Sök

Nyhetsbrev OT-Säkerhet #38

Du får precis som vanligt en rejält blandad kompott. Det blir exempelvis mina högst personliga tankar kring det kluriga området segmentering, en titt på historien inom automationsbranschen, smått provocerande tankar kring tillgången på kompetens, ett kul exempel på hur Log4Shell används, spearphishing mot industrin, en uppmaning att byta arbetsgivare och en massa annat!

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

 

Vad tycker du om segmentering?

Något som alltid väcker diskussion är segmentering. Av någon anledning så finns det ovanligt många åsikter och väldigt mycket tyckande kring det här ämnet. Och då skall väl inte jag vara sämre? Här är lite blandade tankar och extremt personliga tyckanden från min sida kring det här. Samtidigt ska jag förstås påminna om att det finns undantag från allt, situationer där annan klokskap är viktigare! Jag vore väldigt tacksam för lite mothugg och fler idéer kring detta. mats@ot-sakerhet.se

  • Det handlar inte bara om nätverk! Segmentering brukar bli väldigt fokuserat på nätverk, kanske för att det egentligen är den enkla delen? Det som brukar bli svårt och dyrt är andra saker, lite "högre upp" i näringskedjan, som är svårare att skära i småbitar. Se till att ha tänkt igenom det du vill göra hela vägen innan du börjar stycka upp nätverket, annars kan det visa sig att du får börja om...

  • AD, Active Directory, är ett sådant exempel där man gärna vill ha en gemensam bas att stå tvärs igenom den segmenterade miljön. Tyvärr innebär det ju också att man i någon mån "kortslutit" segmenteringen. Om det är en bra idé i alla fall får man avgöra från fall till fall i en riskanalys.

  • Hur ordnar vi Fjärråtkomst för leverantörer och för egen personal på "kontoret"? Är det ok med en vanlig VPN och hur separerar vi åtkomst till olika zoner? Hur hanterar vi åtkomst mellan olika "fabriker"?

  • Backuper liknar problematiken med AD om man vill ha automatiserade nätverksbackuper. Vissa löser det med ett separat backupnätverk "på baksidan", något som jag sällan tycker blir speciellt bra eftersom det introducerar multihoming (se separat punkt) och gör backupservern till en extremt känslig och utsatt punkt.

  • Utskrifter blir ibland också en variant på samma problem, speciellt i situationer där man kör stenhårt med centraliserade skrivarservrar. Här är det ofta en gammal hederlig avvägning mellan risk och kostnad som krävs...

  • Använd 62443 - inte Purdue! Inget ont om Purdue-modellen, den är högst relevant fortfarande - men den ska användas som den var tänkt från början, som en arkitekturmodell och inte som en nätverksstruktur. Jag ser lite för ofta att man skapar enorma nät döpta till "Nivå 2", "DMZ" osv. Det kan mycket väl vara vettigt i enstaka fall men oftast tycker jag man ska gå på tänket i IEC 62443 med "Zones" och "Conduits" (som baseras på en riskanalys och förståelse för systemen i nätverket) istället. Sannolikt blir det fler nät än nivåer, definitivt när det gäller DMZ! Glöm inte heller bort att skapa administrativa nät för nätverksutrustning och sånt! Inte heller nät för att samla in information från säkerhetsprodukter. En riktigt bra diskussion från S4x19 belyser det här bra.

  • Multihoming är dålig segmentering! Det finns absolut situationer när det är vettigt att ha flera nätverksinterface på ett system som är anslutna till flera olika nätverk. Tyvärr skapas den här typen av lösningar lite för ofta som ett sätt att "slippa" jobba med brandväggsregler. Problemet är att du kortsluter brandväggen och försämrar därmed förmågan att styra och förstå nätverkstrafiken.

  • Förstå först! Jobba sedan! Man kan definitivt göra en grov, första segmentering baserat på det man tror sig veta om sina system. Men innan man gör några mer avancerade segmenteringar tycker jag absolut att man ska ha örnkoll på vad som faktiskt finns på nätet - i verkligheten! Personligen tycker jag det bästa sättet är att tidigt investera något verktyg för detta som sedan dessutom kan fortsätta stötta säkerhetsarbetet hela vägen "in i mål". Kom ihåg det kloka från NIST CSF där den första av de fem delarna är IDENTIFY som lägger grunden för de andra delarna!

