Sökresultat

Ett sprängfyllt nyhetsbrev som den här gången förbereder en kamp mellan två giganter, ger ett boktips om konsekvensdrivet säkerhetsarbete, tycker lite synd om Rockwell Automation, diskuterar konceptet "Insecure by design", ger en lång rad spännande lästips och en massa annat! Nyhetsbrev nummer 25! Något av ett jubileum alltså... Det första nyhetsbrevet skickade jag till fyra läsare. Tydligen fanns det ett och annat intressant bland mina tankar för nu är det flera hundra gånger fler som läser varje utgåva. Det är fantastiskt roligt med ett så positivt gensvar och jag vill verkligen skicka ett stort tack till dig som läser mina spretiga funderingar kring det här spännande ämnet! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter. Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Framöver kommer också en kopia publiceras på Ateas officiella blogg. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen! Så olika men ändå så lika! Något jag slås av varje gång jag träffar nya verksamheter för att prata säkerhet är hur olika de ser ut på ytan, men hur mycket som går igen när man tittar innanför skalet! Ett sågverk kan väl inte ha mycket gemensamt med tillverkning av biogas? Hur kan en industrihamn vara besläktad med eldistribution? Man kan tycka att skyddet av medicintekniska system i sjukvården inte borde ha jättemycket att göra med en högteknologisk tillverkande industri men de har de! De har olika namn på saker och de har lite olika prioriteringsmetoder men de är alla ute efter att skydda fysiska funktioner från störningar och ganska ofta också att människor skyddas från att skadas fysiskt på grund av manipulerade eller störda OT-system. Miljöpåverkan är också ofta en risk som har stort fokus. En annan likhet mellan just sjukvård och hitech-tillverkning är att de både måste skydda väldigt känslig information i sina OT-system och se till att systemen i sig fungerar exakt som det är tänkt. I riskanalyserna hamnar man ofta på väldigt låga sannolikheter och extrema konsekvenser vilket ju kan kräva ett lite speciellt synsätt. Just detta är temat för mitt boktips lite längre ner där en väldigt intressant metod beskrivs. I förra nyhetsbrevet frågade jag om intresset för någon form av nätverkande eller onlineforum kring OT-säkerhet. Av svaren att döma verkar det glädjande nog som att intresset är stort. Jag tror just att mötet mellan människor från olika branscher som alla har ett intresse av OT-säkerhet kan bli riktigt spännande och roligt tack vare de oväntade likheterna mellan deras utmaningar! Det visade sig att mina tankar på någon form av diskussionsforum kring OT-säkerhet sammanföll med Karl Emil Nikkas tankar om något motsvarande fokuserat på IT- och informationssäkerhet. Du är kanske med i gruppen Säkerhetsbubblan på Facebook som han ligger bakom tillsammans med Jonas Lejon? Vi insåg direkt att det är bäst för alla om vi skapar ett gemensamt ställe att diskutera alla former av säkerhetsfrågor. Herr Nikka hade redan kommit en bra bit på väg i sina planer så då väljer jag att skrota mina egna planer och lägger min energi på att stötta honom i arbetet för en gemensam plats. Vi återkommer framöver med mer information... Intresset för att träffas och diskutera OT-säkerhet var också stort. Fysiska träffar avvaktar jag förstås lite för att se hur det går med pandemin. Någon form av digital träff skulle det däremot kunna bli framöver. Clubhouse hade ju kanske varit ett kul upplägg. Jag tar gärna emot förslag och tankar på former, teman och metoder! Om någon har en Clubhouse-inbjudan att skicka till mig så tar jag den gärna, måste bara skaffa en äpple-telefon också... För någon vecka sedan skapade jag en omröstning på LinkedIn om vilka delar av nyhetsbrevet som mina läsare vill se mer av. (Det är inte försent, tyck gärna till fortfarande!) Det verkar så här långt vara många som gillar dagens upplägg men med önskemål om att "Mats Filosoferar" ska ta lite större utrymme och även mina tankar kring aktuella händelser. Jag kommer förstås ta till mig önskemålen framöver! Giganternas kamp! Det är verkligen ingen hemlighet att jag tycker det är roligt att jag stöter på så mycket spännande teknik i mitt arbete. Nu måste jag säga att det är två ovanligt coola prylar som står i labbet och väntar på sin tur. Jag kan riktigt höra hur de frustar och stampar i marken som de båda fullblod de är. I den ena ringhörnan står en maskin som jag har nämnt i tidigare nyhetsbrev. Det är Pro-versionen av IPSen från TxOne, kallad "EdgeIPS Pro". De har tagit deras lilla ruggade OT-IPS som du kan läsa mer om i nyhetsbrev #23 och gjort en datacenter-version som innehåller 24 stycken separata IPS-segment! Dessutom har de kryddat anrättningen med en del extra funktionalitet. Det här är 16 kg brutal OT-IPS som i princip ska klara att maxa alla 24 Gigabit segmenten samtidigt! Det finns faktiskt en dubbelt så stor maskin också, men den har jag inte lyckats få fingrarna på ännu... Ett typiskt use-case för Pro-versionen är när man inte vill bygga in de små EdgeIPS-enhetern från TxOne i respektive maskin som ska skyddas utan hellre samlar skyddet i ett nätverksrum eller datacenter. Ett extra tack till TxOne som skickade den första Pro-burken i Norden direkt till mig! Det här ska bli riktigt roligt! I den andra ringhörnan står en riktig doldis för de flesta. Det är en "ixia PerfectStorm One" från Keysight. Keysight har jag nämnt tidigare, exempelvis deras fina lilla tap "IxTap" i nyhetsbrev 17. Den ser ärligt talat inte så mycket ut för världen, men specen säger någonting helt annat! Tanken med den här besten är att skapa verklighetstrogen testtrafik för att provskjuta mot olika typer av nätverkssäkerhetsutrustning. I den här kör man en programvara kallad "BreakingPoint" vilket är ett mycket passande namn... Genom de 8 portarna med SFP+ kan du skapa och pressa igenom 80 Gb/s av testtrafik. Det är dessutom inte vilken testtrafik som helst utan du kan krydda med mängder av attacker och skadlig kod. I det enorma biblioteket med elakheter finns en rejäl dos OT-specifika attacker att välja från. Det typiska use-caset är att simulera trafik för exempelvis en brandvägg genom att helt enkelt stadigt öka på med trafik tills brandväggen inte klarar mer och kastar in handduken! De här två tänkte jag matcha mot varandra framöver. Det kommer bli en intressant match mellan två riktiga tungviktare! Vi får hoppas att propparna och luftkonditioneringen håller för det kommer bokstavligen gå hett till! Vadslagning på vinnaren, någon? "Ooops!" eller "Insecure by design" Nyligen fick amerikanska automations-giganten Rockwell Automation (mest kända för varumärket Allen-Bradley) ett delikat problem kring en sårbarhet i en låååång radda av deras Logix-controllers. Sårbarheten fick dessutom CVSS-poäng 10, dvs den absolut värsta graderingen en sårbarhet kan få. Med tanke på att det var en bugg som gjorde det enkelt att helt ignorera alla former av inloggningskrav i produkterna var betyget kanske inte så förvånande. Det blev inte bättre när Rockwell några dagar senare tvingades annonsera att problemet inte skulle gå att lösa med en patch! Det är inte klart för mig ännu varför sårbarheten inte går att adressera med en patch, spontant är den enda förklaringen att sårbarheten på något vis är kopplad till hårdvaran - vilket låter osannolikt. Vi får se hur den här historien utvecklar sig... Jag hade egentligen tänkt att skriva en liten text om begreppet "Insecure