Nieuw onderzoek van Trend Micro, wereldwijd leider in cybersecurity, onthult dat enterprise Security Operation Centers (SOC’s) hun werkzaamheden steeds vaker uitbreiden naar het operationele technologie (OT)-domein, maar dat uitdagingen wat betreft inzicht in gegevens en het behouden van mensen met de juiste vaardigheden problemen veroorzaken.
Bill Malik, Vice President of Infrastructure Strategies bij Trend Micro: “IT-OT convergentie stimuleert veel digitale transformatie-initiatieven in de industriële sector. Maar om risico’s in deze omgevingen effectief te beheren, moeten IT en OT-security operations (SecOps) ook samenvoegen. OT-beveiligingsprogramma’s lopen misschien achter, maar er is een enorme kans om de hiaten in inzicht en vaardigheden op te lossen door te consolideren naar één enkel SecOps-platform, zoals Trend Vision One.”
Uitdagingen bij het combineren IT-OT beveiliging
Uit het onderzoek blijkt dat de helft van de organisaties nu een enterprise SOC heeft met een zekere mate van ICS/OT-zichtbaarheid. Maar zelfs als respondenten een uitgebreidere SOC hebben, leverde slechts de helft (53%) van de OT-omgevingen gegevens voor detectiedoeleinden.
Deze tekortkoming komt ook terug in een andere bevinding. Wat betreft het samenvoegen van mogelijkheden van hun IT- en OT-omgevingen, vinden respondenten detectie van cyberincidenten (63%) het belangrijkste, gevolgd door de mogelijkheid om middelen te inventariseren (57%) en identiteits- en toegangsbeheer (57%). Het kunnen detecteren van incidenten in IT- en OT-omgevingen is cruciaal voor het identificeren van oorzaken en het voorkomen van toekomstige dreigingen die de bedrijfsvoering kunnen verstoren. Hiervoor moeten echter zowel gegevens uit IT- als OT-omgevingen worden aangeboden. Dit is nu vaak niet het geval.
Verder zijn endpoint detectie en respons (EDR) en interne network security monitoring (NSM) volgens het onderzoek belangrijke tools om die root cause-gegevens te helpen verstrekken. EDR wordt op dit moment door minder dan een derde (30%) van de respondenten toegepast op engineering- en operatormiddelen. Verder wordt NSM zelden (< 10%) ingezet op een fysiek proces- en basiscontroleniveau diep in OT-omgevingen.
Te weinig geschoolde mensen en te veel legacy-technologie
Afgezien van de hiaten in de zichtbaarheid, onthult het onderzoek grote uitdagingen op het gebied van mensen en processen bij het uitbreiden van SecOps naar IT- en ICS/OT-omgevingen. Vier van de vijf grootste belemmeringen die de respondenten benoemen, hebben te maken met personeel:
- IT-medewerkers trainen in OT-beveiliging (54%)
- Het doorbreken van communicatiesilo’s tussen relevante afdelingen (39%)
- Aantrekken en behouden van medewerkers die cybersecurity begrijpen (38%)
- OT-medewerkers trainen in IT (38%)
- Onvoldoende inzicht in risico’s van IT- en OT-domeinen (38%)
Ook wordt legacy-technologie genoemd als grote uitdaging voor het vergroten van inzicht in OT-SecOps. De top drie uitdagingen die organisaties ervan weerhouden hun IT- en OT-omgevingen samen te voegen, zijn de beperkingen van legacy apparaten en netwerken (45%), een gebrek aan OT-kennis bij IT-personeel (40%) en IT-technologieën die niet zijn ontworpen voor OT-omgevingen (37%).
Respondenten verwachten in de toekomst hun inspanningen te verdubbelen om IT-OT SecOps samen te voegen en meer inzicht te krijgen in OT-dreigingen. Tweederde (67%) is van plan om zijn SOC uit te breiden. Van degenen die al EDR hebben geïmplementeerd, is 76% van plan om deze implementaties in ICS/OT in de komende 24 maanden uit te breiden. Daarnaast is 70% van degenen die al NSM-mogelijkheden hebben toegevoegd van plan om deze implementaties in hetzelfde tijdsbestek uit te breiden.
Download hier het volledige onderzoek “Breaking IT/OT Silos With ICS/OT Visibility”.