  • Säkerhet är inte bara intrångsskydd! Det blir lätt fokus på att skydda oss mot inkräktare men det finns mer att ta hänsyn till när man skapar sin segmenteringsstrategi än säkerhet. Några av de viktigaste tycker jag är:

  • Tillgänglighetskrav och SLAer är lätt att glömma men har stor påverkan på hur den praktiska driften går till. Om man blandar olika krav på tillgänglighet i ett och samma nätverk kan det bli svårt att planera driftavbrotten.

  • Om man blandar utrustning med olika ägare i samma segment/zon blir det fler parter att blanda in i driftplanering och ändringshantering.

  • De delar av utrustningen som hanterar tidskritisk kommunikation behöver vara ifred för att må bra oavsett vilken nätverksteknologi som man använder.

  • Internet är inte en nätverksnivå! Ofta ser man "Internet" inritat som ett moln överst i en nätverksstruktur. (Ofta ovanför Nivå 4/5 i en Purdue-inspirerad bild.) Jag föredrar att se Internet och "Molnet" som ytterligare en typ av bärare för information och tjänster och som därför kan finnas (nästan) var som helst i nätverksmodellen. Så länge riskanalyser, tillgänglighetskrav och juridiken är överens så kan vi faktiskt blanda on-prem med moln utan problem. (Därmed inte sagt att det är en enkel avvägning att få till! Inte heller att det är enkelt att göra det tillräckligt säkert...)

  • Logisk eller fysisk? Ett hett diskussionsämne i sig självt är kring när det är ok att använda logisk segmentering och när man behöver ta till en fysisk dito. Är VLAN ok eller krävs separat infrastruktur? Är virtualisering ok eller krävs separat hårdvara? För att göra det ytterligare lite mer klurigt finns ju numera ofta flera nivåer av logisk separation i samma utrustning att ta till, där det inte alltid är självklart vad skillnaden i säkerhet egentligen är.

  • Små steg men inte för små delar! Det är inte ovanligt att segmenteringsprojekt tar oerhört mycket mer tid än vad man trodde från starten. Som jag uppfattat det beror det oftast på att man försöker lösa alla problem på en gång och samtidigt försöker skära sönder nätverket i väldigt små delar. Segmentering är inte enkelt men det blir mycket enklare om man har en strategi som håller över en längre tid men sedan tar en liten del i taget.

  • Tänk stort! Tänk litet! Se till att ha ett grundtänk som kommer hålla! Vad är syftet med segmenteringen? Vad är egentligen ambitionsnivån? Glöm inte att ditt segmenteringsupplägg måste tåla förändringar i förutsättningarna. Kanske måste ni kunna hantera att ni bygger nya fabriker eller köper upp en konkurrent? Tekniska förändringar i systemen kommer garanterat dyka upp och måste gå att hantera utan att bygga om hela nätverket! Hur undviker vi att "störa" driften på "IT-sidan" med begränsningar och risker som kommer från "OT"?

 

Historien och framtiden!

Lyssna gärna på avsnitt 43 av podden "Manufacturing Hub" där Vlad och Dave pratar med Benson Hougland från smått legendariska firman "Opto 22".


Förutom en massa spännande diskussioner får vi en ovanligt intressant historik kring automationsbranschen med en radda fakta som i alla fall jag hade missat. Som en rejäl krydda på moset får vi ett gäng framtidsspaningar kring vart branschen är på väg, där mer traditionell teknik möter något modernare koncept som MQTT eller NodeRed och där citatet "Software will eat the world" verkligen även kommer gälla vår bransch.


Opto 22 är ett sånt där gammalt rejält företag som man blir lite glad av, lite likt exempelvis tyska Phoenix Contact (som förvisso är ännu äldre), där man inte låter lång historik komma i vägen för kreativt tänkande framåt och modern teknik. Kul!

 

Leta efter anomalier i en PLC?