by design" vilket INTE ALLS avser det som Rockwell råkade ut för, alltså produkter som designats lite tokigt och därmed är osäkra. Det här är ett begrepp som blivit populärt under senaste halvåret i diskussioner kring hur vi bygger våra automationssystem. Jag har hört lite olika varianter men min egen tolkning är att "insecure by design" avser faktumet att många komponenter och protokoll inte behöver "hackas" för att manipuleras - de är helt enkelt utformade för att göra som de blir åtsagda, oavsett vem det är som skickar ordern. Det låter som ett lite löjligt resonemang men det är förvånansvärt ofta man springer på situationer när någon är upprörd över att de hittat ett opatchat system och hävdar att det är ett hot mot verksamheten. Om det råkar vara ett system som är "Insecure by design" pekar man då på faktumet att, även om systemet var helt uppdaterat, så kör det en mjukvara som inte behöver hackas för att en angripare ska manipulera den fysiska processen. Allt man behöver finns till och med beskrivet i manualen! Nu var det som sagt inte det här som Rockwell drabbades av även om effekten i slutändan blev den samma. Sista ordet är inte sagt kring vare sig deras sårbarhet eller hur man ska värdera sårbarheter i OT-system... Konsekvensdrivet säkerhetsarbete - Ett boktips! Som jag teasade om i förra nyhetsbrevet så kommer här en berättelse om vad jag lärt mig av boken "Security PHA Review for Consequence-Based Cybersecurity" och något slags recension av boken. Boken gör en grundlig genomgång av SPR-metoden på cirka 140 sidor och gör det på ett sätt som känns lättillgängligt för de flesta läsare. SPR, som ska uttalas som det engelska ordet "Spur", syftar till att flytta fokus inom OT-säkerhetsarbetet bort från att skydda varje komponent och istället fokusera på att göra den fysiska processen "ohackbar" och därmed säker. (SPR är en förkortning av "Security PHA Review".) Det är viktigt att ha med sig att det man vill uppnå med SPR är framför allt att säkerställa att vi inte har ihjäl folk, skadar miljön eller orsakar stora fysiska skador som är svåra och dyra att åtgärda. Därför är det en metod som framför allt passar i processindustrier och då speciellt i verksamheter som har farliga moment i sin produktion. Eftersom man utgår från processen i den inledande riskanalysen, istället för att göra det som ISA/IEC 62443 kallar "en riskanalys på hög nivå", så identifierar man mycket lättare de ställen där skydd av OT-systemen kan göra verklig nytta för skyddet av processen. På samma sätt påpekar de att det som 62443 kallar "detaljerad riskanalys" inte alls är en riskanalys utan snarare en granskning av den design som tagits fram. Det här angreppssättet tar hand om ett av de områden som alltid stört mig i 62443-standarden och gör det på ett riktigt elegant sätt. Jag hoppas att få omsätta det här arbetssättet i ett verkligt projekt snart, det ska bli intressant! Man inser att man är en riktig nörd när man går igång på sådana här insikter... Författarna sågar ett antal andra metoder, som till namnet verkar vara ungefär samma sak, vid fotknölarna. Metoder som "Cyber PHA", "Cyber HAZOP" och "CHAZOP" siktar i praktiken på något helt annat och liknar egentligen mer feleffektsanalys (FMEA, "Failure Mode and Effects Analysis"). De har alla sin plats men med andra syften. Det som jag kanske gillar allra mest med SPR är att man tar ett rejält kliv bort från skogen och då plötsligt kan se träden. Andra verktyg tenderar ofta att bli väldigt detaljfokuserade, tekniska och omständliga men missar ironiskt nog det egentliga målet att skapa en översiktlighet av risker och hot. Man försöker göra något åt vartenda träd i hela skogen i förhoppningen att skogen borde bli bättre. I SPR börjar vi med att titta på skogen för att sedan välja vilka träd som är viktigast att göra någonting åt. Tidigt i boken gör de upp med några av de (som jag tycker) mest störande bristerna som man stöter på i "klassisk" analys av sårbarheter och risker. De hävdar (och jag håller med) att: Att en säkerhetsbrist i sig inte har någon konsekvens förrän någonting händer som gör att bristen påverkar processen. Ett trasigt bilbälte får ingen konsekvens förrän man krockar. Eftersom det finns så många konsekvenser av varje sårbarhet blir det omöjligt att veta vilka konsekvenser som inte kan uppstå eftersom de förhindras av någon helt annan säkerhetsfunktion eller någon begränsning i den fysiska processen. I en bil som bara går att köra i 5 km/h kanske ett trasigt bilbälte inte är ett problem men hur vet du bilens maxfart om du bara tittar på skyddet av föraren? Eftersom det nästan alltid finns massor med tänkbara konsekvenser av en sårbarhet blir sårbarheten också omöjlig att bedöma. Ett stulet lösenord kan användas på extremt många olika sätt, men vilka är värst och vad betyder det för risken av händelsen "Stulet lösenord"? Man tvingas ofta använda något slags påhittat värsta scenario. I många metoder är sannolikhet eller frekvens en viktig faktor för riskbedömningen vilket sällan är en meningsfull bedömningsgrund. Hur bedömer du sannolikheten för att en hacker lyckas hacka just ditt system? Hur ofta det har skett historiskt? Kommer de verkligen ge upp om de misslyckas i de första 20 försöken? Sannolikheter fungerar bra för slumpmässiga händelser men är väldigt mycket sämre för beslutsamma och medvetna mänskliga angripare. Just alla de där godtyckliga sannolikhetsbedömningarna som görs är nog den största anledningen till att jag genomlidit så många meningslösa workshops för riskanalyser. Ett annat alternativ som fungerar i många viktiga situationer är att använda kvantitativa metoder. Men det är en annan historia som har sitt eget existensberättigande. Vill du läsa mer så har jag skrivit om det i Nyhetsbrev #16. SPR-metoden bygger på att det redan finns någon form av PHA- eller HAZOP-liknande analys som man återanvänder genom att ta alla felscenarier och skydd från den och utökar dem med bedömningar av deras "hackbarheten" . Om man inte har sådana analyser får man helt enkelt göra det som en del av SPR-arbetet. Enkelt uttryckt kan man säga att en HAZOP-analys är ett systematiskt sätt för en grupp experter att identifiera alla sätt saker kan gå snett oavsett orsak och vilka skydd som finns för att motverka att farliga situationer uppstår. Om man ska summera vad SPR-metoden lägger till på ett extremt komprimerat sätt så blir det: För varje källa till avvikelser i processen analyserar man om den går att provocera fram genom att hacka en utrustning. Är den inte hackbar så är inte scenariet hackbart. (Här har jag en viktig invändning mot författarnas resonemang, se nedan.) Om källan är hackbar tittar man på de skydd som finns i processen. Om något av dem inte är hackbart så antas de skyddet motverka avvikelsen och därmed är scenariet inte heller hackbart. (Även här har jag invändningar, se nedan.) Om både källan och alla skydd är hackbara blir hela scenariet hackbart och då måste man hitta åtgärder. Åtgärderna kan bestå i att införa icke hackbara skydd eller att man höjer säkerhetsnivån i systemet. (Man använder då begreppet SL-T från ISA/IEC 62443, "Security Level Target".) Repetera för alla system och zoner. Sammanställ resultatet för helheten. Inför åtgärderna som identifierats. Vad är det då för invändningar jag har? Ja, det är faktiskt flera stycken... Enligt boken måste en hackbar komponent gå att nå med ett routbart nätverksprotokoll. I min värld så kan man