Nyhetsbrev OT-Säkerhet #42

Varning! Det här är möjligen ett av de minst seriösa nyhetsbreven du kommer läsa på flera timmar! Med tanke på att det är utgåva 42 av denna guide, förlåt, detta nyhetsbrev kommer det vara kryddat med små referenser till en av litteraturens största mästerverk. Om du inte förstår - få inte panik och börja leta efter svar i Encyclopedia Galactica! Om du förstår - hur många referenser hittar du? Mycket nöje!

Jag teasade lite kring temat på LinkedIn och Twitter. Den som var snabbast att gissa rätt var Cissi Thorell på Sysctl AB, bra jobbat Cissi!

Den här gången får du (mycket passande med tanke på temat) ett par reportage från mina egna resor till OT-konferenser. Jag tittar också närmare på nytt material från NIST, gratis kurser hos MSB, konsekvenser av den ökande graden av kryptering inom OT och inte mindre än två riktigt intressanta exempel på skadlig kod som är helt fokuserade mot OT.

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!

Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

PIPEDREAM eller INCONTROLLER

Den största OT-säkerhetsnyheten på länge var väl amerikanska CISAs annonsering av den skadliga koden "Pipedream" den 13:e April. Det finns mycket som är spännande i sammanhanget. Mest anmärkningsvärt är nog insikten som Rob Lee pekat på om att man annonserar det här innan den skadliga koden använts skarpt. På en direkt fråga ville man inte avslöja hur man kommit över koden mer än att det är via en tredje part, det är rimligt att tro att man inte vill bränna sina källor.

Det som är känt är att fokus verkar ligga på angrepp mot PLCer från Schneider Electric och OMRON samt OPC UA servrar. Men det som inte är så tydligt är att en stor del av funktionaliteten riktas mot CoDeSys som används av väldigt många tillverkare. Du kan alltså inte slappna av bara för att du använder andra fabrikat! Annonseringen från CISA innehåller en mappning mot MITRE ATT@CK for ICS som ger mer detaljer kring funktionaliteten som bland annat inkluderar att leta efter intressanta enhet på nätverket, ladda upp filer till PLCer, stjäla inloggningsinformation, krascha PLCer och skriva värden via OPC UA.

CISAs råd för att skydda sig innehåller egentligen inga nyheter. Segmentering, multifaktorinloggning, nätverksövervakning, bra backuper, incidentplanering osv. Mer detaljerad (och intressant!) information finns från bland annat Mandiant och Dragos. Det finns också information från Schneider Electric, CODESYS och WIRED som har skrivit en artikel som är värd att läsa.

Det här är sjunde gången en skadlig kod hittas som är utformad för avancerade angrepp mot OT-mål. Man ska noga akta sig för att känna sig lugn om man inte använder utrustning från de tillverkare som nämns. Motsvarande attacker fungerar mot alla typer av utrustning och med tanke på att den skadliga koden bevisligen är byggd för att vara lätt att utöka med moduler så är det här relevant för alla! Även om jag har underrubriken "Don't panic!" för det här nyhetsbrevet så är det här något som faktiskt borde ge en orolig känsla i magen!

Att synas eller inte synas - det är en av frågorna...

Joe Slowik skrev ett intressant blogginlägg som belyser ett allt vanligare problem med synligheten i OT-nätverk. (Det var också ett föredrag på årets S4-konferens som jag dock inte hann se själv.) Traditionellt kommunicerar system i de nedre nivåerna av Purdue-modellen med helt oskyddade protokoll, utan kryptering. Det har i alla tider möjliggjort säkerhetssystem som analyserar trafiken och larmar vid knasigheter.

I takt med att allt mer vettiga nätverksmodeller dyker upp som inte sätter likhetstecken mellan systemens Purdue-nivå och en nätverksstruktur tenderar också allt mer trafik bli krypterad. Precis som vi såg i IT-världen för ett antal år sedan betyder det att den krypterade trafiken inte längre går att analysera, i alla fall inte utan att ta till ganska komplexa lösningar för att bryta krypteringen. Det betyder också att de IDS-lösningar som är väldigt populära att köpa just nu går mot samma jobbiga öde, nämligen att bli blinda för vad som skickas på nätverket. Allt mer kommunikation använder protokoll som kan krypteras, exempelvis OPC UA och MQTT, men även moderna filosofier som Zero Trust sätter kryptering högt på önskelistan.

Exakt vart detta tar vägen får vi se men det kommer bli många spännande diskussioner framöver kring denna nya utmaning! I det här fallet beror inte osynligheten på NAP/SEP (Någon Annans Problem / Somebody Else's Problem) utan det är faktiskt bara vårt eget problem, både att se och att lösa...

