OT Monitoring
Wat wij zoal vinden op uw OT netwerk
Programma
• Waarom monitoren in de OT?
• Achtergrond
• Doel
• Valkuilen van firewalls
• De voordelen van monitoring
• Wat vinden wij op uw netwerk?
• Afrondingen en vragen
Waarom monitoren binnen OT?
Technische (r)evolutie
Organische groei
• Toenemende complexiteit machines & installaties
• Toenemende automatiseringsgraad
• Meer systemen
• Meer assets
• Meer onderlinge communicatie tussen systemen
• Communicatie naar buiten???
OT
PLC PLC PLC
Sensor Sensor
Sensor
HMI HMI HMI
OT IT
PLC Sensor
Internet
CONTROL ROOM Servers
Historian
Remote Access
Engineering Workstation
De wereld verandert
• Grote toename van Internet of Things (IoT)
• Werken op afstand
• Cloud, cloud & cloud
• Cyberaanvallen zijn te koop
• Cybercriminaliteit neemt toe
• Wet- en regelgeving
• Zorgplicht
• Meldplicht
Know your network!
Ken de samenstelling van je systeem:
• Welke assets?
• Welke dataflows?
• Wat zijn de kwetsbaarheden?
• Wat zijn de risico’s?
• Wat is de impact?
Laten we een firewall plaatsen…
Valkuilen van firewalls
• Veel firewalls werken alleen als router
• Veel procesdata is niet routeerbaar
• Failsafe communicatie – Noodstop
• Het blokkeren van communicatie kan leiden tot:
• Schade aan apparatuur
• Schade aan omgeving (milieu)
• Verwondingen (of erger)
Monitoren (1/2)
• OT gerichte oplossing
• Herkenning van OT protocollen en datapatronen
• Direct inzetbaar
• Zelfs op oude installaties
• Asset Management
• Tijdig inzicht in mogelijke risico’s
• Voldoen aan Wet & Regelgeving/Normen
Monitoren (2/2)
• Passieve uitlezing
• Alarmeren ipv blokkeren
• Geen verstoring van communicatie
• Geen firewall of IPS
• Maakt gebruik van Anomaly Detection
• Herkennen van abnormale datapatronen
• Triggeren op afwijkingen
Wat vinden wij op uw netwerk?
Onbekende datastromen
Onbekende datastromen
Plain text password
• Wachtwoord is met netwerk scan direct te lezen
• Kan misbruikt worden voor het verkrijgen van ongewenste toegang
Programmeerfouten (1/2)
• TCP verbindingen worden niet afgesloten
• Verbindingen blijven te lang in gebruik
• Problemen met communicatie
• Antwoorden komen niet aan
• Timing problemen
• Data kan niet vertrouwd worden
Programmeerfouten (2/2)
Invalide toegangspogingen
Herkenning van exploits – Ripple 20 (1/2)
Checksum errors en afwijkende functies duiden op verdachte
communicatie. In dit geval was dit te herleiden aan een Ripple 20 exploit.
Herkenning van exploits – Ripple 20 (2/2)
Een andere Ripple 20 kwetsbaarheid is gebaseerd op het aanpassen van IP headers. Door real-time
herkenning kan snel actie genomen worden.
Verbinding met internet
Verbinding met internet
Internet
Remote Access
Onbekende Assets
• Legacy apparatuur
• Wel aanwezig, maar niet meer in gebruik
• Assets van andere beheerders
• IT?
• Vreemde assets
• Mogelijke dreiging
Bittorrent verkeer!!!????
Afronding (1/2)
• Know your network!
• Nooit klaar!
• Processen veranderen
• Techniek blijft evolueren…
• Maar dreigingen ook
Afronding (2/2)
• OT cybersecurity monitoring
• Altijd inzicht in de assets en diens communicatie
• Detectie van onbekende assets
• Detectie van afwijkend netwerkverkeer
• Tijdig inzicht in mogelijke risico’s
• Compliance bepaling
• Wet- en regelgeving
• Normen
Vragen ?
Follow
us onLatest and actual information:
OT Network & Compliance Monitoring
“Know your network!”
• Inzicht in werkelijk aanwezige assets
• Intelligent Anomaly Detection
• Herkennen van abnormale datapatronen
• Ontwikkeld vanuit 100% OT perspectief
• Geen doorontwikkeling vanuit IT
• OT protocol herkenning
• Voorkomen van false-positives
Hudson Cybertec OT Insight
Sensoren
Hudson Cybertec OT Insight - dashboards
Laan van ‘s-Gravenmade 74 2495 AJ Den Haag www.hudsoncybertec.com 070 – 2500717 info@hudsoncybertec.com