Sök

Nyhetsbrev OT-Säkerhet #23 - Virtuell patchning, NIS2 och betydelsen av ord


Den här gången tittar jag på riktigt cool teknik för virtuell patchning av zero-days i OT-system så att du kan slippa störa din verksamhet med omstarter! Jag återvänder också till NIS2 och tittar närmare på vad som är på väg! Sedan blir jag lite filosofisk och funderar kring alla ord som vi slänger oss med och vad som händer när vi missförstår varandra. Plus en massa annat spännande förstås!


Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla igång den fysiska processen och att se till att inget farligt händer som kan skada medarbetare eller miljö. Det innebär i sin tur att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är en av anledningarna till att jag skriver om det.


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här artikeln delas eller i Säkerhetsbubblan på Facebook. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen!

 

Mats filosoferar...

NIS2 TxOne

Den här artikeln får du läsa på egen risk! :-) Om du inte ser upp kan du bli mer förvirrad än du var innan av mitt filosoferande kring några ord och begrepp som varit populära på sistone...


Det är förstås viktigt att alla är överens om vad ett visst ord betyder! Det är ju grunden till att kunna ha ett språk överhuvudtaget. De flesta håller nog med om att samhället generellt har mer stingsligt över vad vi lägger olika ord, det är inte nödvändigtvis fel men ändå ett potentiellt problem. Inom OT-världen är det förstås likadant och jag tycker att det har blivit värre på senare år. En anledning är förstås att både tekniken blivit allt mer komplex och att hoten mot vår säkerhet samtidigt blivit större och svårare att överblicka.


Vissa ord verkar folk gå igång på mer än andra. Senaste året har "IT/OT-convergence" varit ett sådant begrepp som häftigt debatterades, både offentligt och i mer inofficiellt diskussionsgrupper på Internet. Som en naturlig följd av den diskussionen kommer frågan om segmenteringsprinciper och Purdue-modellens eventuella förestående död alltid upp. Ett annat ord som passar in i samma resonemang är "Edge-computing". Vad är det egentligen? Och vad betyder det för de andra diskussionerna?

IoT SRP COO

Drar vi in begreppet "IoT" blir det ännu fler frågetecken. För att inte tala om begreppen vi ska använda för att beskriva våra risker och skyddsbehov. Är det det gamla vanliga "CIA" - Confidentiality, Integrity & Availability som vi ärvt från klassisk informationssäkerhet? Eller passar kanske "COO" - Controlability, Operability & Observability från teoretisk processanalys bättre för OT? På senare tid har "SRP" - Safety, Resilience & Performance seglat upp som en favorit för många klassiska OT-verksamheter för att trycka på skyddet av människor och miljö. Även själva begreppet OT, som ju delvis uppstod som ett försök att komma bort från en massa teknik- och branschspecifika ord, går förstås att ge en massa olika innebörder.


Som vanligt finns det förstås inte en sanning här! Och en orsak till det är väl som vanligt att de som diskuterar har väldigt olika världsbilder. Jobbar du med olje-raffinaderier ser du självklart helt annorlunda på alla dessa begrepp jämfört med om du tillverkar tandpetare. Är du dessutom tillverkare av utrustning eller mjukvara har du alltid en egen agenda i bakhuvudet som påverkar den bild som du försöker övertyga resten av världen är rätt.

NIS2 TxOne

Jag ska inte på något vis försöka göra sken av att jag genomskådat alla dessa diskussioner men kanske har vi som dagligen rör oss mellan olika branscher och mellan produkter från olika tillverkare lite lättare att konstatera att det inte finns en världsbild som passar alla. Lika lite som att det sällan finns enkla svar på svåra frågor, det gäller ju faktiskt i alla områden i livet!


Det första att inse är att det inte går att diskutera alla dessa begrepp var för sig. De hänger alla ihop med varandra och det är bara genom att vara övertydlig med vad som menas som vi kan bli duktiga på att kommunicera våra tankar.

