SCADA (Supervisory Control and Data Acquisition) is een besturingssysteem voor industriële processen die bijvoorbeeld in de productie-, energie-, water- en transportsector worden gebruikt. SCADA-systemen maken gebruik van meerdere technologieën waarmee organisaties gegevens kunnen verzamelen, bijhouden en verwerken, maar ook opdrachten kunnen verzenden naar de punten die data verzenden. Dankzij verouderde systemen, die uiterst kwetsbaar zijn, en een toename van bedreigingen gericht op kritieke infrastructuur, maakt het verbeteren van de cyberbeveiliging van SCADA-netwerken steeds belangrijker. Palo Alto Networks geeft vijf tips voor hoe u het meeste uit uw SCADA beveiliging kunt halen.
1. Implementeer een kader op basis van industriële standaarden
Laat SCADA operators richtlijnen verstrekken voor het opzetten van een beveiligingsbeleid, het uitvoeren van risico beperkende maatregelen, het uitvoeren van een volledige risicobeoordeling en het implementeren van controles ter beperking van de risico's.
IEC 62443 voor ICS-beheersystemen voor cyberbeveiliging is de standaard voor dit kader, ongeacht de grootte van het bedrijf of de sector waarin het bedrijf actief is. Daarnaast is het technologie-onafhankelijke ISO/IEC 27001-kader van toepassing op zowel technische als niet-technische omgevingen en kan men de speciale NIST-publicatie 800-82 gebruiken. Deze publicatie geeft een overzicht van de ICS-systemen, systeem topologieën, veelvoorkomende bedreigingen en kwetsbaarheden en biedt aanbevelingen voor tegenmaatregelen om risico's te beperken.
2. Voer netwerksegmentatie uit in combinatie met beveiligingscontroles
Een effectieve methode voor het terugdringen van het aantal cyberaanvallen is netwerksegmentatie in combinatie met beveiligingscontroles. Maar hoe bescherm je jouw SCADA-netwerk?
- Een netwerk kan zijn voorzien van een SCADA-beveiligingszone die gesegmenteerd en geïsoleerd is van de rest van het netwerk door een next-generation firewall;
- Benader de SCADA-zone door middel van gebruikersverificatie, niet op basis van het IP-adres, zodat niet-geautoriseerde gebruikers geen toegang hebben tot het netwerk;
- Stuur SCADA-protocols zoals Modbus, DNP3 en ICCP aan via de daadwerkelijke applicatie in plaats van via poorten. Op die manier neemt u de risico's weg van het beheren van meerdere geopende poorten waardoor bedreigingen zouden kunnen binnendringen;
- Inspecteer al het verkeer dat de SCADA-zone binnenkomt op exploits, malware, botnets en gerichte aanvallen middels een compleet beveiligingskader tegen kwetsbaarheden;
- Zichtbaarheid binnen de grenzen van de beveiligde SCADA-zone is van uiterst belang. Er bestaan vaak beperkingen voor het 'inline' plaatsen van apparaten, oftewel tussen de besturings-/engineering-interfaces en de industriële regelapparatuur, zoals automatiseringsservers, PLC's en RTU's. Om het situationele bewustzijn van cyberrisico's te verbeteren, kunt u een 'monitor only modus´ overwegen.
3. Verbeter de samenwerking tussen IT en OT
Een geïntegreerde SCADA- en bedrijfsinfrastructuur betekent dat beslissingen met betrekking tot de bedrijfsinfrastructuur directe gevolgen kan hebben voor de SCADA-beveiliging. Om er zeker van te zijn dat potentiële zwakheden in overweging zjin genomen en dat er preventieve maatregelen zijn ingesteld zijn regelmatige bijeenkomsten tussen IT, beveiliging en het SCADA team noodzakelijk. De teams kunnen waardevolle informatie met elkaar delen om te zorgen dat de netwerken veilig blijven.
4. Voorkom bekende en onbekende bedreigingen
SCADA-netwerken zijn belangrijker dan ooit, aangezien kritieke infrastructuren constant worden aangevallen, maar ontoereikend beveiligd en niet gepatcht zijn. Security managers moeten de netwerktoegang controleren, bedreigingen blokkeren en de uitvaltijd als gevolg van beveiligingsincidenten terugdringen. Dit is mogelijk met WildFire, dat ter plekke bedreigingspreventie kan genereren. WildFire, dat voor zowel openbare als particuliere cloud-implementaties wordt aangeboden, wordt gebruikt voor het stoppen van geavanceerde zero-day-malware. Dit is bijvoorbeeld malware die vergelijkbaar is met Stuxnet en Energetic Bear. De implementatie ondersteunen meerdere next-generation firewalls, waardoor elke firewall feitelijk wordt omgevormd tot een sensor voor het detecteren van onbekende bedreigingen in honderden bestandsapplicaties via standaard en niet-standaard poorten, met de mogelijkheid om deze ook automatisch te voorkomen. Dit is een fundamenteel verschil met andere, lokale oplossingen die alleen de mogelijkheid tot detectie hebben en een of meer applicatiespecifieke sandboxing-apparaten op elk inspectiepunt in het netwerk vereisen, wat leidt tot een gedeeltelijk open beveiliging met hoge kosten.
5. Train uw SCADA-technici
SCADA-technici zijn gewend te werken in een omgeving met een zeer trage omlooptijd wat betreft nieuwe technologieën. Technologie die SCADA kan ondersteunen, heeft een levenscyclus van wel 20 jaar. Dit betekent dat technici die SCADA-infrastructuren onderhouden en bedienen vaak een beperkte kennis hebben van nieuwe technologieën, bedreigingen en de beveiligingsmaatregelen die nodig zijn om de nieuwe netwerkomgeving te beschermen. Het is moeilijk voor hen om de meest recente informatie bij te houden, omdat ze zich bezighouden met het ontwikkelen en onderhouden van de automatiseringsinfrastructuur. Door deze technici te trainen, blijven ze altijd op de hoogte van de nieuwste technologieën en kunnen ze deze kennis implementeren om het netwerk nog beter te beschermen.