ICS-systemen zijn oorspronkelijk bedoeld voor uitsluitend lokale toegang. Ze bieden efficiëntere genetwerkte controle dan voorheen, maar ze hebben een potentieel catastrofaal risico. Malware die niet eens op deze systemen is gericht, zoals we zagen met Industroyer, zouden geen toegang moeten krijgen en toch gebeurt dat, waardoor fabrieken praktisch stil komen te liggen.

Tenzij je volledig stand-alone wilt gaan, is het zaak om de systemen te monitoren en de toegang grondig te beperken. Dat kan prima, mits je de juiste maatregelen hebt genomen, bijvoorbeeld een beveiligde basis, gesegmenteerd netwerk en monitoringtools. Er zijn zowel open source als commerciële opties, maar in beide gevallen is het zaak een paar belangrijke vragen te stellen. In de eerste plaats:

1. Biedt de monitoringtool de functionaliteit die je zoekt?

De voornaamste leveranciers van ICS-monitoring - Indegy, CyberX, Nozomi Networks en Claroty - bieden verschillende niveaus van asset-inventarisatie, netwerkmonitoring en SOC-integratie. Ze richten zich minder op specifieke verticals en meer op de taak van het analyseren van gespecialiseerde, vaak antieke protocollen als modbus en het identificeren van gespecialiseerde apparaten, zoals PLC's. Verkeer van ICS-netwerken is heel anders dan doorsnee zakelijk netwerkverkeer en het monitoren van M2M-communicatie is een bijzonder type verkeer.

Asset-inventarisatie is sowieso iets wat door alle leveranciers wordt aangeboden, omdat je nou eenmaal niets kunt beveiligen waarvan je het bestaan niet weet. "De meeste organisaties hebben geen antwoord op deze vraag", zegt Phil Neray van CyberX. "Ze weten wellicht welke apparaten werden geïnstalleerd toen de fabriek in gebruik werd genomen, vijftien of twintig jaar eerder, maar hoe is de omgeving inmiddels veranderd? Welke apparaten zijn er en communiceren ze met elkaar?"

Doorlopende monitoring op risico's is ook een basisfunctionaliteit die je van een leverancier mag verwachten. Het identificeren van verdacht verkeer, ongeautoriseerde apparaattoegang op het operationele netwerk detecteren en het gebruiken van machine learning om afwijkend gedrag op te merken, zijn allemaal must-haves voor deze producten. Ook een open API om te integreren met je SIEM is hierin belangrijk: waar gaan de meldingen heen en wie bekijkt ze? En SOC-integratie begint tevens een must-have te worden voor basisfunctionaliteit, nu bedrijven meer overstappen op een dedicated beveiligingsafdeling.

Een onderscheidend vermogen waar je op zou kunnen letten als je ICS-monitoring gaat inzetten is de hoeveelheid false positives - of true positives met lage prioriteit - worden gemeld door de oplossing. Je SOC heeft hoogstwaarschijnlijk niet de resources om elk afzonderlijk incident uit te diepen en vaak worden lage prioriteit-meldingen opzij gezet om 24/7 uptime te behouden. Een vloedgolf aan meldingen vreet resources en snoept de aandacht weg van de risico's waar je wel naar zou moeten kijken.

In tegenstelling tot andere ICS-tools kijkt Dragos naar inbraakdetectie en de inlichtingen en data daarachter. Dat onderzoek wordt aangeboden als een soort Threat Intelligence as a Service. "We nemen een datagedreven aanpak met het zoeken naar risico's. Klanten nemen via een abonnement een informatiepakket dat regelmatig wordt afgeleverd", legt Dragos-chef Ben Miller uit.

Gemeentelijke voorzieningen opgelet: dit bedrijf biedt gratis of goedkope communitytools voor bijvoorbeeld waterleiding- en energiebedrijven. De meeste andere leveranciers jagen op de grote vissen in de vijver - de multinationals - en Dragos doet dat ook, maar om de kritieke infrastructuur te verbeteren levert het bedrijf verschillende alternatieven die weinig winst brengen, maar meer een maatschappelijk belang dienen.

2. Geeft de leverancier een gratis proefperiode?

Of een oplossing juist is voor jouw organisatie hangt ook af van of je een proefrit kunt nemen bij een leverancier, want totdat je ziet hoe het in de praktijk functioneert, weet je nooit zeker of wat op papier goed lijkt ook werkt voor jouw situatie. "Wat is de behoefte van het bedrijf? Er is geen 'beste tool'", meent Robert Caldwell, ICS-consultant bij Mandiant. "Tools evolueren constant en halen elkaar om de beurt in."