Äntligen (nästan): NIST SP 800-82r3

NIST släppte för några dagar sedan en draft av en uppdaterad SP 800-82, "Guide to Operational Technology (OT) Security". Det är den första publika draften, så det dröjer nog ett tag tills vi ser den skarpa versionen men det är förstås ändå intressant att se vad man fokuserat på att uppdatera!

Det första att notera är att man övergett begreppet "ICS" för att istället gå all in på "OT". Tummen upp från mig på det!

Man trycker hårt på det viktiga med att ha många olika kompetenser med i OT-säkerhetsarbetet, det kan aldrig bara vara en fråga för IT-avdelningen, automationsingenjörerna eller Underhåll!

Något jag gillar skarpt är att man har väldigt många referenser till ISA/IEC 62443 vilket, om inte annat, gör dokumentet extra användbart även utanför USAs myndighetsvärld.

Ett svenskt hjärta bultar förstås lite extra stolt när man ser att vår svenska favorit-konferens CS3STHLM är en av fem konferenser som omnämns på området OT! (Jag håller tummarna att den återuppstår igen efter pandemiuppehållet!)

En detalj som jag gillar är att man har med "Physical Access Control Systems" ("passagekontrollsystem") som en av typerna av OT-system. Det här är en underskattad typ av OT-system som har en del unika/kluriga utmaningar och vars konsekvenser vid ett angrepp typiskt drabbar säkerheten i många andra system!

Jag blev kanske lite förvånad över att man inte trycker hårdare på "Zero Trust" med tanke på hur hårt USAs myndigheter satsar på detta. Det har förstås en radda kluriga utmaningar inom OT vilket man också diskuterar i dokumentet.

Om du använder NIST SP 800-53 så får du ett overlay i SP 800-82 för OT, vilket förstås är till stor hjälp när man implementerar och mäter sina åtgärder!

Det här är ett väldigt bra dokument. Stora delar av det funkar nog nästan som en lärobok för OT och OT-säkerhet. De 300 sidorna ska man inte bli skrämd av, det finns en hel del som går att skumläsa om man inte vill gå på detaljer i allt!

Exempelvis är de dryga 20 sidorna som ger överblick av OT-området en lysande introduktion till området. 10 sidor om hur man får till ett säkerhetsprogram är också bra och 22 sidor om risk management inom OT ger en massa riktigt bra insikter om vad man behöver tänka på i det här området med dess unika utmaningar!

Intryck från S4x22

Jag var på plats för årets upplaga av S4-konferensen i Miami South Beach. Det här är ju den mest kända (och största?) OT-säkerhetskonferensen, som nu är tillbaka efter pandemiavbrottet. Det var tre välfyllda dagar med presentationer från tre scener och runt 700 personer på plats.

S4 är kul eftersom man tar lite annorlunda grepp på den viktiga sociala delen av arrangemanget. Man har skippat de vanliga trista utställningarna där tillverkare står och drar sina pitchar likt Prostetnic Vogon Jeltz när han läser poesi. Istället har man en "Cabana-session" där man håller till utomhus under palmerna på ett pool-område. S4 är ju annars mycket seriöst och är nog den konferens som är mest avancerad och progressiv i sitt innehåll, det är här de stora tänkarna först berättar om sina nya rön! Extra kul är också att det börjar bli klart jämnare könsfördelning bland de medverkande, både i publiken och på scen.

Mina största takeaways personligen är nog:

• Jag fick själv en mycket bättre känsla för vad "Zero Trust" kan vara när det kommer till OT. Egentligen är det samma gamla principer som vi alltid hyllat, inte minst om man bygger sina miljöer med "Zones & Conduits" så som ISA/IEC 62443 del 3 pekar på, men nu är det definierat som principer också vilket gör det mycket enklare att komma framåt med praktiska åtgärder! På det här området kommer det hända mycket framöver!

• Arbetet med SBOM, "Software Bill of Material", kommer att få många märkliga konsekvenser. En av de första är hur snabbt utvecklingen gått framåt kring automatisk analys av firmware där forskarna nu hittar tusentals (!) redan kända sårbarheter varje dag, och detta på ställen där ingen trodde att de kunde finnas. Att ta hand om det här kommer bli ett enormt arbete för våra produkttillverkare! Det kommer också tvinga många verksamheter att bli bra på Asset Management, eftersom det är ganska meningslöst att jobba med SBOM om man inte vet vad man har för prylar...

