Waarom kunnen standaard IT-beveiligingstools niet worden gebruikt op militaire OT- en ICS-netwerken?

IT-endpointagents kunnen OT-apparaten laten crashen, en actieve netwerkscanners verstoren de realtime besturingscommuncatie die fysieke processen stabiel houdt. OT geeft prioriteit aan beschikbaarheid boven vertrouwelijkheid, heeft geen patchvensters voor continu draaiende processen en tolereert slechts submiiliseconde latentieverhoging — waarmee inline DPI-firewalls op tijdgevoelige besturingslussen zijn uitgesloten.

Wat is passieve netwerkmonitoring en waarom is het de basis van OT-beveiliging?

Passieve monitoring observeert OT-verkeer via SPAN-poorten of inline netwerktaps zonder interactie met de apparaten, zodat het besturingslussen niet kan verstoren. Omdat OT-verkeer zeer deterministisch is (dezelfde SCADA-peilingscycli naar dezelfde PLC's dag na dag), maakt een geleerd basispatroon afwijkingen — een nieuw apparaat, een onverwacht protocol, een buiten-bereik-opdracht — onmiddellijk detecteerbaar.

Welke OT-protocollen vereisen protocolbewuste deep-packet-inspectie in militaire omgevingen?

Modbus heeft geen authenticatie of versleuteling, dus IDS moet ongeautoriseerde schrijfopdrachten en parameterovertreding ten opzichte van technische veiligheidslimieten detecteren. DNP3 (met optionele SAv5-authenticatie) vereist detectie van authenticatie-omzeiling en tijdsynchronisatieaanvallen. IEC 61850 vereist bewaking van GOOSE-berichten en MMS-laagwijzigingen aan beschermingsrelais-instellingen in digitale substations.

Welke OT-systemen op een militaire basis lopen daadwerkelijk risico en worden door wie beheerd?

Basis-infrastructuur SCADA bestuurt stroom, water, brandstof, HVAC en perimeterbeveiliging — doorgaans in eigendom van basisoperaties en engineering, niet de cyber-eenheid, waardoor een zichtbaarheidsgat ontstaat dat tegenstanders benutten. Wapensysteemcontrollers (vuurbeheersing, doelwitkeuze, radar) draaien RTOS zoals VxWorks of LynxOS die standaard IT-tools niet kunnen bereiken, en communicatierelaisapparatuur gebruikt OT-achtige ingebedde controllers die onzichtbaar zijn voor IT-monitoring.

Welke speciaal gebouwde OT-beveiligingsplatforms ondersteunen geclassificeerde en air-gapped implementaties?

Claroty (Continuous Threat Detection), Dragos (met WorldView ICS-gerichte dreigingsintelligentie) en Nozomi Networks (Vantage IQ) gebruiken allemaal passieve monitoring met protocolbewuste DPI en ondersteunen air-gapped on-premises implementaties. Claroty biedt ook FedRAMP-conforme cloud, en Dragos heeft gedocumenteerd werk met DoD-programma's.

Inbraakdetectie voor militaire OT- en ICS-systemen

Operationele technologie (OT) — de hardware en software die fysieke processen bewaakt en bestuurt — is aanwezig in de gehele militaire infrastructuur op manieren die niet altijd zichtbaar zijn voor IT-beveiligingsteams. Basisnutsvoorzieningen (stroomopwekking en -distributie, waterzuivering, HVAC-systemen) draaien op industriële besturingssystemen (ICS) en SCADA-platforms (Supervisory Control and Data Acquisition) die zijn ontworpen voor beschikbaarheid en fysieke betrouwbaarheid, niet voor cyberbeveiliging. Wapensystemen, voertuigplatforms en communicatieapparatuur bevatten ingebedde controllers die communiceren via industriële protocollen. Deze systemen zijn hoogwaardige doelen voor tegenstanders: het verstoren van basisstroom of -water, of het compromitteren van de bevel-en-controle-systemen van wapenplatforms, creëert operationele effecten die kinetische aanvallen mogelijk niet kunnen bereiken.

