Informatiebeveiliging - Security Operations Center - AuditConnect

Security Operations Center

Het Security Operations Center (SOC) van AuditConnect werkt onafhankelijk van datacenters, leveranciers en/of producten en is inzetbaar in elke technische infrastructuur (hybride omgeving, Cloud omgeving enz.). AuditConnect biedt met haar innovatieve Security Information en Event Management (SIEM) een complete oplossing voor 24/7 bescherming ten behoeve van de continuïteit van uw bedrijf.

Met onze dienstverlening komen wij zowel aan de behoefte van de bestuurders en managers als aan die van de beheerders tegemoet. Wij weten als geen ander dat het voldoen aan wet– en regelgeving veel inspanning vergt. Door continue scanning van uw netwerk en realtime rapportages helpen wij u bij het voldoen aan compliance.

Een Second Opinion, een eenmalige of tijdelijke vraag, maar ook continue bescherming; met onze dienstverlening die u ook kunt afnemen als een ‘Managed Service’ bieden wij u zekerheid en inzicht in de kwetsbaarheden van uw organisatie. Voor visualisatie hiervan en een toespitsing op uw wensen nodigt AuditConnect u graag uit voor een demonstratie bij ons Security Operations Center.

Security Information and Event Management (SIEM) en Supervisory control and data acquisition (SCADA)

AuditConnect biedt een volledige SIEM-oplossing aan, die in staat is SCADA-systemen en processen die risico’s vormen, te identificeren. Daarnaast is het mogelijk om gecorreleerde (van gegevens) monitoring toe te passen op alle assets. Hierdoor kan AuditConnect sneller reageren op beveiligingsincidenten en is er een meer realistische kans dat indringers tijdig worden gestopt.

Dit SIEM is een goede aanvulling op monitoring tools, zoals Ignition en Simatic WinCC. De realtime alarmering, actieve netwerkscans en het bekijken van het netwerkverkeer zijn uniek voor het SIEM van AuditConnect.

Inleiding

De procesbesturing van SCADA-systemen vindt plaats door geautomatiseerde systemen. Omdat steeds meer gebruik wordt gemaakt van generieke ICT-middelen, wordt op deze wijze ook de standaard ICT-problemen in de procesautomatisering geïntroduceerd. De kwetsbaarheden van SCADA- systemen, zoals (on)veilige controle- en besturingssystemen binnen de SCADA omgeving, zijn door de koppeling aan het internet (IoT) makkelijk te traceren. Bedrijven zijn zich niet bewust van de risico’s die dit met zich mee brengt, want vaak vallen deze systemen niet binnen de reikwijdte van een security beleid. Onderzoekers naar Security, maar ook kwaadwillende, blijken de laatste tijd steeds meer interesse te tonen voor SCADA omgevingen. Door de makkelijke traceerbaarheid is het eenvoudig om een Cyberaanval voor te bereiden en uit te voeren, waardoor de continuïteit van een bedrijf in gevaar komt. Sabotage van een verwarmingsthermostaat levert ongemakken op, maar sabotage van verkeersregeling, de chemische industrie of attracties zoals bijvoorbeeld de "Vogel Rok"in de Efteling heeft een totaal andere impact die heel negatief kan uitpakken.

Veiligheid van SCADA- systemen en het continu betrouwbaar kunnen werken van deze systemen is belangrijk. Inregeling van beveiliging van SCADA- systemen dient te worden meegenomen in het Security beleid van organisaties. Door de uitgebreide kennis van SCADA omgevingen is AuditConnect de partner om u met de uitvoering hiervan te ondersteunen.

Wat is het voordeel van het SIEM van AuditConnect?

Het SIEM bundelt monitoring en alarmering in chronologische volgorde: analyse, correlatie en rapportagefunctionaliteiten. Met het SIEM worden deze processen aanzienlijk efficiënter uitgevoerd dan met de losstaande systemen zelf en neemt veel handmatig werk uit handen.