• Vi ska förvänta oss en revolution på nätverkssidan där SDN, "Software Defined Networking", gör sitt intåg nere på golvet. Sedan tidigare ser vi SDWAN ta över på de högre nivåerna i Purdue-modellen men nu är det tydligt att kombinationen "Zero Trust" och "SDN" kommer kunna skapa fantastiska nätverk ute i anläggningarna. Det finns redan produkter som gör det här på ett sätt som jag skulle känna mig trygg med i känsliga anläggningar! Men jag tror att de stora tillverkarna är på efterkälken här, så vill man komma vidare får man titta på andra spännande företag!

• Orden "IT/OT convergence" uttalades i princip aldrig under hela konferensen. Jag tror aldrig det varit ett speciellt hett ämne för "folk i OT-branschen" utan snarare mest för dem som närmar sig det här från "IT-hållet". I praktiken växte IT och OT ihop för 10 år sedan men det kanske är så enkelt att det är nu som det blivit synligt genom uppmärksammade incidenter och frustrerade IT-chefer som "fått OT dumpat i knät"?

Ett roligt inslag (även om det inte är så mycket "action" som man kanske kan tro) är att Zero Day Initiative kör sin "tävling" Pwn2Own där det gäller att demonstrera nya sårbarheter mot OT-prylar. I år var det verkligen superintressanta produkter som deltog som "måltavlor", exempelvis "KEPServerEX" och "OPC UA .Net Standard". Enskilda sårbarheter kan belönas med upp till 40 000 dollar styck. Vad jag kunde se var det i princip bara framgångsrika attacker och i slutändan delades 400 000 dollar ut i belöningar för 26 sårbarheter...

En del av presentationerna kommer dyka upp på YouTube så småningom. Några som jag tyckte är extra värda att hålla utkik efter är:

"A tale of two (very different) secure ICS architectures" -

Alexandrine Torrents berättade om ett intressant praktikfall från energibranschen där man utmanat den gamla nätverksmodellen som försöker segmentera baserat på Purdue-nivå. Det är ju en modell som alltid varit problematisk och missförstådd men som fallerar helt när man ska ta sig an moderna, distribuerade lösningar i stora vind- och solkraftsanläggningar. De har byggt en spännande, distribuerad och skalbar lösning baserad på SDWAN-teknik för kommunikation mellan enheter på de lägre nivåerna i Purdue-modellen. Men hon varnar också för att modellen ger fler möjligheter till misstag med säkerhetspåverkan. Hon avslutar med att visa hur de mappat sina risker mot ISO 27005 och pekar på att det här sättet att tänka sätter fokus på att förstå processen och dess behov av skydd snarare än att skydda OT-systemen i sig!

"Recent cyber attacks and how to stop them 'dead in their tracks'!"

Joel Langil, som är ett tungt namn i branschen, diskuterade ett ämne som knöt an snyggt till det som Alexandrine pratade om. Hans poäng var att de flesta fortfarande tror att OT-skyddet ska fokusera på hot som kommer utifrån när det egentligen handlar om att hantera det som händer efter det att skalskyddet rämnat. När angriparen tagit kontroll över ett MES-system, ett AD eller ett HMI börjar utmaningen snarare likna den som man ställs inför när man försöker hantera insider-hot. Hans budskap handlade egentligen om att man ska göra som standarden ISA/IEC 62443 säger när det gäller segmentering. Att arbeta med det som kallas "Zones" och "Conduits" baserat på riskbedömningar. Enkelt förklarar kan man se det som mikrosegmentering där segmenten inte alltid är enstaka system utan också kan vara grupper av utrustningar. Den absolut viktigaste poängen som matchar en av mina gamla käpphästar perfekt är att det inte räcker med att segmentera. Nyttan uppstår framför allt i att kunna reagera när saker som är blockerade eller normalt inte ska hända ändå inträffar. Några av hans exempel är "Active Directory initierar kommunikation på eget bevåg" eller "Någon försöker ansluta till en ingenjörsstation". Sådant ska initiera larmklockor och rask incidenthantering!

Ni som läst mina nyhetsbrev tidigare vet att jag inte gillar hur Purdue-modellen brukar användas. Både Alexandrine och Joel gav mig verkligen vatten på min kvarn! Misstag som exempelvis handlar om att:

• Internet är inte samma sak som "nivå 5" i Purdue-modellen! Det är bara en bärare av kommunikation!

• Nivå i Purdue-modellen och nät är inte samma sak!

• Segmentering blir att man bara filtrerar bort all trafik som ändå inte är ett hot och släpper fram trafik till tjänster som är viktiga och sårbara.

Det här är misstag som jag ser hos många och som vi behöver sluta göra om vi ska lyckas!