mycket väl manipulera ett system även om det inte går att komma åt det, om det är möjligt att manipulera dess programmering utan att det upptäcks. I min erfarenhet är ofta utvecklingsmiljöer mindre skyddade än de system dit programvaran sedan flyttas. Man kan också vända sig mot att de kräver routbarhet eftersom det i så fall missar situationer där man hoppar mellan system med någon form av direktanslutning emellan dem. Författarna kräver att källan till en avvikelse ska vara hackbar för att scenariet ska vara relevant. För en angripare som har mycket tid kan det mycket väl räcka med att sabotera ett eller flera skydd och sedan bara vänta på att processen får en avvikelse "av sig själv". SPR-metoden säger att händelser och skydd som hanteras av människor inte är hackbara vilket i så fall ignorerar möjligheterna till "Social Engineering". Boken tar inte upp situationer där det av någon anledning finns krav på redundanta skydd. I sådana fall måste man ju förstås ta hänsyn till att det finns redundans bland de icke-hackbara skydden. Nu låter det som att jag sågar både boken och SPR-metoden rejält men så är det faktiskt inte. De lämnar öppningar för att skapa sin egen version av metoden som passar den egna verksamheten och dess industrityp. Vad som är acceptabelt och relevant får man avgöra själv med någon form av risk- och konsekvensanalys. Självklart måste arbetsmetoder och kravnivåer rimligen skilja mellan ett kärnkraftverk och en fabrik som tillverkar tandpetare... Som du (förhoppningsvis) ser i min beskrivning av SPR-metoden så letar man efter sårbarheter i den fysiska processen istället för i enskilda komponenter och man tittar enbart på konsekvenserna av olika scenarier. Sannolikheter dyker aldrig upp i resonemanget och mikroprocessorbaserade system betraktas som hackbara oavsett om de faktiskt har några sårbarheter eller inte. Och häri ligger metodens finess, fokus ligger på att helt bygga bort möjligheten för allvarliga konsekvenser att inträffa även om varenda system blir hackat... Om man ska knyta tillbaka till mitt filosoferande i förra nyhetsbrevet så får vi en chans att låta skyddet av processen verkligen kravställa skyddet av systemen, precis på det sätt som skyddet av informationen ska ställa krav på skydd av IT-system! Sammantaget kan jag verkligen rekommendera både boken och SPR-metoden. Metoden passar inte för alla typer av verksamheter men rätt använd och anpassad så tar den hand om en hel del störande moment i ISA/IEC 62443 standarden och flyttar fokus från att minska sannolikheter till att minska konsekvenser. Har din organisation redan bra koll på processäkerheten generellt sett (oavsett om det just är en klassisk HAZOP-metodik eller något annat) blir införandet av SPR inte någon omfattande sak att få till! Var annonseras sårbarheteter? Jag fick frågan om var man ska söka eller prenumerera på sårbarhetsannonseringar för OT. Personligen använder jag oftast amerikanska CISAs ICS-CERT: https://us-cert.cisa.gov/ics/advisories. För generella sökningar i kända sårbarheter är https://www.cvedetails.com/ alltid en bra källa. Gäller det en speciell tillverkare så är förstås deras egen annonsering viktig men där kan det vara lite olika spelregler beroende på om du har aktiva serviceavtal med dem. Jag söker mer OT-utrustning! Jag har ett litet OT-labb där jag konfigurerar och testar OT-säkerhetsutrustning för Nyhetsbrevet. Nu vill jag utvidga och bredda labbet och därför söker jag samarbeten med tillverkare och distributörer av intressant OT-utrustning för samarbete, lån eller köp av utrustning under "Not For Resale"-vilkor. Jag tänker mig allt från PLCer och IO-enheter till strömförsörjning, sensorer och HMI-paneler men även ren nätverksutrustning. Färdiga utbildnings- eller demonstrationsuppsättningar är också intressanta! Även begagnad utrustning som någon läsare har över är intressant. Hör av er! mats.karlsson-landre@atea.se. Lästips! https://www.sakerhetspolisen.se/publikationer/om-sakerhetspolisen/sakerhetspolisen-2020.html SÄPOs årsbok för 2020 släpptes i mitten av Mars och innehåller väldigt mycket intressant. Jag håller verkligen med om att de stora bristerna inom säkerhetsskyddsområdet är oroande, inte minst inom många kritiska OT-verksamheter! https://www.regeringen.se/rattsliga-dokument/lagradsremiss/2021/03/ett-starkare-skydd-for-sveriges-sakerhet/ Det var självklart ingen slump att Justitidepartementet släppte ett förslag till stärkt säkerhetsskydd dagen efter att SÄPO släppte sin årsbok. En mer framträdande roll för säkerhetsskyddschefer, säkerhetsskyddsavtal i fler situationer, bättre analyser av utkontraktering och större befogenheter för tillsynsmyndigheterna, låter alla som bra förslag! Kim Hakkarainen sammanfattar det bra här: https://blogg.mrpoyz.net/paradigmskifte/ https://www.fra.se/download/18.15d6ea201729ce403d2358/1615817255659/FRA-arsrapporten-for-2020.pdf När du ändå är igång så kom FRAs årsrapport samma vecka... https://download.schneider-electric.com/files?p_enDocType=White+Paper&p_File_Name=998-21085205_CybersecurityBusinessContinuity_GMA_whitepaper.pdf&p_Doc_Ref=998-21085205_GMA Ett intressant papper från SchneiderElectric som tittar på konsekvenserna av att inte ha med cybersäkerhetsåtgärder i sin krisplanering. Man använder pandemin som exempel för att illustrera hur OT-hoten påverkas av kriser i samhället eller någon annan övergripande händelse. https://hub.dragos.com/hubfs/Whitepaper-Downloads/Industrial-Cyber-Risk-Management-2021March.pdf Dragos tankar kring hur man ska bedriva risk management inom industrin. En del nya synsätt som jag gillar. https://www.pull-the-plug.net/thesis/ Avhandling av Jan Hoff från universitetet i tyska Hagen som föreslår en metod för att automatiskt skapa attackgrafer för OT baserat på "MITRE ATT&CK for ICS". https://www.splunk.com/en_us/blog/security/splunk-for-ot-security-v2-soar-and-more.html Splunk gör intressanta saker för att OT ska fungera bättre i klassiska SIEM-lösningar, något som många upplever som ett problem idag. https://www.willistowerswatson.com/en-US/Insights/2021/03/cyber-risk-and-critical-infrastructure Ett papper kring hur dagens IT-försäkringar bör närma sig OT-världen. Man kan ha många åsikter om försäkringars värde så lär dig mer! https://www.linkedin.com/pulse/legacy-system-problem-keeps-growing-dale-peterson De senaste veckorna har det nästan blivit bråk kring frågan om "insecure by design" i komponenter närmast våra processer. Här är ett av Dale Petersons inlägg om saken och här är ett par inlägg av Joe Weiss som har en annan åsikt: https://www.controlglobal.com/blogs/unfettered/observations-from-the-2021-sans-ics-cyber-security-conference/ och https://www.controlglobal.com/blogs/unfettered/lack-of-authentication-of-process-sensors-does-not-appear-to-bother-people/ https://www.txone-networks.com/upload/website/white_papers/normal/Network%20Segmentation%20-%20The%20OT%20Standard%20for%20Industry%204.0_20120818233.pdf Klokskaper kring segmentering och närbesläktade ämnen från TxOne som förstås är lite skruvade mot deras egna produkter men ändå har en del grundläggande guldkorn! https://www.ncsc.gov.uk/blog-post/what-is-ot-malware Genomgång av skadlig kod i OT-världen från brittiska NCSC som alltid levererar stabilt material. https://webbutik.skr.se/bilder/artiklar/pdf/7585-871-5.pdf Sveriges Kommuner och Regioner har tillsammans med Offentliga Fastigheter gett ut ett gediget material kring digital fastighetsautomation som pratar flitigt om säkerhetsaspekterna i detta spännande OT-område. https://www.missionsecure.com/blog/industrial-cybersecurity-applying-zero-trust-and-carta-to-operational-technology-ot Några intressanta reflektioner kring kopplingen mellan "Zero Trust" och OT-Säkerhet samt hur man knyter ihop det med CARTA.

