Sök

Nyhetsbrev OT-Säkerhet #31

Dags för en sommarlätt utgåva av nyhetsbrevet! Jag jämför OT-säkerhet med informationssäkerhet, kollar hur fort virtuell patchning löste PrintNightmare och tar en närsynt titt på en massa fina prylar från Moxa.

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter. Jag skrev nyligen ett inlägg på Atea-bloggen som förklarar mer.


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Framöver kommer också vissa artiklar från nyhetsbreven publiceras på Ateas officiella blogg tillsammans med en del annat som jag skriver där.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!


Precis som informationssäkerhet!

När man försöker lära sig om OT-säkerhet får man lätt intrycket att "det är IT-säkerhet men för OT-prylar". Jag förstår att man tänker så, jag tänkte nämligen själv så tidigare... Men när man dyker lite djupare i resonemangen inser man att det inte är fullt så enkelt. I mitt eget resonemang finns en massa, kanske lite oväntade, paralleller till informationssäkerhet.


Va? Infosäk? Ja faktiskt! Ett populärt sätt att tänka är att IT-säkerhet är en del av det större begreppet informationssäkerhet och att det därför är behoven av skydd för informationen som ställer krav på IT-säkerhet. Det ligger förstås mycket i det, eftersom det är via skyddet av information som IT-säkerhet får sina övergripande prioriteringar. MEN! Det är ju väldigt uppenbart nu för tiden att det krävs en ganska rejäl dos IT-säkerhet för att hålla liv i vilket IT-system som helst, oavsett om det är ett kassasystem på COOP eller någons nyligen raderade NAS hemma. Bara det att du har ett system som du vill hålla liv i kräver ganska mycket säkerhetsansträngningar oavsett vad det ska användas till!

När folk pratar om OT-säkerhet tenderar de ofta att fastna på att skydda systemen i sig själva. Det är inte så konstigt, eftersom prylarna tenderar att vara väldigt ömtåliga och nästan alltid byggda med teknik som inte kan vara säker. "Insecure by design". Precis som för IT-säkerhet krävs det därför ansträngningar för att systemen överhuvudtaget ska kunna överleva i en omvärld som är allt mer hotfull och aggressiv.

MEN! Om du istället fokuserar ditt säkerhetsarbete på att hålla igång din fysiska process så måste du helt plötsligt fokusera på den betydelse dina system har för verksamheten och kanske för samhället runt omkring. Det är här jag drar min parallell till informationssäkerhet! Plötsligt är det verksamheten som bestämmer var som är viktigast! Har du en potentiellt farlig verksamhet kanske samhället ställer krav på dig också för att skydda omgivningarna... Men den viktigaste likheten med skydd av information är att säkerhetsåtgärder inte alltid behöver sitta i systemen! Är din fysisk process byggd så att det faktiskt är omöjligt för den att bli farlig för omgivningen oavsett vad en elak hacker gör med systemen så är väl det en mycket åtgärd än att försöka stoppa hackern. Det finns förstås fler skäl att vilja stoppa en hacker men åtgärderna, och framför allt kostnaderna för dem, blir annorlunda om man redan löst en del av utmaningarna.

Precis som inom IT är kontinuitetsplanering tyvärr ofta en underskattad del av säkerhetsarbetet. Naturligtvis kan man välja att inte ha alternativa rutiner om systemen rasar, det är en riskavvägning man förstås får göra. MEN! Allt fler verksamheter hamnar där vare sig de vill eller inte, det är helt enkelt inte möjligt att bedriva vissa verksamheter på ett meningsfullt (eller lagligt) sätt utan IT-stöd. Jag gissar (en ren killgissning!) att COOP (eller ICA...) inte får sälja något utan fungerande kassasystem eftersom skatteverket har höga krav på spårbarhet. På samma sätt skulle jag själv föredra att Seveso-klassade verksamheter lät bli att köra sin verksamhet utan fungerande säkerhetssystem...


Jag tycker alltså faktiskt att OT-säkerhet i stort mest liknar informationssäkerhet, om man nu ska jämföra... Inom OT-säkerhet finns ju då också något som på ytan liknar IT-säkerhet där man skyddar sina system, men som på grund av att våra förutsättningar och prioriteringar faktiskt skiljer sig väldigt mycket. I slutändan håller jag därför fast vid att OT-säkerhet måste handla om både säkerhet i den fysiska processen och skyddet av de tekniska systemen!