"Buyer beware: Managing OT Cyber risks in Mergers, Acqusitions and Divestments (MA&D)"

Nathan Fink diskuterade ett område som på ytan kan verka lite tråkigt men som verkligen är viktigt och utmanande, nämligen hur man hanterar OT-säkerhet i samband med att företag säljs och köps. Hur hanterar man risken för att man köper ett företag som redan är hackat men där attacken inte upptäcks ännu? Varför stiger antalet ransomware-angrepp mot företag som ska säljas? Jag ska inte försöka återberätta hans presentation men rekommenderar den varmt om du berörs av den typen av utmaningar!

"Slaying ICS mythical creatures: Top mindset changes to create the future"

Ron Fabela berättade om myterna som vi drar för varandra inom OT-branschen och för våra kunder. Han ser att vi hindrar utvecklingen genom att envist hålla fast vid sanningar som kanske bara är myter numera.

• Bland hans exempel fanns myten om Enhörningen, alltså att vi VILL vara SÅ speciella, vilket leder till att vi inte släpper in nytt folk i branschen. Vi behöver ställa rimliga krav och inse att alla kan inte vara bäst!

• En annan myt handlade om Basilisken som dödar med en enda blick. Vi hör ofta budskapet att "Allt är jättefarligt!", kanske speciellt som säljargument men också för att bekräfta att det behövs ett en hjälte - mig - för att lösa problemet! Sluta skrämmas, börja sprida myterna om hur lätt det är att stoppa hoten istället om man bara gör sitt jobb!

• Han hade myten om Varulven, där du behöver en silverkula för att vinna - i vårt fall gärna en apparat med blinkande lampor som löser alla våra problem. Tyvärr jättesvår att hantera... Ta reda på vad som stör de ansvarigas nattsömn och vad som hindrar dem från att lösa problemet. Vi konsulter som lär oss från så många organisationer har ett ansvar att sprida våra kunskaper! Vi ska inte vara hjältar, vi ska skapa hjältar!

Jag vill tro att jag själv är en del av lösningen på några av de problem som Ron målar upp genom mina nyhetsbrev som jag roligt nog märker inspirerar folk att närma sig vår bransch!

Rob Lee om Chernovites pipedream

Rob Lee, grundaren av Dragos, är alltid fantastiskt intressant att lyssna på. Den här gången handlade det förstås om Pipedream som jag även skriver mer om i en separat text här ovanför. Rob tryckte bland annat hårt på att media presenterat allvarligheten fel och i synnerhet då att angreppen inte är begränsade till specifikt Omron och Schneider Electric! Han tryckte också på att det här inte är ett verktyg som ger access till offrets miljö, det måste man lösa på annat sätt. När man väl har tillgång används Pipedream för att "skapa effekt"... Verktyget är inte beroende av sårbarheter i systemen utan har förmågan att använda funktioner som finns naturligt där! Möjligheten att angripa via CoDeSys ger också möjlighet till proxy-funktioner, vilket gör det extremt viktigt att kunna hålla koll på vad som händer nere i PLC-näten! När det gäller Omronattacken kan man angripa utrustning "bakom" plcn via ethercat vilket också är väldigt svårt att förebygga utan det behöver istället upptäckas om det händer! Avslutade med att håna utvecklarna av Pipedream, han kallade dem pinsamma eftersom de upptäcktes redan innan de fick chansen att ens köra ett skarpt angrepp...

Samarbete i Norge!

Det var riktigt intressant att höra Trond Straume, CEO på norska Volue och Margrete Raaum på KraftCERT prata om deras samarbete när Volue drabbades av ett ransomware-angrepp förra året! Som alltid är det viktigt med rutiner för omvärldskommunikation vilket de löste på riktigt kreativa sätt som bland annat inkluderade partnerskapet med KraftCERT och att hålla öppna zoom-möten... Ett citat från vår favoritbok som dyker upp i min hjärna är:

SOAR för OT-säkerhet!

Joshua Magady och Jay Spann diskuterade det spännande området automation av säkerhetsarbete! Det här är ju inte ett nytt område på IT-sidan även om jag inte tror så många har kommit fullt så långt som de hoppades på där? När SOAR, "Security Orchestration Automation and Response", diskuteras inom OT hör jag oftast reaktionen att det inte går att använda eftersom man inte vågar ha automatiska åtgärder på incidenter. Nu handlar ju SOAR om så mycket mer, där automatiska åtgärder definitivt inte är det första man satsar på. Viktigt att komma ihåg är att SOAR är fel ända att börja i om man är en omogen säkerhetsorganisation. Personligen tror jag att det är relativt meningslöst om man inte redan har någon form av SOC (Security Operations Center, alltså en grupp specialister som fokuserar på att analysera incidenter och aktivt söka efter angrepp). Men har man kommit så långt ska man absolut satsa på att bli mer effektiv och reaktionssnabb genom automation även kring OT-säkerhet! Börja med att automatisera förebyggande arbete som ofta är tråkigt och därför lätt prioriteras bort! Det blir roligare att jobba i SOCen vilket leder till att medarbetarna stannar kvar längre och utvecklas snabbare.