Traditionele IT-beveiligingstools — endpointagents, IT-netwerkscanners, cloud-gebaseerde EDR-platforms — kunnen OT-systemen niet beschermen en mogen niet op hen worden toegepast. Het toepassen van een IT-beveiligingsagent op een OT-apparaat kan het laten crashen; het uitvoeren van een actieve netwerkscanner op een OT-netwerk kan de besturingscommuncatie verstoren die fysieke processen stabiel houdt. OT-beveiliging vereist een andere aanpak, andere tools en een ander dreigingsmodel.

OT versus IT-beveiliging: verschillende dreigingsmodellen

De CIA-driehoek (Vertrouwelijkheid, Integriteit, Beschikbaarheid) is van toepassing op zowel IT- als OT-beveiliging, maar de prioriteiten zijn omgekeerd. In IT-beveiliging is vertrouwelijkheid doorgaans de primaire zorg. In OT-beveiliging is beschikbaarheid van het grootste belang — een stroomdistributiesysteem dat offline gaat, beïnvloedt fysieke operaties onmiddellijk, en de gevolgen van uitvaltijd worden gemeten in operationele capaciteit, niet in dataleknotificaties.

De beperking zonder patchvenster is het meest fundamentele verschil tussen IT- en OT-beveiligingsbeheer. IT-systemen kunnen doorgaans worden gepatcht tijdens onderhoudsvensters die in uren worden gemeten. OT-systemen die continue industriële processen besturen, kunnen vaak helemaal niet offline worden gehaald — het proces dat ze besturen moet 24/7 draaien. Een basisstroomgeneratiesysteem met een bekende kwetsbaarheid kan maanden of jaren ongepatchrd blijven omdat de patchprocedure een volledig systeemherstart en een gecontroleerde stroomuitval voor de basis vereist, wat uitgebreide coördinatie over meerdere commando's vereist en een aanzienlijke operationele planningslast creëert.

Realtime vereisten in OT creëren aanvullende beperkingen: een ICS dat opdrachten ontvangt van zijn SCADA-systeem moet die opdrachten binnen milliseconden verwerken voor strakke besturingslussen. Een beveiligingstool die latentie toevoegt aan OT-communicatie — zelfs 10–50 ms — kan besturingslussen destabiliseren in sommige procesomgevingen. Dit sluit elke inline beveiligingstool (zoals een Next-Generation Firewall die deep-packet-inspectie uitvoert) uit voor tijdgevoelige OT-communicatie.

Militair OT-bereik: wat er werkelijk risico loopt

Basis-infrastructuur SCADA-systemen besturen de fysieke nutsvoorzieningen die militaire bases en installaties ondersteunen: elektrische opwekking en distributie (inclusief back-upgeneratorbeheer), waterzuivering en -distributie, brandstofopslag en -distributie, HVAC-systemen voor klimaatgevoelige faciliteiten (datacenters, arsenalen, medische faciliteiten) en perimeterbeveiligingssystemen (camera's, toegangscontrole). Deze systemen worden doorgaans beheerd door basisoperaties en engineeringcommando's, niet door de IT/cyber-eenheden — waardoor een zichtbaarheids- en verantwoordelijkheidskloof ontstaat die tegenstanders actief benutten.

Wapensysteemcontrollers omvatten vuurbeheercomputers, doelwitkeuze-systemen, radar- en sensorcontrollers en communicatieapparatuur ingebed in voertuig- en vliegtuigplatforms. Deze systemen gebruiken propriëtaire protocollen en ingebedde besturingssystemen (vaak realtime besturingssystemen zoals VxWorks of LynxOS) die niet toegankelijk zijn voor standaard IT-beveiligingstools. Hun cyberbeveiliging wordt doorgaans beoordeeld tijdens acquisitie en certificering, daarna grotendeels statisch voor de levensduur van het platform — mogelijk 20–40 jaar.

Communicatie-infrastructuur — met name de relaisapparatuur, multiplexers en signaalbeheerssystemen die militaire communicatie routeren — gebruikt OT-achtige hardware met ingebedde controllers en communiceert vaak via protocollen die niet zichtbaar zijn voor standaard IT-netwerkmonitoring.

