Sök

Nyhetsbrev OT-Säkerhet #45

Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet!

Den här gången får du tålighet, riskaptit, convergence i järnvägsbranschen, elaka PLCer, FAT/SAT-tester och lektioner i både anatomi och danska. Jag spekulerar också hejdlöst kring Zero Trust, som, trots att det tyvärr blivit ett hysteriskt buzzword, ger en massa viktiga möjligheter i OT-säkerhetsarbetet.


Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

 

Sugen på lite risk?

Begreppet "Riskaptit" brukar folk ofta slänga sig med utan att riktigt fundera på vad det egentligen betyder och definitivt utan att veta hur man bäst använder det i praktiken.


Bo Thygesen har skrivit texten RISIKOAPPETIT – HVORFOR OG HVORDAN? där vi får en riktigt bra genomgång av hur man faktiskt kan definiera sin riskaptit med hjälp av kvantitativa metoder. Om du tycker det är jobbigt att läsa danska så är Google din vän!

 

Tålighet får man inte av planer!

Ibland hittar jag texter som jag önskar att jag själv skrivit och Phil Venables har skrivit en oproportionerligt stor del av dem. Ett exempel är den här artikeln om vad som skapar verklig tålighet i en organisation. Det finns ingenting OT-specifikt i den men den gäller i allra högsta grad även för OT-säkerhet!


Han pekar på en radda problem med att bygga sin beredskap för krissituationer på planering och ger i stället ett rejält argument för att bygga verkliga förmågor. Jag ska inte ge mig på att återberätta hans resonemang utan rekommenderar att du läser texten själv.

 

En anatomi-lektion!

En annan person som också är överrepresenterad bland de texter jag önskar att jag själv skrivit är Sinclair Koelemij. En sådan text är "The anatomy of plant design and the OT cyber-attack – Part 1" och "... Part 2". Det är en fantastisk genomgång av hans tänk kring hur man bygger en ny anläggning. Del ett pratar om anläggningsdesign och riskanalys. I del två får vi insikter om hot- och riskanalys kopplat till OT-attacker. Mycket nöje!

 

Danmark reder ut begreppen!

Danska ENERGICERT skriver om den analys de gjort kring framgångsrika angrepp mot kritisk infrastruktur i Europa, baserat på enbart öppna källor. När det gäller OT trycker de bland annat hårt på den välkända problematiken att separationen mellan IT och OT ofta saknas eller är gjord på fel sätt. Allt för många attacker mot IT-system får fysiska konsekvenser för verksamheten som gör att ett angrepp mot OT-systemen inte "behövs". Det är tyvärr väldigt vanligt att man ser segmentering som en ren nätverksfråga och då blir det så här...

 

IT och OT i järnvägsbranchen

Mark Gibbs från Westermo, den svenska tillverkaren av nätverksprodukter ger oss en artikel kring Convergence i järnvägs-branschen. Ett intressant inlägg i debatten om "Convergence" verkligen existerar och vad det i så fall är.


Jag ser många tecken på att järnvägs-branschen verkar vara i ett väldigt spännande läge just nu med snabb utveckling och med ett extremt fokus på att kombinera Safety och Security på ett bra sätt.

 

Hur får man med säkerhet i FAT och SAT?

Jag hade missat den här presentationen från SANS ICS Summit förra året där Dieter Sarrazyn säger en massa kloka saker kring utmaningarna med att få med säkerhet under FAT- och SAT-tester. I min egen erfarenhet är detta något som fortfarande ofta glöms bort, inte minst att ställa säkerhetskrav tidigt som ska vara möjliga att verifiera under testerna.

 

Hur elak kan en PLC vara?

Vännerna på Claroty "Team82" har släppt ett White Paper kallat "Evil PLC Attack: Weaponizing PLCs". De beskriver ett lite nytt tänk för attacker, där en redan angripen PLC attackerar programmeringsverktyg som ansluts till den. Alltså lite tvärtom mot det "normala" tänket kring PLC-attacker.


Intressant och åtminstone teoretiskt intressant. Det har kommit en del mothugg, exempelvis från J-D Bamford som pekar på att det är tveksamt om det finns några realistiska scenarier där denna attack faktiskt skulle användas.

 

Singapore visar vägen!

Singapores cybersäkerhetsmyndighet CSA släppte under sommaren en uppdatering till deras redan välskrivna "Cybersecurity code of practice for Critical Information Infrastructure". Det är ett bra kravdokument men det som kanske är speciellt intressant för oss OT-människor är hur de vävt ihop Safety-krav med Cybersäkerhetskrav på ett sätt som både tar med teknikkrav för SIS-system och krav på analyser av påverkan på Safety.

