4 type monitoring voor een optimale IT of Operationele Technologie omgeving

Monitoring is een van de belangrijkste aspecten als het gaat om een IT of OT-omgeving. Proactieve monitoring op je omgeving (er dreigt bijvoorbeeld een schijf vol te lopen of de temperatuur van een switch loopt op) zorgt ervoor dat je operationele problemen kan voorkomen. Maar mocht er toch plotseling een probleem ontstaan (een PLC of een RTU stopt met functioneren) dan is dat iets wat je direct in je monitoring wilt kunnen zien, zodat je actie kan ondernemen om eventuele impact en schade zo veel mogelijk te voorkomen.

In mijn vorige blog (hoe beveilig je je OT omgeving) heb ik aangegeven dat het erg belangrijk is om te weten wat je in huis hebt (security technisch). Voor monitoring is dit vanzelfsprekend ook erg belangrijk. Als je niet weet welke assets / devices in jouw netwerk aanwezig zijn, kan je ze natuurlijk ook niet monitoren! Er zijn verschillende type monitoring, denk aan technische monitoring, functionele monitoring, keten monitoring maar ook security monitoring. In deze blog vertel ik je waarom deze type monitoring van belang zijn voor jouw IT/OT-omgeving!

Technische monitoring is vaak de basis waar men mee begint. Technische monitoring niet goed inrichten kan er uiteindelijk voor zorgen dat je verstoringen mist in je monitoring en juist de grote voordelen laat liggen (o.a. volledig inzicht hebben in je omgeving). Door het toepassen van technische monitoring wordt op componentbasis zichtbaar hoe elk individueel component zich gedraagt. Denk hierbij aan switches, firewalls, verbindingen, servers, PLC’s, RTU’s, SCADA-systemen en zelfs pompen of kleppen. Er zijn diverse betaalde oplossingen in de markt, maar ook erg veel open source monitoring oplossingen waarmee je op een correcte wijze technische monitoring kan inrichten. Persoonlijk ben ik erg fan van StackState, wij zetten dit zelf ook in voor al onze klanten (gecombineerd met Zabbix). Ook bestaan er open source varianten. Een aantal voorbeelden hierin zijn Zabbix en Nagios. Een aantal betaalde varianten zoals Dynatrace, New Relic en Datadog zijn van zichzelf wat geavanceerder waardoor je minder zelf hoeft te ontwikkelen. Wil je een monitoring pakket helemaal naar je hand zetten, neem dan een open source variant zoals Zabbix of Nagios. Achter deze pakketten zit een erg grote community en het zelf ontwikkelen van specifieke monitoring is erg goed te doen.

Alleen technische monitoring is naar mijn idee niet voldoende. Technisch kan jouw landschap er nog zo goed uit zien, maar als het functioneel niet doet wat het moet doen hebben jouw gebruikers en klanten er niets aan. Daarom is het van groot belang dat er functionele monitoring wordt ingericht, daar gaat het immers om. Functionele monitoring kan vaak met dezelfde tools uitgevoerd worden alleen haken ze wat dieper in op de applicatie. Werkt mijn berichtenstroom van Applicatie 1 naar Applicatie 2 wel? Accepteert Applicatie 2 wel gebruikers? Kunnen gebruikers wel inloggen op mijn web applicatie? Voor OT-omgevingen is het voor het bedrijfsvoeringcentrum (BVC) erg belangrijk dat zij te allen tijde kunnen monitoren en bijsturen waar nodig. Als het BVC niet kan bijsturen kan dat voor een regelrechte ramp zorgen, daarom is het voor de OT-omgeving ook erg belangrijk om te weten of jouw applicatie functioneel de sturingssignalen wel door zet naar de PLC. Wat ik merk is dat klanten dashboarding hierin erg fijn vinden; in één oogopslag zien of het applicatielandschap functioneert zoals deze zou moeten functioneren.

Technische monitoring en functionele monitoring, dat klinkt bijna als een keten? Dat klopt deels! Door technische monitoring en functionele monitoring met elkaar te kunnen combineren kan je een groot deel van de ketenmonitoring inrichten (ook wel end-to-end monitoring). Door het monitoren van gehele ketens (van eindgebruiker tot aan PLC bijvoorbeeld) geef je volledig inzicht of een gebruiker of klant kan doen wat deze zou moeten kunnen. Echter merk ik in de praktijk dat hier veel uitdaging in kan zitten. De reden hiervan is dat het beheer en de verantwoordelijkheid van de applicatieketen niet altijd bij een en dezelfde leverancier ligt. Hier zijn vaak meerdere leveranciers aangesloten die verantwoordelijk zijn voor een deel in de keten. Belangrijk is dan ook om goed met je leveranciers af te stemmen dat ze aanvullende monitoring toestaan of zelfs monitoring systemen laten integreren. Er is niets zo prettig als het hebben van één groot overzicht waarin technisch en functioneel het hele landschap is weergegeven, met end-to-end groene vinkjes natuurlijk.

Een onderdeel wat nog wel eens vergeten wordt is security monitoring. In deze tijd is security monitoring net zo belangrijk (of zelfs nog wel belangrijker) dan technische en functionele monitoring. Door security monitoring toe te passen ben je in staat om aanvallen of datalekken inzichtelijk te krijgen en hier in een vroeg stadium op te reageren. Zo’n dergelijk systeem wordt ook wel een SIEM (Security Information and Event Management) genoemd. Een SIEM verzamelt en analyseert gegevens van jouw complete IT en OT-landschap. Als hier afwijkingen op worden geconstateerd, er wordt bijvoorbeeld vanaf één IP-adres enorm veel pogingen gedaan om in te loggen op een systeem, zal dit systeem reageren. Dit kan een reactie zijn door het afgeven van een alert aan de ketenmonitoring, maar dit is ook zo in te richten dat het systeem zelf het IP-adres blokkeert om zo toekomstige pogingen te blokkeren.

Door alle type monitoring te combineren krijg je in één oogopslag zicht op je volledige omgeving (van IT tot OT); hoe deze functioneert en of deze veilig is. Dit zorgt er voor dat jij je weer kan focussen op je core business en niet de gehele dag achter de feiten aan loopt. Nu klinkt dat zorgeloze weekend en die uitgeruste maandagochtend een stuk aannemelijker, niet?

Wil je meer weten over het goed inrichten van jouw IT/OT-omgeving? Download dan het whitepaper of neem contact met me op!