Passieve netwerkmonitoring: de kerntechniek voor OT-beveiliging

Passieve netwerkmonitoring is de fundamentele beveiligingstechniek voor OT-omgevingen: in plaats van actief OT-apparaten te scannen of te onderzoeken, observeert het beveiligingssysteem het communicatieverkeer zonder ermee te interageren. Dit wordt geïmplementeerd via SPAN-poorten (Switch Port Analyzer — de netwerkswitch stuurt een kopie van al het verkeer op bewaakte poorten naar de netwerkinterface van de monitoringtool) of via netwerktaps (fysieke apparaten die inline in de netwerkkabel worden ingevoegd en een kopie van het verkeer doorsturen naar de monitoringtool zonder de stroom te onderbreken).

Passieve monitoring stelt het beveiligingstool in staat een basispatroonmodel van normale OT-communicatie te bouwen: welke apparaten communiceren met welke andere apparaten, welke protocollen ze gebruiken, welke opdrachten normaal worden verzonden, met welke frequentie en binnen welke parameterreeksen. Elke afwijking van dit basispatroon is een anomalie die de moeite waard is om te onderzoeken: een nieuw apparaat dat op het netwerk verschijnt, een bekend apparaat dat een onverwacht protocol gebruikt, een opdracht die naar een fysieke controller wordt gestuurd buiten normale bedrijfsparameters.

De basispatroon-en-anomalie-aanpak is bijzonder krachtig in OT-omgevingen omdat OT-verkeer zeer deterministisch is. In tegenstelling tot IT-netwerken, waar verkeerspatronen enorm variëren op basis van gebruikersactiviteit, volgt OT-verkeer voorspelbare patronen gedreven door het fysieke proces dat wordt bestuurd. Een SCADA-peilingscyclus voor een stroomdistributiesysteem stuurt dezelfde set statusvragen naar dezelfde PLC's met dezelfde intervallen, dag na dag. Elke afwijking — een nieuwe query, een gewijzigde opdracht, een onverwacht antwoord — is afwijkend en waarschijnlijk beveiligingsrelevant.

Protocolbewuste IDS: deep-packet-inspectie voor OT-protocollen

Generieke IT-netwerk-IDS-tools inspecteren verkeer op IP- en TCP/UDP-niveau maar kunnen de applicatielaaginhoud van OT-protocollen niet interpreteren. Een IDS-regel die zegt "waarschuw bij Modbus-verkeer op niet-standaard poorten" is marginaal nuttig. Een IDS-regel die zegt "waarschuw bij elke Modbus-schrijfopdracht naar een PLC-register dat de uitvoerstroom naar een transformator boven 115% van het nominale vermogen beheert" vereist protocolbewuste deep-packet-inspectie — het vermogen om het Modbus-protocol te decoderen, het specifieke register dat wordt beschreven te identificeren en de beschreven waarde te evalueren ten opzichte van fysieke parameterlimieten.

Modbus is het meest ingezette OT-protocol, gebruikt in alles van eenvoudige sensorinterfaces tot complexe SCADA-systemen. De eenvoud ervan (geen authenticatie, geen versleuteling, geen sessiebeheer) maakt het triviaal kwetsbaar: elk apparaat op hetzelfde netwerk kan willekeurige lees- of schrijfopdrachten sturen naar elk Modbus-apparaat. Protocolbewuste IDS voor Modbus moet ongeautoriseerde schrijfopdrachten detecteren (schrijfacties van onverwachte bron-IP's, schrijfacties naar registers die onder normale bedrijfsomstandigheden alleen-lezen zouden moeten zijn) en parameterovertreding (waarden buiten technische veiligheidslimieten).

DNP3 (Distributed Network Protocol 3) wordt veel gebruikt in elektriciteitsbedrijven en waterzuivering, inclusief op militaire bases. DNP3 Secure Authentication (SAv5) voegt authenticatie toe aan het protocol maar is niet universeel ingezet. IDS voor DNP3 moet authenticatie-omzeiling, onverwacht ongewenst antwoordverkeer en tijdsynchronisatieaanvallen detecteren (het manipuleren van het DNP3-tijdsynchronisatiemechanisme om tijdgestempelde gebeurtenisrecords te vervalsen).