En stor poäng med likheten mellan OT-säkerhet och informations&IT-säkerhet är att man kan bedriva ett vettigt gemensamt risk- och säkerhetsarbete. Som du kanske läste i förra nyhetsbrevet tycker jag att det finns stor anledning hålla att säkerheten inom IT och OT på jämförbara nivåer.


I takt med att verksamhetsutveckling ofta är beroende av både IT- och OT-stöd ser jag allt oftare att säkerhetsåtgärder i de båda områdena möjliggör nya sätt att driva verksamheten och nya sätt att skapa värde. Det är ju när säkerhetsarbete skapar möjligheter som det är som allra roligast att vara i den här branschen!

Fungerar det i verkligheten?

Jag har tidigare skrivit om TxOnes produkter för nätverkssäkerhet i OT-system, se exempelvis nyhetsbrev #23 och #26. I samband med ett införande av dessa produkter hos en industrikund passade jag på att titta på hur snabbt hanteringen av nya sårbarheter fungerar i praktiken, speciellt i de fall när TxOne och deras kompisar på "Zero Day Initiative" inte har förhandsinformation om sårbarheten. (Dvs när de har sämst förutsättningar för att agera snabbt.)

Ingen som läser det här nyhetsbrevet har väl missat "PrintNightmare", den smaskiga bristen i printspoolern i Windows? Annonseringen av sårbarheten råkade ju dessutom bli lite snurrig vilket gjorde den lite extra intressant att titta på som exempel.

  • 1:a Juli – Sårbarheten annonserades av Microsoft efter att exploit-kod av misstag (?) publicerats på Github.

  • 2:a Juli – TxOne är klar med en IPS-regel baserat på hur sårbarheten kan utnyttjas. Regeln släpps på validering i 72 timmar för att säkerställa kvaliteten.

  • 6:e Juli – IPS-regeln släpps för nedladdning och min kunds system laddar automatiskt ner filen. EdgeIPS och EdgeFire skyddar omgående mot sårbarheten även på helt opatchade system.

Hur ska man tänka om det här då? Man kan tycka att det är lite långsamt att det tar flera dagar från annonsering till aktivt skydd? Personligen tycker jag inte det eftersom:

  • Om man har möjlighet att lägga på kritiska patchar snabbt så hade det förstås kunna göras snabbare. MEN! Det förutsätter att man kan installera patchar i sin produktionsmiljö. Och att man vill installera sprillans nya (och därmed relativt oprövade) patchar där.

  • Det här är den långsamma varianten av händelseförloppet. I det här fallet var TxOne och Zero Day Initiative inte alls inblandade i upptäckten av sårbarheten. Ofta är de det och då har IPS-regeln förberetts redan innan sårbarheten är publik och kan släppas i samma ögonblick som Microsoft annonserar sårbarheten.

  • Den 6:e Juli har kanske några enstaka, riktigt snabba, verksamheter börjat installera den här patchen på sina mest kritiska och mest utsatta system. Extremt få organisationer kommer att ens vara nära att göra det på servrar och PC i någon form av OT-miljö. Det här är snabbt!

I efterhand har det visat sig att Microsoft ”klantade till” sin patch så den inte skyddar mot alla varianter av attacker mot dessa sårbarheter. Eftersom TxOne skapar sitt skydd på ett oberoende sätt är det osannolikt att de två har samma problem vilket gör TxOne till ett vettigt skydd även för patchade system i det här fallet!

Totalt sett tycker jag personligen att man håller vad man lovat med råge! Att kunna gå från noll till implementerat skydd i OT-system på några få dagar slår det mesta jag sett.


Självklart måste man som alltid själv besluta om det finns risker med att släppa på den här typen av skydd men jag skulle själv föredra en produkt som testas utifrån OT-världens förutsättningar än något annat som forceras ut på andra premisser.


Det är riktigt roligt att se lösningar som ger relevanta lösningar på praktiska problem och som fungerar i verkligheten!

Massor med MOXA!

