Skab synlighed i OT-netværket

December 28, 2018 at 16:13

Har du overblik over og indblik i, hvad der sker i OT-netværket? Og er du klar over, at indholdet i protokollerne i OT-netværk kræver en anden tilgang end til de administrative netværk? It-sikkerhed i produktions- og industrielle miljøer har i lang tid været et nedprioriteret område i danske virksomheder, og det har hackerne opdaget, så derfor er det vigtigt, at du ved, hvad der sker – også på produktionsnettet.

Kigger du f.eks. på kommunikation, der ikke forlader OT-nettene? Meddelelser fra PLC’er, der ikke håndteres af SCADA-servernes fejlhåndtering? Selv om der er firewalls, der beskytter de net, hvor SCADA-servere, PLC’er osv. sidder, foregår der altid mere, end man er klar over.

Hos Nixu bruger vi værktøjer, der ser på al trafik i OT-nettene, for at synliggøre det, der ikke er foruddefineret i SCADA-serverne. Det dybere kig i trafikken klares med en server, der blot skal have en kopi af alle pakker, der flyder i netværket via en mirror-port, som nærmest alle enterprise-switche understøtter. Når vi sætter et system op, finder vi altid noget, der er uventet for kunden. Vi går helt ned i OT-protokollerne, og finder f.eks. fejlbeskeder fra PLC’er, man ikke kendte til.

Når man kigger helt ned i OT-protokollerne, kan man finde anormaliteter og få en dybere indsigt i kommunikationen. Det er værdifuldt at kunne se ændringer, hvis et angreb skulle komme. Desuden kan sikkerhed, stabilitet og tilgængelighed i produktion og forsyning gøres endnu bedre, når man kender alle detaljerne.

Al kommunikation vises på et ”kort”, hvor enhederne automatisk er placeret ud fra deres rolle i Purdue-modellen (Purdue-modellen er et princip til at opbygge sikre OT-netværk). Det er dermed nemt at finde uhensigtsmæssigheder, ligesom der for hver enhed kan ses alle alarmer og trafik.

Det er her man ofte opdager, at der er fejlkonfigureret udstyr i netværket. Det kan være enheder, der forsøger at bruge forkerte tidsservere, sender statusmeddelelser til nedlagte servere og meget andet. En PLC med forkert intern tid kan nemt spottes, inden det giver ustabilitet i produktion eller forsyning.

Vi har på OT-feltet gode erfaringer med både produktioner og forsyning, og så er vi certificeret hos SANS/GIAC i Global Industrial Cyber Security Professional (GICSP) og i GIAC Critical Infrastructure Protection (GCIP). Du er velkommen til at tage fat i mig eller en af mine kolleger, hvis du vil vide, hvad der sker i dit OT-netværk.