NIS2 TxOne

Allt säkerhetsarbete går i slutändan ut på att adressera risk. Jag tror det är där man måste börja även när det gäller våra begrepp. Beroende på hur hoten mot din verksamhet ser ut måste du förstås välja en begreppsvärld som passar. Har du en OT-verksamhet som hanterar känslig information, tillverkningsrecept är kanske det vanligaste exemplet, ja då kanske hela ditt säkerhetsarbete bygger på klassisk informationssäkerhetsanalys och "CIA-begreppen". Om du producerar LPG-gas är du förmodligen mer fokuserad på att inget farligt händer i din anläggning, då kanske ditt Seveso-arbete gör det mer rimligt att resonera utifrån "Safety/Resilience/Performance"? Men för att vara tydlig kanske du ändå måste kombinera begrepp från flera modeller så att bilden blir klar för alla?


När vi kommer till segmentering och Purdue-modellen känner jag att det vanligaste misstaget är att man sätter likhetstecken mellan zoner i segmenteringsmodellen och den fysiska nätverksmodellen. Det är exempelvis jättevanligt att man ser ordet "Cloud" eller "Internet" överst i modellen. Jag tillhör dem som hävdar att det är feltänkt! Bara för att Internet är bärare av information eller att en applikation snurrar i molnet betyder ju inte det automatiskt att skyddet är sämre än i någon av de "interna" zonerna.

Purduemodellen ISA-95

En källa till förvirring är att Purdue-modellen, när den skapades i början av 90-talet, inte handlade om säkerhet alls utan beskrev hur man skulle bygga en bra arkitektur enligt standarden ISA-95. När säkerhetsresonemangen i ISA-99 övertog begreppen från ISA-95 var det ingen tvekan om att den då tillgängliga tekniken gjorde att varje lager i modellen blev egna nät på egen hårdvara. Så är inte verkligheten idag! Visst finns det många situationer där man tvingas ha egna fysiska nät för de olika säkerhetszonerna men i allmänhet handlar det egentligen om ordning och reda kombinerat med vad som går att bygga och administrera.


Å andra sidan finns det andra, mer praktiska, skäl till att inte vad som helst går att köra i molnet. Det här med typiska cykeltider för de olika lagren i modellen tycker jag också är ett bra sätt att hänga upp tänkandet. Nära den fysiska processen (0 - 2) arbetar våra system med händelser som mäts i bråkdelar av en sekund, på MES-nivån (3) är det uppe i timmar, skiftlag eller dagar och på ERP-nivån (4) betydligt längre än så. Det är ju också här som "Fog-computing" och "Edge-computing" helt naturligt uppstod i ett behov av att flytta molnet "närmare marken" eftersom fysikens lagar började sätta gränser för hur vår system-arkitektur kan se ut. När kraven på svarstider närmar sig noll och mängden data som ska hanteras sväller enormt blir vissa lösningar helt enkelt inte möjliga!


I kölvattnet till resonemang om Internet och segmentering dyker IoT upp som en källa till missförstånd. Om det är IoT - "Internet Of Things" så måste det ju kommunicera på Internet, det hörs ju på namnet! Och om IoT-prylarna pratar med system på Internet så betyder det ju att Purdue-modellen kollapsar om enheter nere i processen ska tillåtas prata direkt ut på Internet! Eller? Det väldiga insamlandet av information som vi ser i den snabba digitaliseringen av alla branscher skapar ofta förvirring just kring det här. Svaret är som vanligt: "Det beror på!". Sätter du en vibrationssensor på ett kullager som skickar data direkt till något analyssystem är det förmodligen "IoT". Samlar du in data från PLCer och annan processnära utrustning handlar det nog snarare om klassisk system-integration.

NIS2 TxOne OT

Vad ska inkluderas i själva begreppet OT då? Frågar du mig handlar det inte om skillnader i teknik eller bransch utan vilka problem vi försöker lösa. Är ditt fokus på information sysslar du med IT och är det på att styra någon fysisk process så är det OT. I praktiken är det förstås inte så svart eller vitt utan det finns en hel skala av grått där emellan. Det är också därför det där "IT/OT convergence" är så viktigt att få rätt, dessa två världar behöver hanteras på ett samordnat sätt men det betyder inte att de nödvändigtvis kommer växa samman helt!