En intressant artikel där Caleb Purcell djupdyker i några exempel på hur man skulle kunna upptäcka attacker mot en PLC som egentligen inte ska gå att upptäcka med hjälp av normala säkerhetsverktyg som analyserar nätverkstrafik. Ett klockrent exempel är att någon kopplar in sig lokalt via USB eller en serieport. Återstår att se om detta kommer resultera i någon form av verktyg.

 

Vi har tillräckligt med OT-kompetens!

En underbar video med legenden Ralph Langner som driver tesen att vi har fullt tillräckligt med OT-säkerhetsfolk men att vi behöver använda dem till något vettigt istället för att slösa bort deras tid på arbete som skulle kunna automatiseras. Jag kanske inte håller med till 100% men visst har han ett par bra poänger?

 

Log4Shell fortsätter leverera!

Sårbarheten Log4Shell är förmodligen den "roligaste" sårbarheten jag någonsin stött på och det är framför allt för att den kan utlösas på så många kreativa sätt. Just av det skälet (som jag påminde om i förra nyhetsbrevet) är regler och IPS-skydd för anslutningar som kommer inifrån är (nästan) lika viktiga som skyddet utifrån.


Min favorit bland angreppen så här långt är det här angreppet mot passersystem genom manipulerade RFID-kort. (Inte så avancerat som det låter, det går snabbt att fixa med en vanlig mobiltelefon.) Kortet skickar med en liten sträng som är tänkt att få passersystemet att försöka kontakta en "elak" server på Internet. Systemet i bilden visade sig senare inte vara sårbart, men det var faktiskt sant att någon gick runt och blippade kort som kryddats med lite JNDI-kod...

 

Spyware mot industriföretag!

Threatpost skriver om att Kaspersky i en ny rapport larmar om en kampanj med spearphishing-attacker med en lite annorlunda karaktär "jämfört med det vanliga".


Attackerna tycks vara riktad mot industrier och speciellt mot deras OT-system. Intressant analys av hur snabba och korta dessa kampanjer är vilket tillsammans med att de använder stulna mejlkonton förstås gör det väldigt svårt att försvara sig på ett bra sätt.

 

S4x22 senareläggs!


Inte helt oväntat har arrangörerna av S4x22 beslutat att skjuta fram konferensen till andra halvan av April. Miami South Beach är inte så dumt i Januari men blir säkert ännu bättre i April. Några fler som ska dit?

 

Dags att byta jobb!

Då har jag lyckligt landat i mitt nya jobb på AFRY, där gräset faktiskt verkar ännu grönare än jag trodde! Jag önskar att jag kunde berätta om allt roligt som är på gång men ni får hålla er ett litet tag till!


Jag vill påminna om den makalösa chansen av vara med "från start" på vår fantastiska OT-säkerhetsresa på AFRY! Det här kommer bli riktigt roligt, både på grund av kollegorna i teamet och förstås också i alla spännande uppdrag!


Det spelar ingen roll var du bor, det löser sig - AFRY finns verkligen i hela landet! Du hittar annonsen här. Personligen ser jag verkligen fram emot att jobba med både dig som redan är OT-säkerhetsproffs och med dig som vill byta spår till det här framtidsområdet! Vill du jobba med andra typer av säkerhet finns det en radda annonser för det också! Hör av dig!

 

Amazons syn på "Edge"

Är du fundersam över konceptet "Industrial IoT"? Eller kanske begreppet "Edge" i det sammanhanget? Amazon Web Services har gett ut ett ganska bra Whitepaper "Industrial IoT Architecture Patterns" där de går igenom området på ett snyggt sätt och även kopplar till etablerade begrepp som exempelvis ISA 95. Huvudattraktionen är som namnet hintar om arkitekturmodeller för olika scenarier.

 

Sårbar mobiltelefoni!

På ACSAC-konferensen publicerades riktigt jobbiga sårbarheter i alla mobiltelefoni-tekniker från 2G till 5G. Det har varit förvånansvärt tyst kring dessa än så länge. I korthet går det ut på att det är väldigt enkelt (!) att störa (DoS) eller ta över kommunikationen (MitM).


