IT en OT beveiligen met Honeypot van SecurityHive

De uitdaging: beveiliging van IT- en OT-omgevingen

‍In tegenstelling tot typische kantoororganisaties opereren productiebedrijven niet alleen in een IT-omgeving, maar ook in een OT-omgeving (Operational Technology). Voor deze coöperatie is de OT-omgeving absoluut cruciaal — downtime is simpelweg geen optie. Als de productiefaciliteit zou sluiten vanwege een cyberincident, zou de impact voor het bedrijfsleven enorm zijn, waardoor de voerproductie zou worden stopgezet en de hele landbouwketen zou worden verstoord.

De coöperatie besefte dat de bescherming van haar OT-systemen essentieel was. Met name de Programmable Logic Controllers (PLC's) — de apparaten die machines, temperatuurregeling en andere productieprocessen aansturen — vormden een belangrijk potentieel toegangspunt voor aanvallers.

‍

De oplossing: SecurityHive Honeypots in IT en OT

‍SecurityHive heeft honeypots geïmplementeerd in zowel de IT- als de OT-omgeving. Binnen OT is de honingpot is geconfigureerd om PLC's te imiteren en ondersteunt protocollen zoals MODBUS die vaak worden gebruikt in industriële systemen. Deze opstelling zorgt ervoor dat kwaadwillende pogingen worden omgeleid: aanvallers maken gebruik van de lok-PLC in plaats van met de echte productiesystemen. Eenvoudig gezegd zorgt de honeypot ervoor dat aanvallers „praten” met de PLC van SecurityHive, waardoor echte schade aan de OT-infrastructuur van de coöperatie wordt voorkomen.

De implementatie in OT bleek niet ingewikkelder dan in IT — het belangrijkste verschil ligt in de ondersteuning van de juiste industriële protocollen. In feite maken OT-omgevingen de implementatie vaak eenvoudiger omdat ze vaak worden beheerd door externe partijen, zoals grote fabrikanten van industriële apparatuur. SecurityHive-honeypots kunnen ook naadloos omgaan met oudere systemen, wat een voordeel is gezien de oudere software die vaak in OT-omgevingen wordt aangetroffen.

Ondertussen werden er ook honeypots in de kantooromgeving (IT) geplaatst. Medewerkers zijn vaak het eerste toegangspunt voor aanvallers via methoden zoals phishing. Door kwaadwillig gedrag vroegtijdig te detecteren, bieden honeypots een extra vangnet, waardoor verdachte activiteiten kunnen worden geïdentificeerd voordat deze escaleren.

‍

Monitoring en zichtbaarheid

‍Alle meldingen worden verzameld in het gecentraliseerde beveiligingsdashboard van SecurityHive. De klant heeft directe toegang en handelt zelf naar aanleiding van meldingen. Daarnaast integreert SecurityHive met SIEM-platforms om de monitoring verder te stroomlijnen.

Zakelijke voordelen

‍Door honeypots in te zetten in zowel IT als OT, heeft de coöperatie verschillende belangrijke voordelen behaald:

• Operationele continuïteit beschermd: Met honeypots die PLC's en OT-systemen beschermen, wordt het risico op productiestilstand drastisch verminderd.
• Vroegtijdige detectie van bedreigingen: Honeypots registreren kwaadaardig gedrag voordat aanvallers echte schade kunnen aanrichten, waardoor een snelle reactie wordt gegarandeerd.
• Dekking in alle omgevingen: Zowel kantoor-IT-systemen als de industriële OT-infrastructuur worden gemonitord, waardoor kwetsbaarheden op elk niveau worden verminderd.
• Ondersteuning voor oudere systemen: Honeypots kunnen oudere industriële systemen nabootsen en ermee integreren, waardoor er geen hiaten in de bescherming zijn.

Verbeterde beveiligingshouding: In tegenstelling tot puur preventieve oplossingen, onthullen honeypots aanvallers die zich al binnen het netwerk bevinden, waardoor inzicht wordt geboden in verborgen bedreigingen.

Voor deze land- en tuinbouwcoöperatie zijn de honeypots van SecurityHive een onmisbare beschermingslaag geworden. Door IT- en OT-dekking te combineren, industriële protocollen te ondersteunen en vroegtijdige detectie mogelijk te maken, zorgen honeypots ervoor dat de continuïteit van de productie nooit in gevaar komt, terwijl ze de organisatie tegelijkertijd een bruikbaar inzicht geven in bedreigingen die traditionele defensiediensten misschien over het hoofd zien.