Vanuit een compliance oogpunt draagt het SIEM bij aan het in control zijn met geldende wet- en regelgeving zoals NERC CIP, CIDX/ACC, AGA 12, API of ISA/IEC 62443. Sommige regeringen hebben daar bovenop ook nog hun eigen regelgevingen opgesteld.
Het SIEM voorziet managers en beheerders van actuele informatie over dreigingen en kwetsbaarheden op gedefinieerde assets. Hierdoor is het mogelijk om zo vroeg mogelijk gepaste maatregelen te nemen waardoor schade kan worden beperkt of zelfs wordt voorkomen.

Het SIEM vermindert het zogenaamde ‘aanvalsvlak’ van organisaties aanzienlijk. Dit gegeven - gecombineerd met een snellere detectie, alarmering en response vanuit het SIEM – vermindert de kans

dat organisaties doelwit worden van een aanval. Het vermindert tegelijkertijd mogelijke negatieve business impact en de sociale impact zoals verkeers-regeling, sluizen, attracties, Internet of Things en industriële chemie.

Het SIEM kan, door de geïntegreerde kwetsbaarhedenscanner, ook worden ingezet om achterstallig onderhoud van de infrastructuur van binnenuit te detecteren en is goed te integreren met diverse, al in gebruik zijnde incident registratiesystemen.

AuditConnect biedt diensten vanuit het SIEM aan als Managed Service

Voordeel voor managers:

  • Centrale plek voor alle informatie betreffende veiligheid van vitale netwerken;
  • Rapportages van opgeloste en onopgeloste veiligheidsproblemen;
  • Indicatie van mate waarin wordt voldaan aan standaarden.

Voordeel voor beheerders:

  • Direct meldingen bij poging tot indringing in een gedefinieerde asset;
  • Uitgebreide informatie over de aard van gedetecteerde dreigingen, kwetsbaarheden en bijbehorende oplossingen;
  • Mogelijkheid tot controle op assets die niet in de asset database voorkomen.

Het SIEM van AuditConnect bestaat uit verschillende componenten

Het Siem bestaat uit de volgende twee componenten:

  • AlienVault: Het eerste component AlienVault vormt de basis van het SIEM. AlienVault is een systeem dat op basis van instellingen en het sniffen (meekijken) van het dataverkeer aanvallen kan herkennen. Aan de hand van de ingestelde regels kan de AlienVault een signaal afgeven naar de betreffende beheerder. Tevens kan het SIEM IOC (Indication Of Compromise) en signaturen met derden, zoals het NCSC (Nationaal Cyber Security Center) uitwisselen. Hierdoor worden onbekende IOC’s en nieuwe aanvalstechnieken sneller herkend.
  • Lastline: Deze toepassing is gebaseerd op patroonherkenning en gespecialiseerd in het detecteren van aanvallen die nog onbekend zijn. Men moet hier denken aan nieuwe APT (Advanced Persistent Threat) en zero-day aanvallen.

Virusscanners, IPS (Intrusion Prevention System) oplossingen en andere soortgelijke oplossingen maken gebruik van traditionele instellingen, waardoor nieuwe virussen en cryptoware niet worden gedetecteerd. LastLine is ook in staat om mails en de datastroom op (nog) onbekende besmettingen te controleren en deze te blokkeren.

Werking Lastline

Nog twee belangrijke onderdelen van Lastline zijn:

  1. De mogelijkheid om handmatig bestanden of een URL te controleren. Bijvoorbeeld een USB stick waarvan de inhoud niet wordt vertrouwd of een URL uit een zogenaamde firmware update.
  2. Lastline is in staat om end-points te monitoren en te beschermen. Dit kunnen zowel systemen, als Computers, HMI (Human Machine Interface), RTU (Remote Terminal Units) en PLC (Programmable Logic Controllers) zijn.

Hoe werkt het SIEM van AuditConnect?

Door het SIEM op de diverse lagen van de keten te plaatsen kan men een goed beeld krijgen van de omgeving en de relaties tussen de verschillende lagen. Er is meegenomen dat er diverse Wi-Fi koppelingen kunnen zijn. De huidige PLC systemen kunnen ook een Wi-Fi connectie hebben.