Zero trust funkar ju inte för OT! Eller?

En riktigt intressant paneldebatt som inkluderade John Kindervag, mannen (eller kanske legenden?) som återuppväckte begreppet "Zero Trust" 2010 och definierade det tydligt. (Jag var senast inne på det här området i nyhetsbrev #34.) Personligen fick jag en radda insikter som jag inte haft förut, en av dem är hur långt efter Sverige är efter USA på det här området - på det här området är amerikanska myndigheter extremt tydliga: Zero trust är vägen framåt! Även inom OT!

Forensik på PLCer

Mandiant presenterade erfarenheter kopplade till det ramverk de har för forensiskt arbete i inbäddade system som exempelvis PLCer. Det här är ett område som har en del spännande utmaningar som man inte är van vid om man arbetar med forensik i IT-världen. Utmaningarna kan inkludera så grundläggande saker som att hitta rätt fysisk enhet när man står och tittar i skåpen, tillgång till rätt mjukvara för att kunna kommunicera med enheten är ibland klurigt, för att inte tala om att ha rätt licenser. Att veta vad som är förväntad konfiguration eller programmering är inte alltid möjligt. En till synes så "enkel" sak som att ha tillgång till rätt typ och version av kablage kan sätta rejäla käppar i hjulet. Är man på "extra spännande" ställen kan det krävas speciell utbildning eller skyddsutrustning för att arbeta på rätt plats. Att vara HUET-tränad, dvs i utrymning från en helikopter, under vatten, uppochner, är ett klassiskt exempel för att få lov att arbeta off-shore...

Att programmera PLC säkert är en konst!

Även om mycket av vår OT-utrustning i grunden ofta är relativt osäkra så finns det saker man trots det kan göra för att skapa säkrare system. De som programmerar PLCer är kanske lite ovana att sitta i förarsätet när vi pratar om cybersäkerhet men det är precis det som projektet "Top 20 Secure PLC Coding Practices" siktar in sig på. Jag har skrivit om detta tidigare, läs gärna mer i nyhetsbrev #29. Vivek Ponnada och Josh Ruff gick igenom en radda jättebra exempel för att illustrera varför detta faktiskt är riktigt viktigt! Det här är ett område där man ser en väldigt tydlig koppling mellan ett angrepp och riktigt jobbiga fysiska konsekvenser och dessutom, för ovanlighetens skull, kommer åt både sannolikheter och konsekvenser i riskanalysen! På köpet höjer vi både kvalitet och robusthet, vilket ju brukar vara bra! Josh och Vivek beskriver också en del intressanta testfall som ofta missas i FAT/SAT-testning, speciellt när man flyttar ut logik från PLC:n till exempelvis ett HMI.

Software Defined Networking inom OT!

Tim Watkins från Schweitzer Engineering Laboratories höll en presentation som verkligen gjorde avtryck för mig. Schweitzer är väl mest kända i eldistributionskretsar (!) men tillverkar bland annat nätverksutrustning som är intressanta på andra områden också. Fokuset för dagen var hur man kan använda SDN, Software Defined Networking, för att implementera Zero Trust. Nu pratar vi inte om SDWAN på det sätt som det brukar används inom IT. Nu är det kommunikation långt ner i Purdue-modellen där både behoven och möjligheterna ser väldigt annorlunda ut! Schweitzer har verkligen gjort detta på ett nytt sätt! Det här har klara drag av Zero Trust på så sätt att allt bygger på att uttryckligen ge tillstånd för det som är ok och att allt annat automatiskt är förbjudet. Den som sysslat med mikrosegmentering vet att det kan bli extremt mycket arbete för att manuellt analysera vilken trafik som är nödvändig. I deras lösning kan man, istället för att konfigurera alla regler själv, semi-automatiskt få till konfigurationen genom att använda projektfiler, nätverksdiagram och andra källor som man redan borde ha! En stor nytta med deras upplägg är att det blir väldigt mycket lättare att få till IDS-funktioner som "ser" rätt trafik. Jag ska inte försöka återberätta allt detta, vänta in videon istället, det här är imponerande!

Tack för i år!