Riktigt dåliga nyheter för de som inte skyddar sin mobilkommunikation med ytterligare kryptering oavsett om de har ett "privat" nätverk eller inte. Det kompletta pappret är åtkomligt via konferensen och har mycket detaljer att gotta sig i!

 

Riskhantering i OT-världen!

Ett riktigt bra whitepaper från Radiflow om hur man praktiskt kan jobba med riskmanagement i OT-världen. Den kommer med lite reklam för deras produkter men det kan man stå ut med när innehållet är så bra. (Dessutom råkar de ju faktiskt ha riktigt trevliga produkter!) Vi får eleganta kopplingar till resonemangen i IEC 62443, attacksimuleringar, resonemang kring sannolikheter och klokskaper kring åtgärdsplanering!

 

Honeywell lurar oss!

Honeywell har lanserat stöd för "Deception" i några av sina plattformar vilket jag tycker är jättekul! Deception-teknik påminner om klassiska Honeypots men har tagit konceptet vidare genom att bli mer dynamiskt och mer avancerat i sin analysförmåga.


Deception är något som jag personligen tycker passar väldigt bra i OT-säkerhetsarbetet men det har än så länge inte riktigt slagit igenom även om det kommer fler och fler produkter. Några exempel som är intressanta är Fortinet som har kraftfullt stöd för att skapa fejkade OT-kompontenter i sin FortiDeceptor och Illusive som är riktigt nyskapande i sitt sätt att massivt krydda system med försåtminerade detaljer. Det här är förstå gången (så vitt jag vet?) som en leverantör av OT-system bygger in stöd för detta i sina system, spännande!

 

Nytt år och nya möjligheter!

Dale Peterson gör förutsägelser för 2022. Som vanligt när det kommer från Dale är det en hel del klokskaper.


Personligen hoppas jag mest på att punkten virtualiserade PLCer från en större tillverkare slår in till slut. Det skulle kunna göra så mycket nytta för verksamheter där man har svårt att få till förändringar. Men det är klart... Garanterat skapar det en del riktigt intressanta säkerhetsutmaningar också...

 

NATO reder ut begreppen!

Ta del av ett utmärkt (och sprillans nytt) NATO-papper kallat "GUIDE FOR PROTECTING INDUSTRIAL AUTOMATION AND CONTROL SYSTEMS AGAINST CYBER INCIDENTS" , skrivet av Vytautas Butrimas som på endast 45 sidor går igenom OT-säkerhetsområdet grundligt och utforskar en massa bra resurser och smarta åtgärder.

 

Proaktivt försvar från Mandiant!

Mandiant har släppt ett papper "Proactive Preparation and Hardening to Protect Against Destructive Attacks" som förvisso inte är inriktat på OT men som är väldigt giltigt även för vårt område. Det finns även en rad avsnitt kring exempelvis IT/OT-segmentering och egress-begränsningar som är extremt relevanta för oss.

 

Jobbar du med dricksvatten? - EU är på din sida!

Europeiska kommisionen har släppt en teknisk rapport från projektet "European Reference Network for Critical Infrastructure Protection" som ska hjälpa organisationer som tillhandahåller dricksvatten att få till sitt säkerhetsarbete på ett bättre sätt.


Jag tyckte det var lite svårt att bedöma kvaliteten på dokumentet och är därför nyfiken på att höra från vad ni som arbetar med dessa frågor till vardags tycker?

 

Grattis till Phoenix Contact!

Phoenix Contact annonserar att de fått en certifiering av en radda PLC:er där utvecklingsarbetet skett enligt mognadsnivå 3 (den näst högsta) enligt 62443-4-1 och där de tekniska säkerhetskraven utformats enligt 62443-4-2. Om jag tolkar informationen rätt klarar PLCn därmed att uppfylla SL2 enligt 62443-3-3. Jag har personligen inte sett någon annan leverantör klara detta.


Det här är förstås inte lösningen på alla våra säkerhetsutmaningar men det är ett helt avgörande steg mot att kunna få lite meningsfull säkerhet närmast den fysiska processen!

 

Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.


Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!


Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar tidigare nyhetsbrev på ot-säkerhet.se.