MOXA är ett företag som det nästan inte går att undvika om man rör sig i OT-världen. De tillverkar en väldig massa intressanta prylar, allt från serieportar och mediakonverterare via nätverksswitchar och accesspunkter till datorer och säkerhetsutrustning. Här i nyhetsbrevet har de dykt upp flera gånger som en av delägarna (tillsammans med Trend Micro) av TxOne.

Jag fick nyligen möjlighet att utforska en del andra delar av deras sortiment och tänkte fokusera på de delar som har mest med säkerhet att göra här. Det blir TxOne-grejor och VPN-tjänster. Funderar du över deras switchar, I/O-enheter eller powersupplies så är det bara att höra av dig!

Om vi börjar med grejorna från TxOne så säljer ju MOXA och Trend Micro dem var för sig även om produkterna förstås är väldigt lika. Men de är inte identiska, och jag tänkte fokusera på skillnaderna här. För att läsa mer om det gemensamma hänvisar jag gärna till nyhetsbrev #23. En skillnad mellan bolagens erbjudanden är också att den stora rackmonterade varianten "EdgeIPS Pro" som jag skrev om i nyhetsbrev #26 bara finns i Trend Micros erbjudande.

Redan på utsidan finns det skillnader. Samtliga är små men massiva pjäser med enorma kylflänsar som möjliggör drift utan fläktar från -40˚C upp till +75˚C. De små IPS-enheterna är identiska på utsidan förutom loggorna. MOXA kallar dem EtherCatch och Trend Micro kallar dem EdgeIPS.

De större brandväggarna har några intressanta skillnader redan på utsidan. Båda tillverkarna kallar dem EtherFire men där slutar också likheterna. MOXAs variant är lite mer kompakt till formatet vilket kan vara en fördel, jag har själv varit med om att den mer avlånga varianten från Trend Micro inte fick plats mellan två kabelrännor i en maskin. Å andra sidan saknar MOXAs variant RJ45-portar för WAN-anslutningen och har istället enbart SFP-portar, från Trend Micro får du båda varianterna. MOXAs variant är intressant nog förberedd med kabelplintar för en digital insignal och en reläutgång för felindikering men de verkar inte vara aktiva i den nuvarande versionen.

Administrationsgränsnitten är väldigt lika. Dock ska man komma ihåg att om man använder de smidiga management-servrarna så verkar man inte kunna blanda produkter från MOXA och Trend Micro. De är enkla att sätta upp och man kan snabbt vara igång.


Att MOXA och Trend Micro som företag har lite olika bakgrund skiner igenom i administrationen av virtuell patchning och IPS-funktioner. MOXA som väl kan sägas traditionellt har vänt sig till automationsfolket i första hand har skalat ner möjligheterna detaljkonfigurera IPS-reglerna till förmån för att göra det enkelt att konfigurera, det är av eller på... Trend Micro som kommer mer från IT-världen ger fler möjligheter att själv styra över vilka IPS-regler som ska användas men det ger förstås en ökning av komplexiteten. Personligen har jag ingen stark preferens åt något håll, båda uppläggen har sina fördelar.

Ni som läst mina artiklar om TxOne tidigare vet att jag gillar deras produkter. Det var intressant att se de skillnader man valt att skapa mellan de två produktlinjerna. Vilken man föredrar kanske handlar mest om personlig preferens och vilken leverantör man vill jobba med.


Funktionaliteten är lika imponerande i båda två och om man tänker sig att bygga segmentering med stöd för IDS/IPS och Virtuell patchning fysiskt nära sin automationsutrustning så känner inte jag till något starkare erbjudande än det som TxOne kommer med!

Den andra produkten från MOXA som jag tittat närmare på är MRC, "Moxa Remote Connect". MRC är en VPN-lösning som kombinerar central styrning med lokal anslutningar.


Det här med fjärranslutningar är ju något som jag skrivit om många gånger förut, det är ett svårt problem som leder till kluriga utmaningar säkerhetsmässigt. När jag tittat på den här typen av lösningar tidigare så har det ofta handlat om verksamheter som har riktigt höga krav på skydd. Där man, förutom en skyddad uppkoppling, behöver ha koll på exakt vem som kopplar upp sig, vem som har rätt att släppa in dem och vad de faktiskt gjorde.

Men om verksamheten inte har så extrema krav, vad gör man då? Hur gör man någonting åtk