S4 levererade riktigt hög kvalitet! Visst var det tyvärr en del tok ibland, framför allt är det fortfarande en del leverantörer som går vilse i resonemang kring riskanalyser som bara fokuserar på sårbarheter i tekniken, utan att bedöma hur den fysiska processen är designad. Men det är ändå en väldigt liten del av helheten!

Nu är det bara att börja räkna ner för nästa år...

Intryck från NFEA Cyber Security 2022

Globetrotter som jag är nöjde jag mig inte med S4 i Miami Beach, så veckan efter drog jag till Oslo. Dock inte för att se Slartibartfasts fjordar utan för NFEAs (Norsk Forening for Elektro og Automatisering) konferens "Cyber Security 2022". Även om namnet på konferensen kanske inte tyder på det så är det ett rent OT-säkerhetsevent. Två dagar med ett program som innehöll mycket ISA/IEC 62443, Industri 4.0, AAS (Asset Administration Shell) och mycket annat. Ett väldigt annorlunda event jämfört med S4, dels för att det förstås är mycket mindre och enbart har ett spår men framför allt så har det ett fokus på att lära av varandras erfarenheter där S4 är betydligt mer inriktat på vad som kommer härnäst. I min värld har båda en viktig roll att fylla!

Att döma av talarna och deltagarna på konferensen så är Norge definitivt i framkant när det gäller moget OT-säkerhetsarbete och definitivt före Sverige på många sätt. Jag misstänker att en stor del kommer av att man tycks ha en lång tradition av samverkan. NFEA som organiserade eventet verkar ha en massa andra spännande arrangemang som kan vara värda att titta närmare på! Jag känner inte till någon motsvarande organisation i Sverige?

Först ut var Joe Slowik, en känd profil i dessa sammanhang, som pratade om threat hunting. Det här är ju ett viktigt och väldigt underskattat begrepp i modernt säkerhetsarbete. Joe satte skickligt ord på många av mina egna käpphästar. Jag ser allt för ofta organisationer som köper en massa fina akronym-verktyg, SIEM, SOAR, IDS/IPS osv men som tror att dessa på något slags automagiskt sätt ska ta hand om alla säkerhetsproblem. Det som saknas är människor som tillåts ägna sina dagar åt threat hunting!

Man får inte tolka begreppet threat hunting enbart bokstavligt. Det ska inte bara vara en slumpmässig jakt på angripare utan ett strukturerat och långsiktigt arbete som:

• gör hypoteser om vad en angripare skulle göra hos just oss baserat på vår egen riskanalys och baserat på Threat Intelligence

• letar efter tecken på att hypotesen är sann med hjälp av tillgängliga analysverktyg

• automatiserar kontrollen av hypotesen så att den utförs kontinuerligt framöver

Det finns viktiga saker att säga om alla tre aktiviteterna: (Mina åsikter - inte Joes!)

• Riskanalys är viktigt eftersom man gärna vill börja med det viktigaste. Det betyder att man måste förstå farorna i sin fysiska process och vilka svagheter man har i sina system. Threat Intelligence är lite mindre viktigt men kan ge ledtrådar om vilka beteenden som är vanligast hos kända angripare i min typ av verksamhet.

• När man letar efter tecken på lyckade angrepp så är det extremt viktigt att man förstår begränsningarna i den information man har tillgång till! Saknar man IDS-sensorer på vissa nätverk så är man mer eller mindre blind där!

• Den sista punkten är kanske den viktigaste! Om man som hotjägare gör samma analys två gånger så har man slarvat i mina ögon! Det är här som SOAR-verktyg har en av sina användningsområden.

• En jobbig och underskattad del av Change Management är att säkerställa att ändringarna inte får kontrollerna att sluta fungera.

• Förmågan att kunna testa att den automatiska kontrollen fortsätter fungera är viktigt vilket man förmodligen också vill automatisera med något lämpligt verktyg.

• Något vi ser allt mer inom både IT- och OT-säkerhet är att angriparna vill minimera användningen av speciella verktyg för att istället använda de funktioner som finns naturligt i miljön. ("Living of the land") Det innebär dödsstöten för alla former av signaturbaserade verktyg i stil med klassiska virusskydd och enklare IDS:er. Det innebär också att angriparen inte går att skilja från en insider! Lösningen är att leta efter oväntade beteenden i systemen och ovanliga tillstånd i den fysiska processen. Möjligen skulle man kunna krydda anrättningen med lite honeypots också.