Som alltid när det gäller språk utvecklas nya betydelser av ord i takt med att behoven av dem förändras. Ett exempel är att man sällan hör någon tala om "Fog-computing" numera sedan "Edge-computing" övertog i princip samma betydelse. Den här ständiga utvecklingen av språket kommer förstås också alltid kunna leda till missförstånd, det är ju inte unikt för vår bransch.


Om jag ska sammanfatta mina egna insikter så är de sedan länge att vi måste vara försiktiga med att anta att andra lägger samma betydelse i orden vi använder som vi själva gör. Det handlar ofta bara om att orka förklara vad man menar! På samma måste IT-folk och OT-folk vara väldigt ödmjuka inför att de har helt olika världsbilder när de allt mer "tvingas" samarbeta. Kom ihåg att exakt samma teknik oftast måste användas på helt olika sätt för att lösa IT-behov och OT-behov!

 

OT-säkerhet utan patchar!

NIS2 TxOne

Jag genomför just nu ett uppdrag åt en industriell OT-kund där vi använder IPS-skydd och brandväggar från TxOne för att knyta ihop nätverk som tidigare varit avskilda. Om du har följt mitt nyhetsbrev länge kanske du minns att jag skrev om en tidig version av deras produkter i nyhetsbrev 14 och med en uppdatering i nyhetsbrev 17. TxOne är ju ett riktigt spännande möte mellan IT och OT där Trend Micro har krokat arm med Moxa för att skapa något som kombinerar deras respektive traditionella styrkor. Sedan jag skrev om dem senast har det hänt en del, så jag tänkte det kunde vara dags för en uppdatering.

ZDI TxOne OT

Trend Micro ligger ju som kanske bekant bakom ZDI, Zero Day Initiative, som är den största köparen av sårbarheter bland alla bug-bounty organisationer. Det ger dem tidig tillgång till stora mängder nya sårbarheter som de bland annat använder för att snabbt kunna erbjuda skydd via sina säkerhetsprodukter. För TxOne betyder detta att man kan erbjuda virtuell patchning av sårbarheter redan innan tillverkarens egna patchar släppts, dvs man kan adressera zero-days med signaturer, vilket ju är både coolt och unikt. ZDI har på senare år fokuserat allt mer på OT-sårbarheter, vilket exempelvis märktes på förra årets S4-konferens då tävlingen Pwn2Own hölls med enbart OT-produkter och där 250 000 dollar delades ut till vinnarna. De annonserade nyligen också att ZDI var störst på OT-sårbarheter under 2020.

NIS2 TxOne

TxOne har också lösningar för skydd av klienter i form av produkter för vitlistning, inventering och virusskanning men idag tittar vi på deras nätverksprodukter. (Du kan läsa om deras helt unika sticka för virusskanning i nyhetsbrev 16.) Produktserien består av en management-konsol, en brandvägg och två varianter på IPS. Namngivningen av produkterna andas modern OT-teknik, de kallas "EdgeFire" och "EdgeIPS".

NIS2 TxOne

Om du inte är bekant med begreppet IPS, "Intrusion Prevention System", kan man kort och slarvigt beskriva det som ett slags virusskydd som tittar på nätverkstrafik. Istället för att titta efter virus tittar man efter tecken på en attack och när en sådan hittas stoppas helt enkelt den aktuella anslutningen utan att påverka all annan trafik som passerar på samma anslutning. Det här är en teknik som man traditionellt sällan vågat använda inom OT-världen eftersom alla tillgängliga lösningar varit fokuserade på IT-världens förutsättningar. Som OT-person skall det till ganska mycket innan man vågar stoppa in säkerhetsåtgärder som skulle kunna påverka viktig kommunikation. Nu kan man våga det!

