Sök

Nyhetsbrev OT-Säkerhet #28 - NIST, Nozomi Guardian och LOGIIC

Den här gången funderar jag på vad folk menar när de "jobbar enligt NIST", imponeras av Guardian från Nozomi Networks, tittar på olje&gas-branschens syn på sårbarheter i safetysystem, funderar över vad en OT-incident egentligen är och rotar vidare i NOA från NAMUR. Åsså en massa annat spännande förstås!

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter. Jag skrev nyligen ett inlägg på Atea-bloggen som förklarar mer.


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Framöver kommer också vissa artiklar från nyhetsbreven publiceras på Ateas officiella blogg tillsammans med en del annat som jag skriver där.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

Långa men tomma rör...

Jag har fått flera frågor om varför jag inte gett mig in i diskussionerna kring attacken mot Colonials pipeline i östra USA. Det är ju definitivt en intressant händelse, det är väl förmodligen den IT-attack som fått störst påverkan på civilbefolkningen i något land, någonsin. Möjligen undantaget händelserna kring Ukrainas elnät.


Mitt svar är helt enkelt att jag inte ser någon mening med att tidigt klämma ur mig en massa listiga åsikter baserat på rykten och halvdan media-rapportering. Inte minst ur ett OT-perspektiv återstår det ju verkligen att se vad som egentligen hände och vad som gjorde att produktionen stoppades. Jag vet av erfarenhet att det oftast finns väldigt många bottnar i den här typen av händelser och väntar gärna med att dra mina slutsatser till röken har lagt sig ordentligt...

En sak som diskuterats flitigt är om det var en OT-incident eller inte med tanke på att den fysiska driften stoppades av företaget själva. Personligen tror jag att de flesta som diskuterar den frågan inte har förstått hur en sådan här pipeline fungerar. Det är lätt att tro att det är ett långt rör där man dag efter dag stoppar in samma typ av olja i ena änden och får ut den igen på en annan plats. I praktiken pumpar pipeline-företaget alla möjliga petroleumprodukter åt en lång rad olika kunder och man byter fram och tillbaka relativt ofta. Det är inte heller alltid att det är samma företag som stoppar in produkten som också plockar ut den, utan försäljning sker via pipelinen. I Colonials fall så förlorade de sina system för all hantering av köp- och sälj-beställningar, vilket förstås gör det helt meningslöst att köra en pipeline!

Ett begrepp som används slarvigt i lite olika sammanhang är "IT - OT Convergence" i betydelsen att IT och OT växer ihop. Personligen brukar jag undvika att använda det eftersom det är så luddigt men i Colonial-incidenten kan man ju faktiskt säga att attacken riktade sig just mot deras "IT - OT Convergence". Och då menar jag det affärsmässiga beroendet mellan IT och OT, inte något slags integration nödvändigtvis. Attacken slog ut deras möjlighet att bedriva fysisk verksamhet men utan att attackera de fysiska systemen.

Här tror jag IT-säkerhetsarbetet kan ta lite inspiration från OT-världen och fokusera lite mer på Tålighet. Alltså att se till att verksamheten går att köra i något slags "nödläge" även om man förlorat sin normala effektivitet. Självklart ska vi göra allt för att stoppa attacker men någonstans går gränsen för när mer skydd mot attacker blir för dyrt eller störande och man får skydda sin verksamhet på andra sätt. Jag kan inte bedöma hur lätt det hade varit för Colonial att ha nödrutiner för att hålla igång produktionen men det hade varit ett fantastiskt sätt att köpa sig lugn och ro för att hantera den egentliga attacken.


Det här är en händelse som kommer få många och intressanta konsekvenser framöver! Just pipelines är dessutom ett extra klurigt område säkerhetsmässigt så oavsett vad som hände kommer det finnas mycket att lära.

Det går bra nu!

Intresset kring OT-säkerhet och industriella system växer jättesnabbt. Vi behöver fler kompisar som vill arbeta med det här fantastiskt spännande området och våra roliga kunder! Du måste inte vara specialiserad på just OT-säkerhet men något slags kombination av de här kompetenserna är bra:

  • Säkerhet - Du kanske har en bakgrund inom informationssäkerhet, OT-Säkerhet, IT-säkerhet, fysiskt skydd eller riskhantering?