När jag ger ut en ny utgåva av mitt nyhetsbrev kring OT-säkerhet får jag nästan alltid frågan: Vad betyder OT? Menar du "Off-Topic" eller vad då? OT är fortfarande ett ganska nytt begrepp men som jag tycker börjar sätta sig så smått. I den här artikeln ger jag min högst personliga syn på vad OT-säkerhet är och varför det är så annorlunda mot informationssäkerhet och IT-säkerhet men också vad likheterna är. Förkortningen OT brukar uttydas "Operational Technology" eller "Operations Technology". På sistone har den svenska varianten "Operativ Teknik" börjat dyka upp. Bokstaven "T" berättar att man använder modern digital teknik, ungefär på samma sätt som i "IT". O:et för "Operational" syftar på att man hanterar något slags fysisk process till skillnad från I:et i IT som ju berättar att vi hanterar information. Alla som sett "Fem myror" vet att det är "O:et i ordet som gör det"! Så även här! Och det är faktiskt redan i betydelsen av orden som man kan genomskåda det som gör OT-säkerhet speciellt. Allt säkerhetsarbete handlar ju om att förebygga skador. För informationssäkerhet och IT-säkerhet försöker vi skydda information. Inom OT-säkerhet handlar istället om att undvika att fysiska skador eller störningar inträffar eller får svåra konsekvenser. Vilka skador som man behöver undvika beror förstås på vilken typ av verksamhet man har. I en automatiserad tillverkningsindustri är kanske de värsta skadorna att en medarbetare skadas av en robotarm som rör sig på fel sätt eller att en maskin blir förstörd om den används på fel sätt. I en kemisk industri kan man tänka sig dödsfall på grund av en explosion eller miljöskador på grund av utsläpp som skadar miljön. I sjukvården kan farliga situationer uppstå om medicinsk utrustning inte fungerar som den ska eller om ventilationen lägger av. Men även även mindre allvarliga händelser måste förstås förebyggas så att inte produktionen störs eller kvaliteten på produkterna försämras. Det är inte alltid gränsen mellan IT och OT är så tydlig, det är inte helt ovanligt att man hanterar känslig information i någon form av OT-system. Det finns gott om exempel i sjukvården, i läkemedelsindustrin och i högteknologisk tillverkningsindustri. Det gör förstås att det kan bli extra klurigt att få till ett bra skydd av systemen så att både information och fysisk funktion får lagom mycket skydd. Man hamnar lätt i situationer där skyddet av information hamnar i konflikt med en bra processkontroll. En viktig likhet mellan IT- och OT-säkerhet är att, när man gör det på rätt sätt, så drivs arbetet utifrån något slags riskanalys där man tittar på konsekvenserna för versamheten som ska skyddas. Även om det är helt olika risker som man är nervös för så har inget säkerhetsarbete något egenvärde utan att förstå verksamhetens behov. Det är i det här sammanhanget man lättast ser att motsvarigheten till OT-säkerhet egentligen inte är ren IT-säkerhet, utan kombinationen av informationssäkerhet och IT-säkerhet. Man behöver förstå riskerna i helheten och man kombinera åtgärder som är både baserade på digital teknik med rena mekaniska skydd och säkra arbetsmetoder. När man pratar om informationssäkerhet så kommer man nästan alltid in på att man vill ha ledningssystem för sin verksamhet och då är standarden ISO 27001 numera den absolut vanligaste att luta sig mot. Det har gjorts många försök att att "skruva till" standarden så att den ska passa utmaningarna inom OT också, det vore ju praktiskt! På samma sätt finns många försök att formulera om metoder för riskanalys och informationsklassning för att passa OT. Det vanligaste synsättet inom informationssäkerhet är "C-I-A" (Confidentiality, Integrity och Availability) dvs Hemlighet, Riktighet och Tillgänglighet som används för att beskriva konsekvenser och känslighet. Jag har hittills aldrig sett något sådant försök leda fram till en bra modell, det är förmodligen helt enkelt för annorlunda förutsättningar inom OT för att kunna överföra tänket från informationssäkerhet dit. I ett försök att ersätta "C-I-A" med andra begrepp som passar bättre för OT har det uppstått en del nya kombinationer. Tanken är att man ska kunna beskriva vad som är viktigt i den egna verksamheten och vilka risker man ser. En populär variant är "C-O-O" som står för Controlability (processen är under kontroll), Observability (vi kan se vad som händer i processen) och Operability (vi kan påverka processen). En annan är "S-R-P" vilket uttyds som Safety (ingen ska bli skadad), Resilience (processen tål störningar) och Performance (processen är effektiv). I praktiken tycker jag att man ofta behöver använda en kombination av alla nio begrepp för att kunna bli riktigt säker på att man talar om samma sak. Att 27001 inte passar så bra för OT betyder inte att vi saknar något att luta oss emot när vi vill styra upp vårt säkerhetsarbete med hjälp av en erkänd standard. Inom OT så är sedan länge ISA/IEC 62443 sedan länge den dominerande standarden. Den kallades tidigare ISA 99 och hänger tätt ihop med en annan standard som hette ISA 95 som beskriver hur man bygger en bra systemarkitektur i en komplex verksamhet. 62443 har tre stora delar, en del handlar om hur vi arbetar, en del om hur våra system skyddas och den tredje delen riktar sig till de som utvecklar systemkomponenter för OT-världen. Om man inte tillverkar OT-utrustning är det normalt de två första delarna man fokuserar på och de ger relativt handfast hjälp i säkerhetsarbetet. Standarden har en del utmaningar, den är framför allt ganska omfattande och har tagits fram över lång tid, så det finns en del motsägelser mellan nyare och äldre delar som man får hantera. Det finns också en del bra stöd utanför standarderna kring hur man i praktiken bäst kan hantera riskbedömningar och säkerhetsåtgärder. Intresset för OT-säkerhet har ökat betydligt under senare år. Det finns flera skäl till det. Det viktigaste är nog den allmänna digitaliseringen i samhället vilket ofta påverkar OT-verksamheter som plötsligt ska integreras med omvärlden, vilket drar med sig helt nya risker. Ett annat skäl är nya regleringar från Sverige och EU, främst då uppdateringen av säkerhetsskyddslagen som började gälla 2019 och NIS-direktivet som blev svensk lag 2018. Speciellt NIS-direktivet har lett till en tydligt ökad aktivitet från tillsynsmyndigheter vilket lett till ett ökat intresse från berörda verksamheter. Strax före jul 2020 lade EU fram ett förslag till ett nytt NIS-direktiv, "NIS2", som en del av en ny cybersäkerhetsstrategi för EU. NIS2 är en rejäl skärpning av det nuvarande direktivet med utökade krav, betydligt fler branscher som omfattas och rejäla sanktionsmöjligheter för tillsynsmyndigheterna. Jag har skrivit en del om NIS2 i mitt nyhetsbrev om OT-Säkerhet om du vill läsa mer. Om du vill lära dig mer om OT-säkerhet kan jag rekommendera dessa resurser: Mitt eget nyhetsbrev kring OT-säkerhet: www.ot-säkerhet.se International Society of Automation som äger 62443-standarden: www.isa.org Wikipedia förstås: https://en.wikipedia.org/wiki/Operational_technology Podcast spellista: https://podcasts.apple.com/us/podcast/beerisac-ot-ics-security-podcast-playlist/id1459741251 Hör gärna av dig till mig mats@ot-sakerhet.se för att diskutera mer!