NIS2 TxOne

Du kan direkt se att brandväggen och den lilla IPS:en fysiskt är helt inriktade på OT-marknaden. Det är två smidiga men ordentligt ruggade produkter med rejäla kylflänsar som gör att de kan monteras ute i anläggningen på DIN-skena eller vägg, körs på 12-48 Volt med möjlighet till redundant matning, de fungerar mellan -40 ˚C och 75 ˚C och har MTBF på över 700 000 timmar! IPS:en har hårdvaru-bypass för att inte störa verksamheten även om den skulle gå sönder. (Läs mer om detta i nyhetsbrev 20.) Jag gillar verkligen den massiva känslan som dessa små enheter ger i handen! IPS:en är bara 4x7x8 cm vilket gör det lätt att få plats i trånga apparatskåp! Trots det minimala formatet är den specad för att kunna hantera minst 200 Mb/s med full IPS-funktionalitet.

NIS2 TxOne

Numera finns även ett par storasyskon till IPS:en. Som du kanske minns från nyhetsbrev 17 finns det en monsterversion där man stoppat in 24 respektive 48 enheter i ett rackmonterat chassi och kryddat med ännu mera funktionalitet. Nu snackar vi totalt 20 Gb/s med IPS påslaget! Den här manicken är ju som synes inte tänkt att sitta ute i ett apparatskåp någonstans utan ska placeras i ett nätverksrum eller en datorhall, men i övrigt är den helt fokuserad på OT-världens förutsättningar!

NIS2 TxOne

Man ska inte underskatta den lilla IPS-enheten på grund av dess format, exempelvis har den riktigt imponerande brandväggsfunktionalitet för OT-protokoll! Vill man exempelvis begränsa vissa Modbus-klienter till att bara kunna göra läs-operation så gör man enkelt det. Vill du gå riktigt bananas kan du styra åtkomst ner på Coil-nivå i Modbus eller på individuella Service Codes i CIP! Idag har man protokoll-medveten filtrering för Modbus, CIP, S7Comm, Profinet, SLMP, MELSOFT, SECS/GEM och TOYOPUC men det verkar komma nya protokoll hela tiden. De stora IPS:erna har jag inte haft möjlighet att titta på ännu så där tänkte jag återkomma i ett framtida nyhetsbrev.

NIS2 TxOne

Brandväggen har samma funktioner som den lilla IPS:en förutom att den saknar hårdvaru-bypass, men den tillför istället en rad andra funktioner. Intressant är att man kan välja att köra den som en layer 3 enhet, dvs som en traditionell gateway, eller som en brygga på layer 2 vilket gör att den likt IPS:en blir en "bump-in-the-wire" fast då med en inbyggd switch och fler anslutningar. Den har SFP-anslutning och kan därför också anslutas direkt med fiber. Om man använder den som gateway har den alla grundläggande funktioner man kan förvänta sig av en sådan, exempelvis NAT, port mapping samt porthantering för FTP/SIP/H.323. Man får stor frihet i hanteringen av NAT om man behöver mer än den automatiska funktionen, det finns stöd för både översättningsregler och klassisk port forwarding.

NIS2 TxOne

Hur ser IPS-skyddet och den virtuella patchningen ut då? Det är ju ändå de viktigaste funktionerna för den här typen av utrustning! Svaret är helt enkelt att jag tycker det ser riktigt bra ut. Här märker man släktskapet med de stora TippingPoint-IPSerna från Trend Micro. På bilden ser du exempelvis profiler för skyddet mot Ripple20 som var en av många läskiga fel som upptäcktes i TCP/IP-stackar under 2020. Positivt är också att riktigt gamla sårbarheter adresseras eftersom det inte är helt ovanligt med äldre utrustning i OT-miljöer... Alla attack-profiler kommer med en föreslagen åtgärd men du kan alltid välja en annan om du vill. Några stickprov bekräftar att man hittar skydd mot en massa viktiga sårbarheter i Windows och Linux, jag såg exempelvis Zerologon, EternalBlue och ShellShock men även sårbarheter i underliggande applikationer som man kanske inte alltid är medveten om att man kör: Apache Struts och PHP. Det finns också skydd mot generella attacker såsom brute-force mot RDP, POP3 eller Webtjänster.