 

Biljetter till S4 och detaljer kring OPC UA!

Nu släpps biljetterna till S4x23! Av alla de konferenser jag själv varit på är S4 verkligen i en klass för sig om man är intresserad av OT-säkerhet.


Programmet släpps i mitten av Oktober men kommer garanterat vara lika framåtlutat som vanligt. En nyhet är "OT SBOM Challenge", en tävling mellan leverantörer av den just nu allra hetaste produktkategorin, "Software Bill Of Materials".


En av attraktionerna på S4 är OT-versionen av Pwn2Own. Nyligen släpptes detaljerna kring en av "vinnarna" från årets upplaga som var DoS-attacker mot en OPC UA Server. Väl värt att titta på om man är beroende av OPC UA!

 

Fler konferenser på gång!

Den 8:e och 9:e November går "SCADA-säkerhet" av stapeln i Stockholm och verkar ha en del spännande ämnen på programmet.


Veckan därpå kör "Industrial Security Conference" i Köpenhamn med en dag på danska och två på engelska.


ISA har sin "Cybersecurity Standards Implementation Conference" den 26:e Oktober. Är du intresserad av ISA 62443 kan det finnas mycket intressant att hämta där. Gratis online-deltagande även om du inte är medlem i ISA!

 

FIN11 och OT?

Mandiant har skrivit ett blogginlägg där de visar hur de genom att imitera metoderna som en typisk hotaktör, ransomware-gruppen FIN11, använder även kan angripa ett OT-system.


Inga sensationer i sig självt egentligen men en relevant och intressant jämförelse mellan angrepp mot IT-världen och våra OT-system.

 

Vad betyder väl en gammal bug?

Så här ett halvår senare har Dragos gjort en analys av vad Log4j-buggen betydde och betyder för OT-världen.


Vi får tre olika scenarier som förklarar varför den här buggen var så jobbig. De förklarar också varför den är besvärlig att hantera i en typisk OT-miljö. Bara drygt tio sidor som är väl värda att läsa.

 

En liten påminnelse om risker...

Jag brukar ibland visa den här lilla videon som påminnelse om att ta säkerhet på allvar. Det är en fabrik i Spanien som extruderar aluminium och som får ett litet brott på en hydraulledning, vilket får spektakulära följder... Händelsen har inte ett smack med OT-säkerhet att göra, även om man kan fantisera ihop något liknande som utlöses av ett OT-system. Det viktiga är att vi behöver påminna oss själva om sånt här emellanåt, så vi inte tror att vi jobbar i IT-branschen.

Några saker att fundera över:

  • Hydraulvätska brukar inte betraktas som en brandrisk men i spray- eller pulverform är det många saker som plötsligt blir eldfängda eller explosiva. När saker händer vid fel tillfälle eller på fel sätt kan oväntade saker hända. Har vi tillräcklig fantasi i våra riskanalyser?

  • Det går väldigt fort tills innertaket rasar ner i ett eldinferno. Förmodligen en kombination av risker som ingen funderat på.

  • Du vill inte vara killen som överlever på ren tur när han hämtar sin mobiltelefon sekunder innan elden flammar upp. Den andra killen släcker däremot noggrant skärbrännaren som han precis tände. Jobba med säkra beteenden hos medarbetarna utöver normala säkerhetsåtgärder.

  • De verkar ha en tålig övervakningskamera...

 

Mats spekulerar...

Det har varit mycket prat om Zero Trust på sistone, inte minst från min sida. Tyvärr är det mesta man hör en massa säljsnack från produktleverantörer som presenterar sina prylar som "Zero Trust på burk". I praktiken behövs sällan någon magisk teknik för att implementera Zero Trust, den stora utmaningen är (som vanligt) att få till en kulturförändring i organisationen.


Extremt förenklat kan man säga att Zero Trust handlar om "Default deny" och "Least privilege", alltså att ingenting är tillåtet som inte uttryckligen tillåtits och att det som faktiskt tillåts görs med så lite behörigheter/åtkomst som möjligt. För att klara det behövs också bra koll på identiteter, på både personer och prylar. Så långt låter det ju enkelt. Utmaningen i en typisk OT-miljö är att ingen har den koll som behövs för att kunna avgöra vad som behöver tillåtas. Här finns utmaningen och den har mindre med tekniska lösningar att göra och mer med kulturen kring design och ändringshantering.


