor dat, terwijl OT-gegevens worden bewaakt en geanalyseerd op veiligheid, kwaadwillend verkeer de verbinding niet kan gebruiken als achterdeur om kritieke systemen te compromitteren.
Veel datacentrische oplossingen (waaronder Splunk) vereisen echter traditioneel tweerichtingscommunicatie om de gegevensoverdracht te bevestigen. Fox Crypto overbrugt deze uitdaging door een Splunk Replicator in te zetten binnen de DataDiode architectuur.
"Een DataDiode dwingt eenrichtingsverkeer af - fantastisch voor de beveiliging, maar het kan tools verstoren die vertrouwen op bevestiging in twee richtingen. De Splunk Replicator van Fox Crypto simuleert effectief het 'retourpad', waardoor logs kunnen worden opgenomen in Splunk terwijl de strikte eenrichtingsstroom van de diode behouden blijft. Het is een elegante oplossing die de integriteit van beide systemen behoudt."
Gebruikscases: OT-beveiliging op schaal aanpakken
Ronald beschrijft een typisch scenario: een OT-beveiligingsteam zet een gespecialiseerde monitoringtool in, maar registreert slechts een klein deel van de gebeurtenissen. Het team wordt overspoeld door waarschuwingen en mist context over hoe een aanvaller binnenkwam of ronddraaide. "Als er een echt incident optreedt, moet je alles op een rijtje zetten - anders verspil je tijd. Met Splunk blijven je gegevens lang genoeg bewaard om de lastige forensische vragen te beantwoorden. Dat is een game-changer in kritieke OT-omgevingen."
Door logging en correlatie uit te breiden naar Splunk, profiteren ze van:
- Volledig inzicht in aanvalspaden: OT- en IT-logs op één plek, die laten zien hoe bedreigingen zich verplaatsen van een gecompromitteerd IT-apparaat naar bijvoorbeeld een PLC.
- Verbeterde efficiëntie voor analisten: Analisten verwerken minder waarschuwingen met een hogere betrouwbaarheid en beschikken over diepere forensische gegevens.
- Gestroomlijnde respons bij incidenten: Mocht een organisatie externe ondersteuning nodig hebben, zoals een incident response team, dan versnelt het hebben van historische gegevens in Splunk het onderzoek drastisch.
De toekomst van OT-beveiliging
Voor de toekomst voorspelt Ronald een voortdurende drang naar convergentie tussen IT en OT, vooral nu de wereldwijde spanningen en bedreigingsactoren geavanceerder worden. Organisaties die OT-beveiliging geïsoleerd houden, krijgen te maken met hogere risico's, inefficiëntie en de mogelijkheid van blinde vlekken.
"Veel bedrijven beginnen nu pas te investeren in OT-beveiliging. De volgende natuurlijke stap is het combineren van IT- en OT-beveiliging om de operationele kosten te verlagen en zichtbaarheid te krijgen in elk aspect van het aanvalsoppervlak."
Een cruciaal onderdeel van deze evolutie is organisatorische afstemming op leiderschapsniveau. Zonder een sterke buy-in op C-niveau om IT- en OT-teams te verenigen en best practices, toolsets en gegevens te delen, zullen beveiligingsstrategieën gefragmenteerd blijven. Deze visie is van vitaal belang om de kloof te overbruggen en ervoor te zorgen dat beveiliging een geïntegreerd onderdeel wordt van de algehele strategie van de organisatie, in plaats van alleen een technische kwestie.