NIS2 TxOne

I mitt exempel här intill har jag testat IPS-funktionen med hjälp av EternalBlue-attacken känd från WannaCry, NotPetya, Shadow Brokers och Equation Group. Det är en radda riktigt otrevliga sårbarheter i SMB-protokollet från Windows-världen. Som synes är det inga problem att identifiera attacken och om IPS:en körs i blockeringsläge så stoppas attacken direkt. Men även om man väljer att enbart köra detektering är det mycket värt att få reda på när sånt här dyker upp kring dina OT-system!

NIS2 TxOne

Något som jag tycker är väldigt viktigt om jag ska lita på den här typen av säkerhets-system i viktiga produktionsmiljöer är att jag kan hantera uppdateringar på ett kvalitetssäkrat och styrt sätt. Typiskt vill man kanske automatiskt uppdatera signaturer på vissa enheter men bestämma själv på andra? Här kan du exempelvis skapa en grupp för testenheter och en annan för produktionsenheter. På produktions-gruppen väljer du själv vilken version som ska användas på alla system i den gruppen medan testgruppen alltid uppdateras efter hand som nya version dyker upp. System kan flyttas enkelt mellan de två grupperna. För varje grupp kan du dessutom välja om skydden ska vara aktiva eller bara logga angrepp - perfekt när man vill bekräfta att normal trafik inte blockeras av misstag. Riktigt smidigt och elegant!


Man får bra statistik om de trafiktyper som rör sig på nätet och vilka system som "pratar", vilket ger en bra förståelse för vad som faktiskt finns där. Normalt sett kan de här enheterna bara agera på den nätverkstrafik som passerar dem. Om man vill ha mer information om vilka system som finns på nätverket kan man slå det som TxOne kallar "Active Query". Då kommer aktiva, men försiktiga, frågor ställas på nätet för att fråga alla system om deras status, i nuvarande version stöds Modbus, CIP, FINS och SMB. Ett snyggt och praktiskt sätt att även kunna hitta system som inte är så "pratiga".

NIS2 TxOne

All administration kan ske lokalt på varje enhet men om du har många så blir det snabbt enklare att använda administrationskonsolen "OT Defense Console". Jag tycker den är väldigt lättjobbad med ungefär samma upplägg som de flesta konsolverktyg för brandväggar och IPS:er. Lite speciellt är att man fokuserat på att göra det enkelt att administrera många IPS:er med samma konfiguration genom möjligheten att skapa konfigurationsgrupper. Elegant och snyggt!

NIS2 TxOne

All hantering av uppdateringar och uppgraderingar sker i konsolen, både för konsolen själv, firmware till alla enheter, IPS-signaturer och DPI-signaturer. Har du inte Internetaccess från konsolen så laddar du upp uppdateringsfiler i konsolen och skickar ut dem därifrån. Om man absolut vill finns alltid möjligheten till lokal administration kvar direkt på varje system.

NIS2 TxOne

Konsolen är en virtuell appliance som du kör i VMware eller KVM. Den är enkel att installera och få igång. Jag fick nyligen tillfälle att göra en uppgradering av administrationskonsolen vilket ju kan vara lite klurigt i vissa säkerhets-system. Uppgraderingen i mitt OT-labb var väldigt enkel och till min glädje dök ett antal nya funktioner upp som löste de svagheter som jag såg i den tidigare versionen, exempelvis stöd för inloggning via TACACS+, multipla syslogservrar, SNMP traps och bättre filtrering av SMB. Använder man Pro-versionen av IPS:en får man en snygg möjlighet till automatisk inspelning av nätverkstrafiken vid händelser. Om TxOne fortsätter att lägga till vass funktionalitet i den här takten kommer de vara ostoppbara!