OT-världen ligger lite efter IT-världen i att både förstå och implementera Zero Trust. Det beror förstås till en stor del på att förutsättningarna är annorlunda och att vi behöver etablera OT-världens "best practices". I ett försök att få lite mer ordning i mitt eget huvud, och i förlängningen även kunna förklara för andra, ritade jag upp en modell kring vad jag tycker är viktigt.


Jag har inga ambitioner om att få något nobelpris i Zero Trust men några intressanta tankar tycker jag ändå att jag fick ner...

Det enda bilden egentligen är tänkt att försöka illustrera är hur man mentalt kan "gå bakåt" från "Zero Trust" via etablerade principer för att sedan landa i vad man behöver börja med i form av policyer, design och kunskaper kring sin OT-miljö.


Några insikter som jag själv tyckte var intressanta är:

  • Zero Trust i OT-världen bör även titta på den fysiska processen och det av två skäl. Dels för att man behöver hantera fysiskt tillträde till anläggningarna och dels för att man behöver inkludera händelser i den fysiska processen i säkerhetsövervakningen. Ett komplett säkerhetsarbete behöver ge bra resultat oavsett om angriparen är digital eller om den är helt/delvis kan påverka anläggningen på plats.

  • Möjligen har den typiska OT-miljön en viss fördel gentemot IT-världen eftersom man fortfarande ofta använder okrypterade kommunikationsprotokoll. Eftersom Zero Trust till stor del bygger på att man kan analysera och reagera på händelser i Lager 7 av OSI-modellen slipper man utmaningen med att man inte kan se kommunikationen.

  • Man måste vara väldigt försiktig när man definierar vad som är "pålitligt" och "normalt" eftersom många fysiska processer behöver kunna fungera rätt i onormala driftsituationer. Det duger förstås inte att en nödstopp eller ett överfyllningsskydd blockeras eftersom det "inte brukar kommunicera"!

  • Säkerhetsfunktionerna behöver fungera väl ihop med rutinerna för tillfälliga och permanenta förändringar i anläggningen. Det är lätt att säga men klurigt i praktiken!

  • En viktig funktion som också behöver bra integration med säkerhetslösningarna är styrningen av fjärråtkomst. (Både intern och extern). Tar man in en expert på distans för att lösa ett akut problem behöver man säkerställa att säkerhetssystemen inte "stör" men att de ändå bevakar att experten och hens dator inte ställer till det i anläggningen. Personligen gillar jag lösningarna från Cyolo.

  • Precis som inom IT måste man tidigt inse att åtgärderna inte går att hantera manuellt utan att man behöver automatisering av analys och i många fall även åtgärder. Det behövs förstås vettig utrustning, exempelvis:

  • Någon form av centralt administrerad brandväggslösning med automationsstöd- Den ska ge möjlighet att styra OT-protokoll ner på hög detaljeringsgrad. Eftersom OT-miljöer ofta inte kan bli lika tydliga på identiteter som vi är vana vid från IT-världen, så får vi i någon mån försöka kompensera med att bättre styra vad som är möjligt att göra. En personlig favorit är Edge-serien från TXOne.

  • Tillsammans med brandväggsfunktionen behövs IDS och IPS efter vad som är lämpligt med tanke på den fysiska processen. En vanlig utmaning är att få tillräcklig synlighet i nätverkstrafiken, speciellt om man har en väldigt distribuerad nätverksmiljö. Bra stöd för mirrorportar i nätverket alternativt distribuerade brandväggar med bra stöd för att upptäcka anomalier i OT-protokoll är viktigt. Det finns många vettiga leverantörer även om mina personliga favoriter just nu är Fortinet och Moxa. Eller varför inte en aggregerande nätverkstap, exempelvis från Keysight/Ixia.

  • Någon form av stöd för löpande analys av hur väl vi lyckats "täppa till" i vår "Zero Trust"-miljö. Att regelbundet försöka manuellt granska brandväggsregler tillsammans med listor över kända sårbarheter i komponenter gentemot vilken kommunikation som behövs respektive faktiskt finns är inte ett kul jobb! Jag tänker på något i stil med RAM2 från OTORIO.