Siv Hilde Houmb från Stattnet (motsvarande Svenska Kraftnät) berättade om utmaningarna kring att bygga ett smartare kraftnät som ändå är säkert. Det är ju som bekant inte alltid att "smart" är så "klokt"... Ett bra exempel var utmaningarna kring att fatta beslut baserat på information som hämtas från molntjänster när molntjänster inte är tillåtna... Hon slog ett slag för SCADA-system som inte levereras som monoliter där man kan ha möjlighet att ändra eller uppgradera underliggande komponenter som operativsystem och hårdvara.

Mitt favoritföredrag var nog Leif Nixon som pratade om sårbarheter i fastighetsautomation. Det här är i min egen erfarenhet verkligen det svarta fåret inom OT och Leif bekräftade det med både skrämmande och roliga exempel där kyrklockor, polishus, kylrum på bårhus, akutmottagningar och dörrlås på skolor förekom! Här finns det väldigt mycket att göra och frukter som hänger löjligt lågt! Tyvärr är intresset fortfarande väldigt lågt för den här frågan från de flesta håll...

Tomas Lindström på ABB berättade om hur de arbetar med IEC 62443-4-1 och -3-3 i sin produktutveckling. -4-1 är ju i grunden en SDL-kravställning (Secure Development Lifecycle) men som kopplar kraven till industrins förutsättningar och som stöttar kring kritikalitet kopplat till conceptet "Essential functions". Baserat på -3-3 bygger de sin arkitektur för ett bra djupledsförsvar.

Dr. Ing Lutz Jänicke från Phoenix Contact berättade kring hur de hanterar sina 100 000 produkter som de tillverkar med maskiner som de bygger själva med hjälp av sina egna produkter. Hur beroende de är av sitt backbone nätverk eftersom saker tillverkas direkt på beställning. Lite annorlunda att se produktleverantörens liv som asset owner själv! De har en elegant kombination av ISO 27001 och IEC 62443 vilket återspeglas i att de samarbetar väldigt tätt mellan IT och OT. Han pekade också på en av mina gamla käpphästar nämligen behovet av att ha säker tillverkning om produkterna ska bli säkra. En intressant detalj är hur de driver standardiseringsarbetet kring OPC UA för att kunna hantera uppdateringar av utrustning via OPC, även mellan olika tillverkare!

Gratis är gott! ...och dessutom bra!

En resurs som jag tror många missar eller i alla fall underskattar är MSBs kurser kring OT-säkerhet. MSB ordnar dessa tillsammans med FOI i deras lokaler i Linköping. Jag gick själv grundkursen för många år sedan då kärnkraftsbranschen gjorde en satsning på området under SSMs ledning. Riktigt bra kurser som dessutom ger dig som deltagare fantastiska möjligheter att prata med andra i liknande roller! Att de dessutom är helt gratis gör inte saken sämre!

MSB och FOI hållar fast vid begreppet "Cyberfysiska system" vilket kan uppfattas som lite mossigt kanske men som egentligen är en väldigt bra beskrivning av det som OT-system handlar om. Jag är inte säker på att definitionerna är identiska men det spelar mindre roll.

De har en grundkurs på 2 dagar som är gjord för att passa extra bra för folk som INTE är från IT-branschen, utan man siktar främst på operatörer, processingenjörer, utvecklingsingenjörer och underhållspersonal. Man behöver inga förkunskaper alls inom säkerhetsarbete! IT-folk är förstås också välkomna! I kursen kombinerar de dessutom teori och praktik på ett riktigt roligt sätt!

Det finns en påbyggnadskurs också men där finns inga planerade tillfällen just nu. Jag var i kontakt med MSB och förstod att man gärna får höra av sig till dem med intresseanmälan så fixar de extra tillfällen. ics@msb.se.

De har också en kurs i incidenthantering på 4 dagar som vänder sig främst mot systemadministratörer. Här får du först kunskaper kring incidenthantering och sedan får du öva på riktigt! Riktigt roligt och extremt lärorikt! (Och bra att kunna när din "Sub-Etha Sens-O-Matic" säger att Vogonerna är på väg!)

Det finns också en helt ny 3-timmars utbildning för chefer och beslutsfattare kring deras viktiga och speciella roll när det kommer till OT-säkerhet. Nästa tillfälle är 9 juni 13:00-16:00 hos MSB i Solna. Man anmäler intresse via ics@msb.se. Skicka din chef på kurs!

Jag är glad att kunna skvallra om att det är en ny version på gång av MSBs vägledning från 2009. När detta skrivs har den inte hunnit ut på MSBs sidor ännu. (Det finns ju även ett tillägg kring trådlös teknik och leverantörsrisker från 2019.) Dessutom kommer en vägledning för incidenthantering i OT-världen och den är faktiskt redan tillgänglig hos MSB.

Sandmaskarna kryper igen!