  • Industri - Du kan prata med "industrifolk", både med automationsteknikern och med produktionschefen. Du ser inte ut som ett frågetecken när de pratar om MES-system, PLCer eller SCADA. Du har upplevt hur en sådan verksamhet fungerar i verkligheten.

  • IT-Arkitektur - Du har en bred förståelse av IT-teknik och hur IT-drift fungerar i praktiken! Du kan prata om Windows, Linux, nätverk, certifikat, brandväggar och virusskydd även om du inte är specialist på något av det.

Mina kunder finns i hela landet så det spelar egentligen mindre roll var du bor, även om det förstås vore extra kul med en kollega på Västerås-kontoret


Är det här du? Eller känner du den perfekta personen? Tipsa! Hör av dig!

En väktare från Nozomi!

Något som nästan alla verksamheter med OT-system har gemensamt är att de inte kan jobba löpande med uppdateringar, patchning och aktiva skydd i sina system. Oavsett om det är leverantörerna som håller emot på grund av garantier eller verksamheten själv för att man inte vågar göra förändringar i viktiga processer så hamnar man i ett läge där man behöver fokusera på andra säkerhetsåtgärder än de som man kanske är van vid från IT-världen.


Om man ska välja ett ställe att börja på så skulle jag absolut rekommendera att skaffa riktigt bra insyn i vad man har för komponenter i sina system och vad de pysslar med. Oavsett vilken standard för säkerhetsarbete du tittar på, CIS Controls, ISO 27000, ISA 62443 eller NIST så pekar man på att bra koll sina prylar är en förutsättning för allt annat säkerhetsarbete. När man sedan har den insynen är steget inte långt att löpande använda den kollen man fått i nätverket för att aktivt leta efter händelser som är värda att stoppa eller kolla upp.

In på scenen kommer då Guardian från Nozomi Networks! Det här är en av de mycket få lösningar på marknaden som första stund byggts för att passa OT-världens behov. Att den sedan råkar bli riktigt intressant även för IT-miljöer är en välkommen bonus! Guardian matas med nätverkstrafik som man kopierat från sina OT-nätverk. Trafiken analyseras och presenteras förstås men framför allt letar den löpande efter oväntade förändringar i hur enheterna på nätverket pratar och efter uppenbart skadlig trafik.


I mitt OT-labb har jag just nu den minsta modellen av Guardian, "NSG-R 50". Det är en ruggad variant utan fläktar som ändå tål jobbiga temperaturer tack vare feta kylflänsar, den monteras på DIN-skena och matas med 12 - 36 V DC. En reläutgång för matningsfel hintar om ett seriöst OT-ursprung.


Som synes har den fyra ingångar för att ta emot trafik. Den trafiken kan komma från SPAN/Mirror-portar i nätverksswitchar eller från tappar/aggregatorer likt dem från Keysight som jag tittade på i förra nyhetsbrevet. Management-porten ansluter man till sitt nätverk och det är den vägen man arbetar i detta imponerande verktyg.

Hur är det att arbeta i då? Och vad kan man göra? Ja, det första man slås av är att det verkligen är ett OT-verktyg på riktigt! Det är inte bara att det förstår vad MODBUS eller en PLC är utan man får tillgång till massor av information som är annars är väldigt klurigt att få sammanställt i en blandad miljö. Ett bra exempel är att man till och med får insyn i vad som hänt ner på enskilda register, taggar och variabler. (Se bilden här nedan)

Något man alltid hör från de som implementerat den här typen av verktyg är att "automationsfolket" blir helt exalterade över den kontroll de får på sina prylar. De kan helt plötsligt se kluriga händelseförlopp och felsöka på helt nya sätt. Jag har själv hört exempel på en test-implementation av ett annat verktyg där säkerhetsfolket som testade verktyget inte fick ta bort det efteråt för automationsingenjörerna som absolut ville ha kvar det! Det här är definitivt inte bara ett säkerhetsverktyg utan det bidrar också med riktigt starka funktioner för de som sysslar med drift, underhåll och utveckling.