NIS2 TxOne

Även om konsolen har stöd för inloggning baserat på TACACS+ så finns även en smidig inbyggd användarhantering. Konsolen har ovanligt bra inbyggt skydd av administratörernas inloggningar genom att både kunna sätta krav på lösenordskvalitet och inbyggt skydd mot bruteforce-attacker.


Stöd för att skapa roller och grupper saknas men det gör inte så mycket eftersom man har fyra nivåer av användartyper att välja mellan (admin, operator, auditor och viewer) kombinerat med att man istället skapar grupper av de enheter som administreras och som tilldelas till olika användare. Ett smidigt upplägg som fungerar bra i praktiken.

Edge-serien från TxOne ger oss en möjlighet att börja adressera problematiken som brukar kallas "insecure by design", alltså faktumet att det inte räcker att vara duktig på att uppdatera våra system eftersom nästan alla OT-system bygger på i grunden osäkra nätverksprotokoll. Så länge inte tekniken förändras helt måste vi kombinera god underhållshygien med klassisk nätverkssegmentering och zon-indelning. Edge-produkterna från TxOne hjälper oss med både segmentering och virtuella uppdateringar, till och med där det inte finns några uppdateringar att få från leverantören!

NIS2 TxOne

Min högst personliga syn på Edge-serien från TxOne är att man faktiskt lyckats ta det bästa från en IT-leverantör och kombinera det med det bästa från en OT-leverantör i en gemensam produktserie! Man får en lösning som IT-folket känner igen sig i men som samtidigt kan ge OT-folket den känsla av trygghet som behövs för att våga stoppa in säkerhetslösningar i OT-miljön.

 

NIS2 igen...

NIS2 TxOne

Jag skrev i nyhetsbrev 21 om förslaget till om ett rejält utökat NIS-direktiv som lades fram strax innan jul. Jag noterar att det fortfarande är ganska tyst om detta i media vilket förvånar mig lite. Visst är det bara ett förslag än så länge men det är å andra sidan ganska brutala tillägg som föreslås kring både vilka verksamheter som omfattas, tillsynsmyndigheternas möjlighet till sanktioner och inte minst i höjda kravnivåer.


Hittills har jag mest sett analyser från olika jurist-byråer som inte tillför så mycket utöver en ren sammanfattning av det massiva materialet. Jag har pratat med personer som arbetar med NIS-tillsyn på några av de myndigheter som har detta uppdrag idag. Där är det fortfarande för nytt för att de ska dra några stora slutsatser men några gemensamma drag ser man i det man reagerar över:

  • En rejäl utökning av de branscher som omfattas där det som kanske sticker ut mest är ganska många tillverkande industrier.

  • Det talas om myndighetstillsyn och rejält utökad möjlighet att utdöma böter i samma storleksordning som i GDPR. (10 MEUR eller 2% av total omsättning)

  • En anmärkningsvärd punkt är att tillsynsmyndigheter ska ha mandat att tillfälligt förhindra ansvariga personer att verka i verksamhetens ledning om de misslyckats åtgärda förlägganden på ett effektivt sätt.

  • Det är egentligen två direktiv som lagts fram, NIS2 och CER - "Directive on the resilience of critical entities". Båda ingår i den strategi för EUs Cybersäkerhet som lades fram samtidigt. Det är alltså en mycket komplex bild att tolka för att se helheten. NIS2 fokuserar främst på Cybersäkerhet medan CER går ett par steg till och ställer krav på verksamheten i sig. Det talas om krav på riskanalyser och samverkan.

  • Krav på utbildning av ledningen för att kunna förstå risker och utmaningar kopplat till Cybersäkerhet.

  • Krav på riskanalyser och säkerhetspolicies

  • Krav på incidenthantering, både förebyggande och hanterande

  • Krav på kontinuitetsplanering och krishantering, inte bara för IT/OT - utan för verksamheten

  • Krav på säkerhet kopplat till leverantörer, upphandling, utveckling, underhåll och sårbarhetshantering

  • Krav på mätning och kontroll av säkerhetsåtgärdernas effektivitet

  • Krav på användning av kryptografi.