Omdat iedere ICS-uitrol anders is, is er geen totaaloplossing die voor iedereen evengoed werkt als je op zoek bent naar ICS-monitoring. Daarom zou iedere aanbesteding een gratis trail moeten bevatten zodat je een installatie kunt ervaren binnen je omgeving. Dat is de enige manier om te zien of de oplossing ook de juiste antwoorden geeft op jouw vragen.

3. Hoe goed integreert de tool met SIEM en SOC?

Informatiebeveiligingchefs willen ook dat de oplossing goed samenwerkt met het bestaande SIEM-systeem e zorgt voor zichtbaarheid van zowel IT als OT in een enkel dashboard. Dat zijn slechts enkele van de belangrijke vragen die fabrikanten en nutsvoorzieningen moeten beantwoorden.

4. Is open source ICS-monitoring een optie?

Nu beland je wellicht op het punt dat je je afvraagt: "Waarom zou ik niet zelf een oplossing samenstellen?" Vooral grotere organisaties kunnen dezelfde capaciteit leveren als commerciële leveranciers wanneer ze open source-opties inzetten. Je hebt Security Oninon de ELK-stack, Suricata en je kunt zelfs iets als Snort gebruiken voor functionaliteiten.

Consultant Caldwell, die veel grote bedrijven adviseert, plaatst kanttekeningen bij die strategie. "We hebben gezien dat er bedrijven zijn die zo hun eigen beveiligingstools in elkaar zetten", zegt hij, "maar het is ontzettend lastig en uiteindelijk duur". Met veel moeite en uitstekende interne beveiligingsexpertise zou je producten kunnen bouwen die overeenkomen met die van leveranciers, maar gezien het personeelstekort lijkt het lastig om de juiste expertise te werven en vooral vast te houden, vooral als andere organisaties die naarstig op zoek zijn naar informatiebeveiligers met grotere zakken geld personeel weglokken.

Open source-tools bieden ook asset-inventarisatie en netwerkmonitoring en hebben uiteraard open API's die integratie in een SOC mogelijk maken. Echter, de ontwikkeling van geavanceerde en de allermodernste features loopt momenteel achter op het aanbod van commerciële partijen.

5. Beveiligt dit IT en OT afdoende?

Maar dat betekent allemaal niet dat je de sleutels moet overhandigen aan een commerciële leverancier. Het issue doorschuiven is geen goede beveiligingsstrategie en er zijn genoeg dingen die bedrijven kunnen doen om hun IT- en OT-systemen te beveiligen en succesvolle integratie met een ICS-monitoringssysteem te bereiken. Hechte samenwerking tussen ICS-beheerders en informatiebeveiligers, bijvoorbeeld door een paar weken de rollen van de twee om te draaien, kan heel behulpzaam zijn om het cultuurgat tussen IT en OT te dichten.

6. Wat gebeurt er met deze tool over x jaar?

De laatste jaren is er veel investeringsgeld beschikbaar gekomen voor ICS/OT-monitoring en een aantal bedrijven is opgekomen als belangrijke spelers in deze kritieke nichemarkt. Veel bieden soortgelijke producten en diensten, en enige consolidatie in die markt is onvermijdelijk. Daar moet je rekening mee houden als je een contract afsluit: wat gebeurt er als deze leverancier wordt overgenomen of de deuren moet sluiten?

Beveiligingsoplossingen hebben meestal niet de levensduur van een fabrieksmachine die decennia gebruikt gaat worden. ICS/OT-monitoring is een belangrijke maar kleine vertical en de Global 2000-bedrijven waar leveranciers zich op richten zijn er, nou ja, maar 2000. Als contracten eenmaal zijn getekend en tools zijn uitgerold in honderden fabrieken lijkt er weinig verloop mogelijk onder leveranciers.

Dat betekent dat leveranciers voor een keuze staan: ofwel te worden overgenomen, of de scope verbreden verder in de bredere securitymarkt. "We gaan een aantal trends zien", zegt Caldwell. "Sommige bedrijven moeten zich verkopen omdat ze anders hun investeringskapitaal langzaam opmaken. Andere bedrijven kijken naar de lange termijn en denken aan een beveiligingsproduct, niet alleen een OT-tool."

Dat betekent dat zo'n leverancier mogelijk geen lang leven beschoren is. Om die reden moeten klanten eisen dat leveranciers transparant zijn over hun financiën voor ze hun handtekening onder een contract zetten. Het kan ook voorkomen dat een leverancier wordt verkocht terwijl de inkt op het contract nog niet droog is. "Ik denk dat omdat deze leveranciers zo gelijk zijn er niet veel mogelijkheden zijn voor consolidatie voor meer features en functionaliteiten", meent Caldwell. "Als er uiteindelijk consolidatie is, gaat dat meer om strategische overnames om iemand uit de markt te halen."