Den här gången tittar jag på ett märkligt USB-minne med Bluetooth, funderar kring motsvarigheten till informationssäkerhet för OT-säkerhet, visar upp nyheter i min bokhylla och en massa annat spännande! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter. Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta! Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här artikeln delas eller i Säkerhetsbubblan på Facebook. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen! Mats filosoferar... En tanke slog mig häromdagen! Vi brukar ju ofta jämföra IT-säkerhet och OT-säkerhet med varandra. Även om det är väldigt mycket som skiljer dem åt, både kring metoder och vad man försöker skydda, så handlar båda två om att skydda tekniska system så att de kan utföra det som de är tänkta att göra. En annan viktig relation som IT-säkerhet har är med informationssäkerhet. I det klassiska tänket ställer informationssäkerhet krav på IT-säkerhet för att skydda den information som hanteras i IT-systemen. I praktiken är det inte så enkelt alla gånger men lutar man sig mot ISO 27001 så är det den världsbilden som gäller. Men, då kan man ju undra... Vad är motsvarigheten till informationssäkerhet för OT-säkerhet? Varifrån kommer kraven som OT-säkerhet ska uppfylla? Ja... Det är ju en bra fråga... Ibland hör man vissa som försöker vränga till ett resonemang där informationssäkerhet går att använda till allt, även för att kravställa OT-säkerhet - systemen hanterar ju trots allt något slags information även om syftet är att styra någonting fysiskt. Det är ett resonemang som snabbt faller platt till marken. (Även om det förstås kan vara delvis sant för vissa system som faktiskt hanterar både information och fysiska processer.) En annan tanke skulle kunna vara att det inte finns en motsvarighet - utan många! Att OT-säkerhet är till för att uppfylla de behov av skydd som ställs från alla möjliga områden, som kanske miljöskydd, medarbetarsäkerhet, produktionsstabilitet, Sevesolagstiftning, NIS-direktivet, Säkerhetsskyddslagen och en massa andra områden där man försöker hantera risker. Det här resonemanget håller förvisso bättre men det blir ju ganska rörigt och spretigt när det är så många som ska kravställa var för sig. Efter att ha resonerat kring detta insåg jag att svaret egentligen kan vara mycket enklare än så. Åtminstone om man har valt att luta sig mot standarden ISA/IEC 62443. Slarvigt uttryckt kan man säga att 62443 är för OT-Säkerhet vad 27000-serien är för Informationssäkerhet. De som följt mitt nyhetsbrev ett tag vet att jag är svag för den här standarden och att jag var nummer två i Sverige att certfiera mig som "ISA/IEC 62443 Cybersecurity Expert". Precis som de flesta moderna standarder för ledningssystem är 62443 baserad på att man bedömer sina risker och väljer sitt skydd utifrån riskerna. Tanken är att olika delar av en verksamhet behöver olika skydd och att man ska kunna ha tillräckligt bra skydd överallt utan att slösa resurser genom att ta i för mycket. När infosäk-folket brukar bedömma "Konfidentialitet", "Riktighet" och "Tillgänglighet" tittar vi OT-människor mest på tillförlitlighet i systemen och att vi inte ställer till något som skadar människor eller miljö. Standarden sätter sedan en metod för hur man skyddar och segmenterar sina system baserat på risker som de utsätter verksamheten för. Även om kraven kan komma från olika källor kan de samsas i en gemensam modell för hur man beskriver risker och skyddsnivåer. En närbesläktad diskussion (som jag var inne på i förra nyhetsbrevet) är vilka begrepp man bäst använder för att beskriva riskerna istället för "Konfidentialitet", "Riktighet" och "Tillgänglighet"? Populära förslag brukar vara "Controlability", "Observability", "Operability", "Safety", "Resilience" och "Performance". Min personliga syn att är alla begreppen är bra och att man absolut kan kombinera dem efter behov. Om man råkar ha information som ska skyddas mot att stjälas eller förvanskas så kan man förstås kombinera dem med begreppen från Informationssäkerhet. Om jag ska återvända till ursprungsfrågan så är väl egentligen min insikt att frågan var fel ställd från början! OT-säkerhet har faktiskt mer likheter med informationssäkerhet än med IT-säkerhet, åtminstone om man utgår från ISA/IEC 62443 och ISO 27001. Man måste utgå från en bedömning av vad som är värt att skydda, bygga hela sitt tänk utifrån skyddsbehoven och sedan utforma teknik och processer efter det. Jag kan verkligen rekommendera att man tittar närmare på 62443-standarden om man vill jobba strukturerat med OT-Säkerhet och utforma skyddet av sina system baserat på verksamhetens risker. Jag hoppas dessutom att jag kan återkomma med en lite mer nyanserad bild av vad som bäst driver riskarbetet inom OT enligt 62443 efter att ha läst böckerna som jag berättar om här nedanför. Min förhoppning är att de kommer knyta ihop skyddet av OT-system tydligare med kraven på riskreducering i den fysiska processen. Håll tummarna! :-) Den coolaste stickan i stan? För en gångs skull har jag testat något som jag först var väldigt skeptisk till men som jag sedan bytte åsikt om! För varför i himelens namn ska man ha Bluetooth i ett krypterat USB-minne? Minnet vi talar om är "DATASHUR BT" från iStorage. Ett FIPS-certifierat krypterat minne med mellan 4 och 128 GB lagring och "USB 3.2 SuperSpeed" anslutning. Minnet är IP57-skyddat så det tål både damm och vatten bra. Bluetooth används för att låsa upp krypteringen och för diverse inställningar från en app i din mobiltelefon. Skeptisk och luttrad som jag är, föreställde jag mig genast en lite väl ambitiös ingenjör någonstans som har kokat ihop en teknisk lösning som är snygg men som vid minsta provokation rasar ihop som ett korthus och tillåter att allt data på stickan går att ladda ner via Bluetooth. Verkligen inte något man vill lita på! Men... Sedan visade det sig att tillverkaren hade riktigt bra svar på alla mina elaka frågor och stolt visade upp en lösning där hanteringen av data separerats från blåtandsdelarna. Nu skall jag direkt säga att jag inte lagt någon tid på att försöka hacka det lilla underverket men min erfarenhet är att en leverantör som har riktigt vettiga svar på svåra frågor redan har tänkt på många fler attackvägar än vad jag själv kan komma på... Ett litet men bra exempel är att man behöver ha det 8-siffriga nummer som minnet är märkt med för att ansluta minnet till appen. Koden sitter så att den inte går att se när minnet är anslutet vilket gör det mycket svårare att tjuvkika... En riktigt stark finess som man definitivt inte ska underskatta är att appen inte bara "låser upp" krypteringen, det är faktiskt så att innan minnet låsts upp så syns det inte överhuvudtaget som USB-enhet i det system där det anslutits. Minnet kan därför inte ens teoretiskt utsättas för lömska USB-attacker i stil med BadUSB förrän det är upplåst. (Jag skrev om olika typer av USB-attacker i nyhetsbrev #19.) Men varför ska man ha Bluetooth i ett USB-minne då? ...och i synnerhet när det handlar om OT-system? Ja, för det första handlar det ju om ett minne med inbyggd kryptering. Om man inte har behov av det så faller förstås hela meningen med minnet! Och varför ska man då kryptera ett minne? Att man har känslig information och att små minnen är lätta att tappa bort är förstås ett uppenbart svar men det finns fler