  • Krav på rapportering av hot och sårbarheter även om de inte ledde till skada

  • Krav på samordnad rapportering och hantering av sårbarheter inom både länder och EU-gemensamt.

Jag är väldigt nyfiken på att höra vad mina läsare har för tankar kring förslaget! Hör av dig eller kommentera nyhetsbrevets inlägg på LinkedIn!

 

Om du själv vill dyka ner i EUs texter så får du några pekare av mig här:

Allmän information: https://ec.europa.eu/digital-single-market/en/news/proposal-directive-measures-high-common-level-cybersecurity-across-union


Det här är den juridiska texten: https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=72166

Några spännande exempel från innehållet:

  • Sanktioner i samma storleksordning som GDPR: 10 MEUR eller 2% av total omsättning (Article 31, sid 56)

  • Tillsynsmyndigheter ska ha mandat att tillfälligt förhindra ansvariga personer att verka i verksamhetens ledning om de misslyckats åtgärda förlägganden på ett effektivt sätt (Article 29, punkt 5b, sid 54)

  • Krav på utbildning av ledningen för att kunna förstå risker och utmaningar kopplat till Cybersäkerhet (Article 17, punkt 2, sid 45)

  • Krav på en massa annat: riskanalyser, säkerhetspolicies, incidenthantering, kontinuitetsplanering, krishantering, leverantörssäkerhet, mätning av säkerhetsarbetets effektivitet, sårbarhetsrapportering även om inte incidenter uppstår osv

Small- och micro-verksamheter kan vara undantagna. (Article 2, punkt 1, sid 30) Definitionerna hittar du här: https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:124:0036:0041:EN:PDF

  • Micro: <10 anställda och omsättning < 2 MEUR (Se Annex, Article 2, sidan 39)

  • Small: <50 anställda och omsättning < 10 MEUR


Annex I, II & III: https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=72172

Innehåller lista över de berörda verksamhetsområdena.

Annex I listar ”Essential entities”, exempelvis:

Annex II listar ”Important entities”, exempelvis:

 

Att gå över gränsen utan att göra sig illa...


Brittiska NCSC (National Cyber Security Center) producerar ständigt material med riktig hög kvalitet. Häromdagen släppte de "Security principles for cross domain solutions" där de delar med sig av klokskap hur man för över information mellan två nätverk som har olika säkerhetsförutsättningar. Jag var inne på den här typen av lösningar i slutet av min artikel om Advenicas nätverksdiod i förra nyhetsbrevet.


Som vanligt levererar NCSC insikter på ett sätt som går att använda direkt. Vad är detta? Vem behöver det? Vad är viktigt? Vilka risker tas omhand och vilka nya risker kan uppstå? Hur implementerar man sådana här funktioner?


Som jag var inne på sist är det här riktigt kraftfulla lösningar som passar väldigt bra för OT-världen där man ofta vill ha riktigt bra koll på gränsytor och kommunikation med omvärlden. Tiden när vi kunde hävda att vi hade luftgap mellan IT och OT är sedan länge över för de flesta. På samma sätt är tiden förbi när man kunde peka på sin brandvägg och hävda att den tar hand om hoten. Nu krävs en kombination av innehållsstyrning och övervakning av trafiken i känsliga övergångar mellan olika miljöer!

 

Klokskap från FOI

David Lindahl på FOI (Totalförsvarets forskningsinstitut) är en annan pålitlig producent av kvalitetsmaterial. Strax före jul släpptes "Omvärldsbevakning statsattribuerade cyberoperationer 2020" som är väl värt att läsa för den som arbetar med riskanalyser eller säkerhetsåtgärder i känsliga miljöer.


David ger oss sina reflektioner kring vad som fungerar angreppsmässigt och varför vissa grupper beter sig som de gör. För oss som intresserar oss för OT-Säkerhet finns några exempel på angrepp mot "Styrsystem" som David kallar det.