  • Längre ner i nyhetsbrevet nämner jag Stephen Paul Marsh som redan 1994 nämnde Zero Trust i sin doktorsavhandling, om än i ett delvis annat sammanhang. Han pratar också om skillnaden mellan avsaknaden av förtroende (noll förtroende) och misstroende (negativt förtroende). Det där tyckte jag var intressant så en variant kom med i min modell för att illustrera Threat Hunting som i min värld är den praktiska jakten på saker som vi kan bevisa misstroende för och därmed vill ha bort.

  • En slags bakvänd konsekvens av föregående punkt är också att vi inte ska ha 100% förtroende för "Zero Trust" utan lämna utrymme för att saker går snett i alla fall. Här kommer Threat Hunting in på banan som en möjlighet att testa hypoteser kring vad som redan kan gått snett.

  • Min syn på bra Threat Hunting är att varje enskild "jakt" är något man bara gör manuellt en gång, för att testa en hypotes om hur ett angrepp skulle kunna gå till. Sedan gör man om det till en automatisk regel i ett SIEM-system eller liknande. Här är inte OT annorlunda även om det finns mycket att diskutera kring hur man bäst får till en SOC-funktion för just OT.

  • Ett mothugg man hör ibland är att Zero Trust inte fungerar i OT-världen eftersom man måste ha mänskliga identiteter att utgå ifrån. Det är helt klart en skillnad (och inte helt sant) men man ska komma ihåg att det finns mycket annat att basera aktiva policyer på för att ta sig bort från implicit förtroende. Jag hittade några bra exempel men det finns säkert fler:

  • User identity and type of credential (human, programmatic)

  • Credential privileges on each device

  • Normal connections for the credential and device (behavior patterns)

  • Endpoint hardware type and function

  • Geo location

  • Firmware versions

  • Authentication protocol and risk

  • Operating system versions and patch levels

  • Applications installed on endpoint

  • Security or incident detections including suspicious activity and attack recognition

  • Det finns ofta tekniska begränsningar i OT-utrustning som gör det svårt att fullt ut implementera Zero Trust mellan alla enheter. Jag tycker personligen att en viktig möjlighet är att kombinera tänket från Zero Trust med begreppen "Zones and Conduits" från ISA/IEC 62443. En riktigt snygg möjlighet blir då att använda Zero Trust för att begränsa kommunikationen i en "Conduit" mellan två "Zones". Elegant men utan att röra till tekniken i detaljerna!

Det här var som sagt inte tänkt att vara något perfekt upplägg men det gav i alla fall mig själv en del nya insikter. Jag vill väldigt gärna höra din feedback, antingen till mats@ot-sakerhet.se eller på det sociala medium där du kanske hittade nyhetsbrevet.

 

Threat hunting?

Jag nämner Threat Hunting i texten kring Zero Trust. För den som vill vässa sina skills på det området finns det fantastiska materialet "HUNTPEDIA" att tillgå helt gratis. Inte ett enda ord om OT men det behövs inte med så mycket generell klokskap samlad på ett ett ställe! Happy hunting!

 

Skadlig kod i OT

Brittiska nationella cybersäkerhetscentret, NCSC, har sin vana trogen publicerat en riktigt vettig artikel med många bra referenser kring hur skadlig kod kan påverka OT-system.

 

Onödigt vetande?

Varför inte avsluta nyhetsbrevet med helt onödigt vetande kring historiken runt Zero Trust? Det är inte något tvivel om att det var John Kindervag som "uppfann" det moderna begreppet "Zero Trust" när han arbetade på Forrester 2010.


Men det finns några tidigare släktingar som är värda att känna till. Dels skrev Stephen Paul Marsh om vad Zero Trust praktiskt betyder i sin doktorsavhandling "Formalising Trust as a Computational Concept". Han gjorde där exempelvis skillnad mellan "No Trust" och "Distrust", en viktig skillnad som vi bör komma ihåg också när vi bygger våra policyer kring detta!


Runt 2003 fanns organisationen "the Jericho Forum" som var inne på samma spår även om de tekniska möjligheterna var lite annorlunda på den tiden. Jag var själv på en konferens med dem i London där det framför allt diskuterades hur man bäst krymper sin perimeter från hela organisationen till enskilda datorsystem. (Inte exakt som det moderna Zero Trust alltså men samma grundidé.)


Om man vill belamra några hjärnceller till med kunskap så kan man krydda med "BeyondCorp" som var Googles försök till en arkitektur med samma tänk (men utan namnet "Zero Trust") som kom 2009.

 

Vem är Mats?

Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.


Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.


Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.


Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !

 

Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.


Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!


Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar tidigare nyhetsbrev på ot-säkerhet.se.