anledningar. En kan ju vara att man inte vill riskera att någon kollega ändrar filer på minnet av misstag. Det vanligaste sättet som det sker är att man "lånar" ett minne som hamnar i någons dator där minnet smittas med något läskigt virus som sedan följer med runt till andra system. Det finns ju andra sätt att låsa upp krypterade minnen än via Bluetooth. Det vanligaste är att minnet har en liten knappsats på sig där man skriver in en PIN för att låsa upp lagringen. Eventuella andra finesser får man ställa in med kryptiska kombinationer av knapptryckningar som inte går att komma ihåg. Till det här minnet finns en app där man matar in sitt lösenord på ett vettigt tangentbord och då kan man förstås göra inställningar på ett mycket tydligare sätt. Den enda klurigheten jag kommit på är om din organisation eller din kund av något skäl inte tillåter mobiltelefoner nära OT-utrustningen, då är nog det här inte lösningen för dig. Om vi tittar igenom inställningarna så hittar vi ett antal riktigt intressanta funktioner. Först hittar vi lösenordsbyte och redan här förstår vi varför en app är bättre än en knappsats - du kan ha ett riktigt lösenord istället för en PIN-kod! Det finns stöd för 2-faktorsidentifiering och lösenordsåterställning som tyvärr bara har stöd för SMS men det är förstås bättre än inget. Mer om detta med bortglömda lösenord lite senare... Sedan kan du välja att appen ska komma ihåg lösenordet vilket förstås sänker säkerheten en smula. Biometriskt lås finns också och är förmodligen en bättre lösning i de flesta fall. Sedan blir det väldigt intressant! Du kan säga åt minnet att automatiskt låsa sig efter en viss tid. En annan riktigt bra funktion är att minnet kan fås att låsa sig om du går iväg längre än fem meter med telefonen. Att enkelt kunna sätta minnet i skrivskyddat läge är en fantastisk funktion för att kunna dela med sig av data till system som man inte litar på fullt ut. Ingen risk att minnet blir nedsmutsat med skadlig kod! Vissa av de här funktionerna (2-faktor, lösenordsåterställning och remote wipe) sköts av en molntjänst. Det kan man förstås ha invändningar emot och då är det fritt fram att inte slå på de funktionerna. MEN! Det finns fler möjligheter om man skaffar den utökade molntjänsten... Vad är den absolut vanligaste anledningen till att information försvinner när den lagras krypterat? I min erfarenhet är det att folk glömmer lösenordet till sitt minne! Det finns lite olika lösningar för att kunna hantera den typen av situationer på ett bra sätt. Ett av dem är att ha centralt managerade minnen där en superadministratör kan återställa lösenord som tappats bort. Det är givetvis inte lämpligt i alla situationer så man får förstås göra sin egen riskanalys innan man drar igång den typen av verktyg! Men man kan ju se det som ett 2-faktorsskydd i och med att informationen ändå bara är tillgänglig om man har minnet i sin hand. Från iStorage kan man köpa "iStorage datAshur BT Remote Management Web Console" som möjliggör hantering av alla minnen i en organisation. Jag har inte provat den själv men den verkar onekligen kunna lösa alla viktiga problem. Med den typen av verktyg har jag sparat oräkneliga arbetstimmar åt tidigare arbetsgivare när medarbetare slarvat med sina lösenord... I och med att det alltid finns en koppling till en app så finns även lite ovanligare funktioner som att man kan blockera en användare från att använda "sitt eget" minne (exempelvis om en medarbetare lämnar företaget) eller sätta begränsningar i VAR eller NÄR minnet får användas. Intressant... Sammantaget är det här ett snabbt och solitt minne som bör passa de flesta verksamheter som inte totalförbjuder trådlös teknik i sina system. Möjligheterna med Bluetooth är faktiskt riktigt vettiga i verkligheten och inte bara en gimick. För OT-världen ger styrningen via en app möjlighet att hantera minnen som fysiskt sitter på platser där de är svåra att komma åt. Exempel på viktiga funktioner är snabbheten, fjärrstyrt skrivskydd, automatisk låsning om man går ifrån det och att det går att komplettera med central managering. Säkerhetsskyddschef med ett diplom! I Nyhetsbrev #21 berättade jag att jag skulle inleda Företagsuniversitetets diplomeringsutbildning för säkerhetsskyddschefer. Nu är utbildningen slut och jag har fått mitt diplom. Jag vill återkoppla att det, precis som jag förstås hoppades, är en riktigt bra utbildning som jag verkligen rekommenderar! För den som är intresserad av att vidareutveckla sig inom det här komplexa men intressanta området kan jag verkligen rekommendera den här kursen. Hör gärna av dig till mig om du har några funderingar. Ett rejält kursmaterial, bra arrangemang, en otroligt erfaren lärare i Per Fjellman och en radda riktigt tunga gästföreläsare gör detta till en helt unik kurs! Att genomföra den på distans har förstås sina sidor men också vissa fördelar och det är ingenting som jag tycker drog ner på kvalitén. Nyheter i bokhyllan! Nu när jag är fullärd i allt som har med säkerhetsskyddsarbete att göra **ironi**, dök förstås tanken "vad ska jag lära mig nu då?" upp... Jag insåg att det var länge sedan jag läste en intressant bok om säkerhet. Så jag slog till på tre stycken på en gång! Två av böckerna har delvis ett gemensamt tema, nämligen hur man låter sitt risk- och säkerhetsarbete bli konsekvensdrivet. Det finns flera skäl till att detta är ett allt mer populärt sätt att arbeta. Rent praktiskt brukar det vara ett arbetssätt som är effektivt och framkomligt i praktiken - helt enkelt därför att det tenderar att vara mycket enklare att komma överrens om vilka konsekvenser som är värst jämfört med att i grupp besluta sannolikheten för någon jobbig händelse. Speciellt svårt är det att säga något vettigt om sannolikheter när det gäller händelser som orsakas av människor, oavsett om det är elaka hackers eller insiders. Att jobba konsekvensdrivet är inte samma sak som att bara fokusera på att minska konsekvenserna även om det också är ett väldigt kraftfullt verktyg. Speciellt brukar ledningsgrupper gilla att veta vad det värsta som faktiskt kan hända är. Sannolikheten är förstås också intressant men den vet alla är mer svårbedömd. Ett citat som är ganska talande är "I can deal with disruption, what I can't handle is destruction of long-lead-time-to-replace capital equipment" som yttrades av VDn på ett av USA största elbolag. Det han syftade på var att de kan hantera att saker fallerar men när saker som tar lång tid att tillverka eller byta ut blir förstörda. Några exempel på hans värld är enorma transformatorer som kan ta flera år att få levererade eller att tusentals, geografiskt spridda, skyddsreläer förstörs samtidigt. Vissa saker får bara inte kunna hända... Det här med att jobba med konsekvenser har jag varit inne på i några tidigare nyhetsbrev, bland annat Nyhetsbrev #21 och Nyhetsbrev #15. "Countering Cyber Sabotage" är en sprillans nyutgiven bok av Andrew Bochman och Sarah Freemen från Idaho National Laboratory (INL) som behandlar det lite poppiga ämnet "Consequence-driven, Cyber-informed Engineering (CCE)". Om ni missat att ämnet är poppigt brukar ni nog inte hänga på OT-konferenser eller lyssna på OT-poddar. CCE tar den spännande ansatsen att vi redan är hackade och att angriparna bara väntar in rätt tid att slå till. Eftersom sannolikheten att bli hackad per definition då är 100% måste åtgärderna mot allvarliga skada då väljas baserat på vilka konsekvenser som kan uppstå i olika