 

Använder du OPC? Se upp!

Claroty släppte nyligen mer information om ett antal riktigt allvarliga sårbarheter i flera leverantörers OPC-produkter. Vi har tidigare sett annonseringen från respektive leverantör om viktiga uppdateringar och nu ger Claroty hela bilden.


Det gäller produkter från Softing, Kepware PTC och Matrikon som berör både OPC DA och OPC UA. Alla tre är välkända leverantörer för de som använder OPC och problemen gäller en hel rad produkter från dessa leverantörer. Mer detaljer hittar du i Clarotys annonsering och hos respektive leverantör. Det finns också en hel del analyser i media, exempelvis hos DarkReading och SecurityWeek.


Med tanke på hur viktigt OPC oftast är för de verksamheter som använder det kombinerat med hur lätt de flesta av sårbarheterna är att utnyttja är situationen onekligen allvarlig. Kanske speciellt för OPC UA som ju annars betraktas som säkrare än OPC DA och därmed kan vara mer exponerad i nätverken. Den här typen av produkter tenderar ibland också att bli lite bortglömd när det gäller patchbevakning. Nu är det dags att uppdatera!

 

De där leverantörerna alltså...

Joe Weiss levererade i mitten av Januari en bra reflektion över de två största (i alla fall ur ett amerikanskt perspektiv) OT-säkerhetshändelserna under 2020: Solarwinds-hacket och upptäckta bakdörrar i transformatorer för det amerikanska stamnätet.


Han ondgör sig över att säkerhets-branschen sprungit åt fel håll och att vi som grupp ignorerar behovet av att arbeta med säkerhet närmare den fysiska processen. Diskussionen om attacker via leverantörskedjan blir förstås ännu mer tillspetsad när man kommer till angrepp som levereras med hjälp av leverantören!


Tänkvärda ord om ett riktigt svårt problem!

 

Rekommenderad läsning...

Dale Peterson resonerar kring en rapport som förutsäger hur många kända sårbarheter som kommer att dyka upp under 2021 och vad resursbehovet som följer av det betyder för vår förmåga att hänga med i det eviga patchandet?



 

En av mina nyupptäckta idoler, Jonas Berge, skrev i höstas en artikel om standarder i OT-världen. Han gör många intressanta poänger men kretsar hela tiden kring OPC-UA som ju verkligen håller på att bli en standard på riktigt! Men han väver också in jämförelser med standarder i IT-världen, buss-protokoll, filformat och framför allt NAMUR Open Archtecture (NOA). Inget av detta har något specifikt med säkerhet att göra samtidigt som den standardisering vi kan uppnå med OPC-UA i kombination med kloka design-principer i stil med NOA gör det möjligt att bygga säkra miljöer. Det är ju trots allt faktiskt så att det är kring integrationer som de flesta sårbarheter uppstår!

 

En riktigt intressant artikel från "Air & Space Magazine" om hackning av kritiska system i flygplan.

 

En rapport om ett antal riktigt otrevliga sårbarheter i en WiFi-modul från RealTek som bland annat sägs vara vanlig inom industriella tillämpningar. Sårbarheterna är möjliga att utnyttja på distans över WiFi utan att ha tillgång till kryptonycklar eller annan autentisering! Jag har inte sett någon sammanställning från systemleverantörer ännu men det låter riktigt allvarligt!

 

Ett bra White Paper från IIC, Industrial Internet Consortium, som reder ut begrepp och utmaningar kring Edge computing.

 

En nygammal attack mot ett osupportat operativsystem, Windows 7, som de flesta av oss fortfarande använder...

 

Energimyndigheten gav nyligen ut föreskrifter och allmänna råd, STEMFS 2021:3, kopplat till NIS-direktivet där man ställer krav och ger råd för bland annat OT-system.

 
NIS2 TxOne

Det här nyhetsbrevet skickas till mottagare med intresse av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.


Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!


Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar tidigare nyhetsbrev på ot-säkerhet.se .