Operational Technology (OT) bestaat uit hardware en software die gebruikt worden om productieprocessen te monitoren en aan te sturen. Een van de voorbeelden van Operational Technology heet ICS. Dit staat voor Industrial Control System. Het is een verzamelnaam voor alle apparaten, programma's en netwerken die gebruikt worden om (vaak) fysieke processen op de werkvloer aan te sturen. Denk aan transport van olie en gas in pijpleidingen, aansturing van het elektriciteitsnet, weg-, spoor- en luchtverkeerssystemen en diagnoses bepalen voor storingen op deze machines. Enkele voorbeelden van onderdelen binnen een ICS-systeem zijn:
- SCADA (Supervisory Control and Data Acquisition),
- RTU (Remote Terminal Unit),
- PLC (Programmable Logic Controller)
- HMI (Human Machine Interface)
OT architectuur
Figuur 1: Voorbeeld van een OT infrastructuur
Je hebt deze onderdelen gezamenlijk nodig, dus laten we kijken hoe deze aan elkaar verbonden zijn. Stel je hebt meerdere industriële systemen zoals een waterpomp, loopband, thermostaat en een centrifuge. Deze machines kunnen worden gekoppeld aan een RTU of PLC (slave) die op zijn beurt de informatie over de machine doorstuurt naar de SCADA-controller (master). RTU's en PLC's worden namelijk aangestuurd via een gecentraliseerde master controller. Nu kan de operator van deze controller rechtstreeks communiceren met de SCADA of hij kan een HMI gebruiken om met de SCADA te communiceren en commando's door te geven. De communicatie tussen SCADA, RTU's en PLC's kan plaatsvinden door gebruik te maken van verschillende communicatieprotocollen. Een van de voorbeelden is het MODBUS-protocol, dit wordt ook het vaakst gebruikt en werkt met heel veel verschillende leveranciers van OT-systemen. Er zijn twee typen: MODBUS RTU, die een seriële communicatie gebruikt en MODBUS TCP die het TCP/IP protocol gebruikt. In dit protocol is de SCADA de master en de PLC/RTU worden slaven genoemd. De master kan lees en schrijfbewerkingen op de slaven uitvoeren. Het werkt via poort 502.
De gevaren van OT
Als er nu een kwaadwillende gebruiker of aanvaller in dit netwerk is, kan hij verschillende aanvallen uitvoeren. Hij kan het verkeer tussen de SCADA en deze besturingsapparaten lezen met behulp van tools zoals Wireshark en een replay-aanval uitvoeren. PLC's en RTU's hebben configuraties die opgeslagen staan in hun geheugen. De aanvaller kan zich voordoen als het master-apparaat en deze configuraties overschrijven om het geheugen van deze apparaten aan te passen naar waardes die de machine kunnen crashen, het productieproces aanpassen of informatie over uitlezen. De gevolgen hiervan zijn incidenten zoals BlackEnergy, GreyEnergy, Industroyer en Triton. Hierbij viel de stroom uit bij bijna 1 miljoen Oekraïners en werd de olieproductie van Saudi-Arabië stilgelegd.
Figuur 2: alle OT systemen die gekoppeld staan aan het internet (2019)
Om dit te illustreren hebben we een korte demo samengesteld hoe een aanvaller via het MODBUS-protocol waardes kan aanpassen in RTU's of PLC's:
Deze aanvallen vinden vaak op het interne netwerk plaats. Al staan behoorlijk veel OT-systemen ook gekoppeld aan het internet. Detectie is daarom het startpunt. Dankzij GREYCORTEX MENDEL krijg jij inzicht in jouw interne netwerk en weet jij direct wanneer verdachte activiteiten plaatsvinden voordat afwijkende waardes in jouw OT-systemen tot kritieke risico's leiden. Plan een afspraak in met ons om jouw situatie te bespreken en zie wat GREYCORTEX jou kan bieden om grip te krijgen op jouw OT-omgeving.