scenarier. CCE bör rimligen gå bra att kombinera med PHA-begreppet från nedanstående bok, som angriper samma problem från lite andra vinklar. I grunden handlar båda två om att skydda vår verksamhet mot ond bråd död, miljökatastrofer och andra mindre roliga händelser genom att komplettera våra "hackbara" system med skydd som inte går att hacka - ofta olika typer av fysiska åtgärder i själva processen. Tricket är förstås att kombinera skydd mot hackning och skydd mot konsekvenserna av hackning på ett sätt som ger oss bästa effekt till lägsta kostnad. "Security PHA Review for Consequence-Based Cybersecurity" gavs ut för ett drygt år sedan. Den fokuserar på begreppet "Process Hazard Analysis (PHA)" som är ett strukturerat sätt att göra riskanalyser för fysiska processer, ofta genom en så kallad HAZOP (HAZard and OPerability studies). PHA-analyser görs normalt med fokus enbart på händelser som orsakas av slumpmässiga fel i en anläggning. Boken utökar de existerande PHA-metoderna för att lägga till möjligheten att identifiera farliga scenarier som skulle kunna orsakas av OT-attacker. På köpet får man en strukturerad metod för riskanalys vilket saknas i 62443-standarden. I standarden sägs bara att man ska göra riskanalyser och på vad, men inte hur. Observera att denna PHA-analys inte är samma sak som den PHA-analys ("Preliminary Hazard Analysis") som beskrivs i Räddningsverkets "Handbok för riskanalys" som bland annat MSB pekat på i samband med Seveso-utbildningar. Den tredje boken "Advanced PLC Hardware & Programming: Hardware and Software Basics, Advanced Techniques & Allen-Bradley and Siemens Platforms" är egentligen inte en säkerhetsbok. Den ska förhoppningsvis kunna stärka mig lite ytterligare i mina förståelse för de system som vi försöker skydda. Precis i allt säkerhetsarbete behöver man förstå de verksamheter man försöker skydda för att det ska bli ett bra resultat. Det finns ju faktiskt en anledning (eller förmodligen flera) till att det fysiska skyddet av en bank, ett fängelse och ett kärnkraftverk ser ganska olika ut trots att man skulle kunna tro att de har ganska mycket gemensamt... Det här är tre böcker som jag har stora förhoppningar om men jag får återkomma med recensioner och insikter när jag har börjat avverka dem. Vill du ha kompisar? Jag har fått frågor från ett par läsare som är intresserade av att få kontakt med andra som arbetar med OT-säkerhet för att utbyta erfarenheter. Jag har funderat på sätta ihop något slags rundabords-träffar, helt utan vare sig kostnad eller sälj-agenda från någon av deltagarna. Jag tänker mig små grupper som över tiden kan bygga förtroende för varandra och genom nätverkande kan hitta samarbeten och inspiration. I dessa tider blir det väl rimligen träffar på distans men förhoppningsvis kan vi snart komplettera med "fysiska träffar". Blir intresset stort kan jag tänka mig olika grupper för olika branscher, roller eller geografiska platser. En annan tanke på samma tema är ett online-forum där man kanske lite snabbare och enklare kan bolla enskilda frågor. Det skulle i så fall vara fristående från alla former av sociala medier för att inte exkludera någon och de som medverkar skulle enbart vara personer med bekräftad identitet för ökat förtroende. Även här skulle det vara kostnadsfritt och frikopplat från både sig min arbetsgivare eller något annat kommersiellt intresse. Är något av dessa tankar intressanta så är det väldigt viktigt att du hör av dig så att jag blir motiverad att dra detta i mål. Skriv en rad till mig på mats.karlsson-landre@atea.se. Vattnet i Florida! Ingen som läser det här nyhetsbrevet har missat ståhejet kring incidenten i Oldsmars vattenverk. Det finns massor skrivet om händelsen, exempelvis Nozomi, Krebs on Security, Arstechnica och CISA. Man kan (bevisligen) ha väldigt olika åsikter om det som hände, varför det hände och hur farligt det egentligen var i praktiken. Jag ska inte trött ut dig med ytterligare en tolkning av incidenten utan bara konstatera att namnet Oldsmar nu har gått till historien och kommer tillsammans med namn som Maroochy, Stuxnet, BlackEnergy, Kemuri, Crashoverride och Triton att dyka upp säkerhetskonferensernas Powerpoint-bilder under lång tid framöver. Vi får se till att göra bästa nytta av incidenten för att illustrera varför det är viktigt arbete vi gör inom OT-Säkerhet och att hotet mot samhällets infrastruktur finns där, oavsett varifrån det egentligen kommer. Personligen kommer jag nog minnas Oldsmar lite extra för att de inblandade var så transparanta om vad som hänt och skötte informationen ovanligt bra. Det är ju något som visat sig vara uppskattat, oavsett om du är sheriff i Oldsmar eller säkerhetschef på Norsk Hydro. Jobba med mig - nu ännu mera! I förra nyhetsbrevet berättade jag om den Lösningsarkitekt för Säkerhet som vi söker till Atea i Västerås. Nu vill vi också ha en erfaren kollega kring informationssäkerhet där vi har många spännande möjligheter, inte bara kring OT-kunder. Dessutom vill vi ha en erfaren DataCenter-specialist som vi kan släppa lös i kundernas säkerhetsklassade miljöer. Är du rätt person eller känner du den? Hör av dig till mig eller läs mer på vår karriär-sida. Läsvärt! Ett blogginlägg på Ateas officiella blogg som jag själv skrev kring förslaget till nytt NIS-direktiv. https://www.atea.se/it-specialisten/sakerhet/ett-helt-nytt-nis-direktiv-ar-pa-vag/ MSB släppte nyligen sin årsrapport för 2020 kring det nuvarande NIS-direktivet. Riktigt läsvärd med mycket intressanta poänger. De har också givit ut "Samlad informations- och cybersäkerhetshandlingsplan 2019–2022 Redovisning mars 2021" som bland annat pekar på en nationell satsning på säkerhet i "cyberfysiska system" och även en fortsatt samverkan med FOI kring en nationell Cyber Range, dvs möjlighet att öva på att hantera angrepp. Jag tidigare pekat dig till fantastiska rapporter och andra publikationer från FOI, Totalförsvarets Forskningsinstitut. Deras sajt är en rejäl skatt med välgjorda och innehållsrika texter på alla möjliga områden som jag verkligen rekommenderar att du tittar närmare på. ISA och ISAGCA (ISA Global Cybersecurity Alliance) har lagt fram sin plan för 2021 och kommer glädjande nog bedriva en hård satsning kring allas vår favorit-standard ISA/IEC 62443. Den som använder mobil kommunikation och känner för lite tekniska experiment kan titta närmare på EFFs projekt CrocodileHunter. Ett spännande open-source verktyg för att leta efter falska basstationer, ofta kallade "IMSI Catchers", "Stingsrays" eller "Hailstorms". Det här är ett spännande område som förstås inte är specifikt för OT-Säkerhet men som inte ska underskattas. Det kan jag personligen skriva under på baserat på egen erfarenhet... Apropå mobilkommunikation så snubblade jag över en artikel och ett riktigt genomarbetat papper från Trend Micro kring säkerheten i användningen av 5G i bilar: "Cybersecurity for Connected Cars - Exploring Risks in 5G, Cloud, and Other Connected Technologies". Läs och njut! Mer på samma tema är en artikel om attacker mot LoRaWAN från Trend Micro. LoRaWAN är ju en av de mer framträdande kommunikationsmetoderna som är speciellt anpassat för IoT-världen med väldigt låg bandbredd men också extremt låg energiförbrukning. Dragos har gjort en ny variant på årsrapport för 2020 där du kan utforska deras data interaktivt förutom den klassiska rapporten. Kul och intressant! Det här nyhetsbrevet skickas till mottagare med intresse av säkerhet inom OT. Det produceras av Mats Karlsson Landré på Atea Sverige och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats.karlsson-landre@atea.