IEC 61850 is de standaard voor digitale substation-automatisering en beschermingssystemen in elektrische infrastructuur. Het draagt beschermingsrelaisfuncties — de systemen die defecte apparatuur van het netwerk isoleren om cascadefouten te voorkomen. Een aanvaller die IEC 61850-verkeer kan manipuleren, kan beschermingssystemen mogelijk laten falen (defecte apparatuur aangesloten laten op het net) of verkeerd laten werken (gezonde apparatuur onnodig loskoppelen). Protocolbewuste IDS voor IEC 61850 moet ongeautoriseerde GOOSE-berichten (Generic Object Oriented Substation Events) en ongeautoriseerde wijzigingen aan beschermingsrelais-instellingen via de MMS-applicatielaag (Manufacturing Message Specification) detecteren.

Speciaal gebouwde OT-beveiligingstools in geclassificeerde omgevingen

Drie commerciële platforms domineren de markt voor speciaal gebouwde OT-beveiliging: Claroty, Dragos en Nozomi Networks. Alle drie gebruiken passieve monitoring als hun fundamentele techniek, alle drie bieden protocolbewuste deep-packet-inspectie voor de belangrijkste OT-protocollen, en alle drie kunnen werken in air-gapped implementaties.

Claroty biedt activadetectie, continue dreigingsdetectie en veilige externe toegang voor OT-netwerken. Het Continuous Threat Detection (CTD)-platform wordt passief ingezet via SPAN-poorten en bouwt automatisch een activainventarisatie en gedragsbasislijn op. Claroty heeft FedRAMP-conforme cloudaanbiedingen en ondersteunt air-gapped on-premises implementaties voor geclassificeerde omgevingen.

Dragos richt zich specifiek op industriële cyberbeveiliging met een sterke nadruk op dreigingsintelligentie die relevant is voor ICS-omgevingen. De WorldView-dreigingsintelligentieservice volgt OT-gerichte dreigingsgroepen (inclusief groepen die specifiek gericht zijn op defensie-industriële en kritieke infrastructuurdoelwitten) en biedt detectieregels afgestemd op de bekende TTP's van die groepen. Dragos ondersteunt air-gapped implementaties en heeft gewerkt met DoD-programma's.

Nozomi Networks combineert activazichtbaarheid, anomaliedetectie en dreigingsintelligentie in één platform. Het Vantage IQ-product ondersteunt zowel cloud-verbonden als air-gapped implementaties en biedt een centrale beheerconsole voor grote, gedistribueerde OT-omgevingen — relevant voor militaire organisaties die meerdere bases of installaties beheren vanuit één beveiligingsoperatieteam.

Kernpunt: De gevaarlijkste aanname in militaire OT-beveiliging is dat fysieke scheiding van IT-netwerken adequate bescherming biedt. Defence-in-depth voor militaire OT vereist ervan uitgaan dat de IT-OT-grens is doorbroken of zal worden doorbroken — hetzij door mislukkingen in netwerksegmentatie, hetzij door legitieme maar exploiteerbare IT-OT-gegevensoverdrachtwegen (zoals de historian-server die OT-gegevens verzamelt voor IT-consumptie), of hetzij door supply-chain-compromittering van OT-apparaatfirmware.

Inbraakdetectie voor militaire OT- en ICS-systemen

OT versus IT-beveiliging: verschillende dreigingsmodellen

Militair OT-bereik: wat er werkelijk risico loopt

Passieve netwerkmonitoring: de kerntechniek voor OT-beveiliging

Protocolbewuste IDS: deep-packet-inspectie voor OT-protocollen

Speciaal gebouwde OT-beveiligingstools in geclassificeerde omgevingen

Bespreek uw project

Veelgestelde vragen

Inbraakdetectie voor militaire OT- en ICS-systemen

OT versus IT-beveiliging: verschillende dreigingsmodellen

Militair OT-bereik: wat er werkelijk risico loopt

Passieve netwerkmonitoring: de kerntechniek voor OT-beveiliging

Protocolbewuste IDS: deep-packet-inspectie voor OT-protocollen

Speciaal gebouwde OT-beveiligingstools in geclassificeerde omgevingen

Bespreek uw project

Veelgestelde vragen

Gerelateerde artikelen