Något som har kommit bort lite i skuggan av Pipedream/Incontroller är att en ny version av Industroyer användes i Ukraina nyligen. ESET som gjort analysen tillsammans med CERT-UA har en bra artikel om det. Det finns mycket att fundera på kring hur den här typen av attacker passar in i invasionskriget i Ukraina och vad det eventuellt kan betyda på längre sikt.

Dags att patcha Snort och prylar från Cisco!

Claroty Team82 har hittat en sårbarhet i IDS-programvaran Snort kopplad till MODBUS.

Snort är ju en open source IDS som numera ägs av Cisco. Cisco använder den i sina produkter vilket gör att även de kan behöva uppdateras, exempelvis Cyber Vision, FirePOWER Services och Meraki MX. Läs mer i Ciscos advisory.

Jobba med OT-säkerhet! På riktigt!

Randstad rankade nyligen min arbetsgivare AFRY som Sveriges fjärde mest attraktiva arbetsgivare! Riktigt roligt! Personligen kan jag intyga både det men också att säkerhetsgruppen på AFRY förmodligen skulle rankas ännu högre!

Som jag skrivit om tidigare kör vi på AFRY en aldrig tidigare skådad satsning på säkerhet i allmänhet och på OT-säkerhet i synnerhet! Oavsett om du redan är specialist inom OT-säkerhet eller om du är sugen på att fokusera mer på OT så finns det en jättechans nu! Vi har kontor i hela Sverige men det finns förstås alla möjligheter att jobba på distans också!

Hör av dig eller sök direkt! Vi växer så det knakar, både genom att nya kollegor söker sig till oss, genom förvärv av spännande företag. och genom roliga partnerskap med produktleverantörer som vi bygger tjänster kring! Men det behövs många fler kompisar, inte minst inom OT-säkerhet!

Det som jag personligen tycker är extra kul med AFRY är att vi inte bara bra på en sak i taget, vi kan alltid matcha starka kompetenser från flera helt olika områden på ett sätt som är extremt svårslaget. Flera företag i branschen är duktiga på OT-säkerhet men hur många kan göra en teamleverans där specialister inom alla former av säkerhet, robotteknik, industriell digitalisering, automationslösningar, mjukvaruutveckling och innovation samverkar med världsledande experter inom processindustri, energi, produktutveckling, tillverkning, transportinfrastruktur, försvar, fordonsutveckling, telekommunikation, medicinsk teknik och så vidare? Det gör en väldig skillnad för våra kunder och det gör jobbet extra mycket roligare för oss!

Fortfarande årets julklapp!

I nyhetsbrev #37 utropade jag Pascal Ackermans bok ”Industrial Cybersecurity, Second edition” till årets julklapp. Nu har jag tagit mig igenom den och måste säga att jag fortfarande rekommenderar den varmt.

Det är värt att påpeka att även om den heter ”…Second edition” så är det egentligen en helt annan bok än dess föregångare. Även om det är en del överlapp så är båda väl värda att läsa! Medan den första boken gav grunderna kring OT-säkerhet och hur man sätter upp sina säkerhetsprocesser så dyker bok nummer två ner i mer handgripligt säkerhetsarbete.

Det är en rejäl bok på 800 sidor, vilket förstås ändå är ganska hanterbart jämfört med en annan känd bok som beskrivs så här:

Pascal diskuterar arkitektur, aktiv & passiv övervakning, threat intelligence inom OT, SIEM, incidenthantering, säkerhetsgranskningar och threat-hunting. En väldigt stor del av boken (mycket mer än vad jag trodde) är praktiska övningar där vi leds genom installation och konfiguration av säkerhetsfunktioner som sedan används i labbar.

Det här är definitivt en bok för den tekniskt lagde som vill utöka sin förståelse för hur man kan arbeta praktiskt med säkerhet i OT-miljöer. De flesta verktyg som används är open-source vilket förstås gör det enklare att genomföra övningarna. En unik bok så om det låter som något för dig tycker jag absolut du ska läsa den!

Konferenser och webbinarier

Den 30:e Mars kunde du lyssna på mig och mina kompisar från ANDRITZ och OTORIO när vi berättade om hur man kan bygga säkra maskiner, som också håller sig säkra över tiden! Det här är ju ett sammanhang där det blir väldigt tydligt att det krävs bra cybersäkerhet för att kunna bygga maskiner som inte riskerar att bli farliga för omgivningen. Det vill säga när "Safety" är helt beroende av "Security"! Missade du oss så finns det förstås en inspelning!

Vem är Mats?

Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.

Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.

Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.

Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !

Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.

Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!

Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar tidigare nyhetsbrev på ot-säkerhet.se.