Det är ytterst sällan (i min egen erfarenhet) som man har en renodlad OT-miljö med bara utrustning från en enda tillverkare och där prylarna dessutom är av samma tekniska generation. Personligen tycker jag att det är fantastiskt att få en sådan överblick av en "rörig" miljö samtidigt som man kan dyka ner i vilka detaljer som helst! Det gör ingenting att du använder OSIsoft PI-server som historian ihop med PLCer från både Siemens, ABB och Phoenix Connect med ett kamerasystem från Hikvision som ligger slängt ovanpå. Du kan se alla systemen, alla protokollen och alla variabler i samma verktyg. Det är inte ett problem att titta på PI-CONNECT blandat med BACNET och RTSP, allt är tydligt och snyggt tillsammans!

När du ska undersöka en misstänkt incident blir det förstås helt ovärderligt med den här helhetsbilden! Vill du ha listor så får du det men vill du jobba i interaktiva som på bilden så gör du det. Och här hittar vi nästa ovärderliga finess med ett sånt här verktyg, att du inte bara vet vad som händer just nu utan du kan även rota i vad som hänt bakåt i tiden. Att kunna svara på frågan "Vad hände i Pressningens nätverk den 14 April runt 15:30?" är i princip omöjligt utan rätt verktyg men samtidigt helt nödvändigt om du ska kunna fatta rätt beslut!

Du får stöd i att snabbt och enkelt skaffa dig en uppfattning om läget. Insikter som är värda titta närmare på lyfts fram tydligt. Det kan vara klassiska misstag som att en PC har flera nätverksinterface som "kortsluter" din brandvägg eller att nya enheter dyker upp på nätverket.


Undrar du över någon speciell detalj så är det snabbt gjort att kolla "vilka IP-adresser har våra streckkodsläsare från Cognex?" eller "Finns det sårbarheter i vår utrustning från Allen-Bradley?". Svaret är lätt att hitta och innehåller förvånansvärt mycket detaljer!

All denna rikedom av information om våra system och hur de kommunicerar används sedan för Guardians kanske största och viktigaste trolleritrick av dem alla, att löpande analysera trafiken i jakt på konstiga eller farliga händelser. Här nedan ser du ett exempel på en analys av en gammal nätverksinspelning som visar på bredden i analysen genom ett antal bra exempel:

  • En ny enhet dyker upp på nätet och genomför ett angrepp mot en sårbarhet i SMBv1. (Havex/Dragonfly/EternalBlue)

  • En variabel sätts till ett värde som ligger utanför vad som betraktas som normalt.

  • Två redan kända noder börjar kommunicera på ett nytt sätt.

  • En ny enhet dyker upp på nätverket och gör en MITM-attack (Man In The Middle) mot två existerande system.

  • Ett känt system försöker plötsligt ansluta till Internet

Alla dessa attacker är svåra eller näst intill omöjliga att upptäcka utan en löpande analys av nätverkstrafiken med hjälp av AI/ML. I kombination med signaturbaserat skydd blir det verkligen heltäckande!


När Guardian upptäcker något sånt här kan den larma dig på en rad olika sätt beroende på hur din systemmiljö ser ut i övrigt. Integrationer finns av alla sorter och med alla typer av system, allt från enkla meddelanden via epost, SNMP-traps eller syslog till riktiga integrationer med ett SIEM-system eller ServiceNow.

En viktig del i allt detta är förstås att du kan berätta för Guardian hur din nätverksstruktur ser ut. Du kan använda den klassiska Purdue-modellen för att placera in dina adressområden eller VLAN på de olika nivåerna. Det gör rapporter och larm både tydligare och enklare att basera beslut om åtgärder på.

På samma sätt finns alla möjligheter till integrationer för att automatisera åtgärder baserat på regler som triggas. Vill du att vissa typer av angrepp automatiskt ska få en brandvägg att blockera anslutningsförsök så finns det stöd för det.


Nozomi fyller förstås hela tiden på med regler och signaturer för att upptäcka olika typer av angrepp, sårbarheter och risker. Vill du fylla på med egna regler finns möjlighet att använda YARA-regler eller STIX-indikatorer.