Het SIEM van AuditConnect is in staat om dit soort netwerken te inspecteren. Doordat het SIEM diverse protocollen verstaat (Modbus, Siemens S5/S7, profinet, ethernet/IP, CIP, DNP3, Bacnet enz.) kan hier een juiste analyse van uitgevoerd worden.

werking SIEM

Een SIEM toepassing, zoals door AuditConnect wordt gebruikt, werkt als volgt:

In elk netwerksegment dat men wil monitoren staat een zogeheten sensor van AlienVault en Lastline. Dit is een instrument die het netwerkverkeer bekijkt en actieve netwerkscans uitvoert. De sensorsystemen voeren diverse soorten netwerkscans en monitoring uit:

  1. Eén type scan is bedoeld om kwetsbaarheden die vanaf het netwerk zichtbaar zijn in assets te vinden.
  2. Een andere type netwerkscan controleert of de netwerkdiensten die beschikbaar zouden moeten zijn ook daadwerkelijk aanwezig zijn.
  3. Het ontdekken en registreren van mogelijke datalekken.
  4. Het ontdekken van onbekende en mogelijk ongewenste assets in de infrastructuur.
  5. Het ontdekken van ongewenste wijzigingen en data stromen in de infrastructuur.
  6. Het ontdekken van updates op diverse (PLC/RTU) componenten die een ongewenst effect hebben. Hierbij moet men denken aan mogelijk backdoors of root kits.

De verzamelde gegevens worden verstuurd naar de AlienVault Management Server component. Zie onderstaand figuur.

Levels

Naast de sensorsystemen kunnen er ook zogenaamde agents (een software tool), op systemen die extra risico lopen, worden geïnstalleerd. Deze software tool monitort het betreffende systeem van binnenuit en verzamelt informatie over activiteiten die niet op het systeem door de sensorsystemen van buitenaf kunnen worden gedetecteerd. Dit heet een host-based intrusion detection system (HIDS).

Daarnaast zijn er systemen waar geen agent op geïnstalleerd kan worden. Hier heeft het SIEM ook een oplossing voor. Dit noemt men agent-less. Het HIDS stuurt deze gegevens door naar de sensorsystemen van AlienVault en deze worden van daaruit doorgestuurd naar de AlienVault Management Server. Op deze manier kunnen bepaalde vormen van virussen en bijvoorbeeld ook ongeautoriseerde fysieke toegang worden ontdekt.

In de AlienVault Management Server is het correleren van gegevens de volgende stap. Gegevens worden op basis van gedefinieerde regels met elkaar vergeleken, daarna worden indicatoren in kaart gebracht. Het SIEM slaat de genormaliseerde gegevens (events), onder andere ten behoeve van de trendanalyse, op.

Het doel van het SIEM is niet het opslaan van allerlei loggegevens, maar het monitoren en vastleggen van bepaalde gebeurtenissen. Door de AlienVault web interface kan alsnog inzicht worden verkregen in de logbestanden van de betrokken systemen.

Meer informatie

Voor meer informatie over het SOC van AuditConnect of onze overige producten en diensten, neem dan graag contact op. Bbel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.

We kijken er naar uit om met u samen te werken!

AuditConnect werkt onder andere voor de volgende bedrijven:

logo ActuIT - referentie ActuIT - AuditConnect
Logo Axxerion - Axxerion - AuditConnect
Logo Berkman Trading - Berkman Trading - AuditConnect
logo Connexys - referentie Connexys - AuditConnect
Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect
Gemeente Borne - Gemeente Borne - AuditConnect
Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect
Logo HR2day - HR2day - AuditConnect
INERGY - INERGY - AuditConnect
logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect
logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect
Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect
Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect
logo Caresharing - NEN7510 Caresharing - AuditConnect
Logo Parnassia - Parnassia Groepp - AuditConnect
Logo Progress - Progress - AuditConnect
logo Salure - Salure - AuditConnect
logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect
logo UNI-learning - UNI-Learning - AuditConnect
logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect
VSV Noorderpoort - VSV Noorderpoort - AuditConnect

Meer referenties Cases / referenties - AuditConnect