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Den här gången tittar jag på riktigt cool teknik för virtuell patchning av zero-days i OT-system så att du kan slippa störa din verksamhet med omstarter! Jag återvänder också till NIS2 och tittar närmare på vad som är på väg! Sedan blir jag lite filosofisk och funderar kring alla ord som vi slänger oss med och vad som händer när vi missförstår varandra. Plus en massa annat spännande förstås! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla igång den fysiska processen och att se till att inget farligt händer som kan skada medarbetare eller miljö. Det innebär i sin tur att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är en av anledningarna till att jag skriver om det. Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här artikeln delas eller i Säkerhetsbubblan på Facebook. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen! Mats filosoferar... Den här artikeln får du läsa på egen risk! :-) Om du inte ser upp kan du bli mer förvirrad än du var innan av mitt filosoferande kring några ord och begrepp som varit populära på sistone... Det är förstås viktigt att alla är överens om vad ett visst ord betyder! Det är ju grunden till att kunna ha ett språk överhuvudtaget. De flesta håller nog med om att samhället generellt har mer stingsligt över vad vi lägger olika ord, det är inte nödvändigtvis fel men ändå ett potentiellt problem. Inom OT-världen är det förstås likadant och jag tycker att det har blivit värre på senare år. En anledning är förstås att både tekniken blivit allt mer komplex och att hoten mot vår säkerhet samtidigt blivit större och svårare att överblicka. Vissa ord verkar folk gå igång på mer än andra. Senaste året har "IT/OT-convergence" varit ett sådant begrepp som häftigt debatterades, både offentligt och i mer inofficiellt diskussionsgrupper på Internet. Som en naturlig följd av den diskussionen kommer frågan om segmenteringsprinciper och Purdue-modellens eventuella förestående död alltid upp. Ett annat ord som passar in i samma resonemang är "Edge-computing". Vad är det egentligen? Och vad betyder det för de andra diskussionerna? Drar vi in begreppet "IoT" blir det ännu fler frågetecken. För att inte tala om begreppen vi ska använda för att beskriva våra risker och skyddsbehov. Är det det gamla vanliga "CIA" - Confidentiality, Integrity & Availability som vi ärvt från klassisk informationssäkerhet? Eller passar kanske "COO" - Controlability, Operability & Observability från teoretisk processanalys bättre för OT? På senare tid har "SRP" - Safety, Resilience & Performance seglat upp som en favorit för många klassiska OT-verksamheter för att trycka på skyddet av människor och miljö. Även själva begreppet OT, som ju delvis uppstod som ett försök att komma bort från en massa teknik- och branschspecifika ord, går förstås att ge en massa olika innebörder. Som vanligt finns det förstås inte en sanning här! Och en orsak till det är väl som vanligt att de som diskuterar har väldigt olika världsbilder. Jobbar du med olje-raffinaderier ser du självklart helt annorlunda på alla dessa begrepp jämfört med om du tillverkar tandpetare. Är du dessutom tillverkare av utrustning eller mjukvara har du alltid en egen agenda i bakhuvudet som påverkar den bild som du försöker övertyga resten av världen är rätt. Jag ska inte på något vis försöka göra sken av att jag genomskådat alla dessa diskussioner men kanske har vi som dagligen rör oss mellan olika branscher och mellan produkter från olika tillverkare lite lättare att konstatera att det inte finns en världsbild som passar alla. Lika lite som att det sällan finns enkla svar på svåra frågor, det gäller ju faktiskt i alla områden i livet! Det första att inse är att det inte går att diskutera alla dessa begrepp var för sig. De hänger alla ihop med varandra och det är bara genom att vara övertydlig med vad som menas som vi kan bli duktiga på att kommunicera våra tankar. Allt säkerhetsarbete går i slutändan ut på att adressera risk. Jag tror det är där man måste börja även när det gäller våra begrepp. Beroende på hur hoten mot din verksamhet ser ut måste du förstås välja en begreppsvärld som passar. Har du en OT-verksamhet som hanterar känslig information, tillverkningsrecept är kanske det vanligaste exemplet, ja då kanske hela ditt säkerhetsarbete bygger på klassisk informationssäkerhetsanalys och "CIA-begreppen". Om du producerar LPG-gas är du förmodligen mer fokuserad på att inget farligt händer i din anläggning, då kanske ditt Seveso-arbete gör det mer rimligt att resonera utifrån "Safety/Resilience/Performance"? Men för att vara tydlig kanske du ändå måste kombinera begrepp från flera modeller så att bilden blir klar för alla? När vi kommer till segmentering och Purdue-modellen känner jag att det vanligaste misstaget är att man sätter likhetstecken mellan zoner i segmenteringsmodellen och den fysiska nätverksmodellen. Det är exempelvis jättevanligt att man ser ordet "Cloud" eller "Internet" överst i modellen. Jag tillhör dem som hävdar att det är feltänkt! Bara för att Internet är bärare av information eller att en applikation snurrar i molnet betyder ju inte det automatiskt att skyddet är sämre än i någon av de "interna" zonerna. En källa till förvirring är att Purdue-modellen, när den skapades i början av 90-talet, inte handlade om säkerhet alls utan beskrev hur man skulle bygga en bra arkitektur enligt standarden ISA-95. När säkerhetsresonemangen i ISA-99 övertog begreppen från ISA-95 var det ingen tvekan om att den då tillgängliga tekniken gjorde att varje lager i modellen blev egna nät på egen hårdvara. Så är inte verkligheten idag! Visst finns det många situationer där man tvingas ha egna fysiska nät för de olika säkerhetszonerna men i allmänhet handlar det egentligen om ordning och reda kombinerat med vad som går att bygga och administrera. Å andra sidan finns det andra, mer praktiska, skäl till att inte vad som helst går att köra i molnet. Det här med typiska cykeltider för de olika lagren i modellen tycker jag också är ett bra sätt att hänga upp tänkandet. Nära den fysiska processen (0 - 2) arbetar våra system med händelser som mäts i bråkdelar av en sekund, på MES-nivån (3) är det uppe i timmar, skiftlag eller dagar och på ERP-nivån (4) betydligt längre än så. Det är ju också här som "Fog-computing" och "Edge-computing" helt naturligt uppstod i ett behov av att flytta molnet "närmare marken" eftersom fysikens lagar började sätta gränser för hur vår system-arkitektur kan se ut. När kraven på svarstider närmar sig noll och mängden data som ska hanteras sväller enormt blir vissa lösningar helt enkelt inte möjliga! I kölvattnet till resonemang om Internet och segmentering dyker IoT upp som en källa till missförstånd. Om det är IoT - "Internet Of Things" så måste det ju kommunicera på Internet, det hörs ju på namnet! Och om IoT-prylarna pratar med system på Internet så betyder det ju att Purdue-modellen kollapsar om enheter nere i processen ska tillåtas prata direkt ut på Internet! Eller? Det väldiga insamlandet av information som vi ser i den snabba digitaliseringen av alla branscher skapar ofta förvirring just kring det här. Svaret är som vanligt: "Det beror på!". Sätter du en vibrationssensor på ett kullager som skickar data direkt till något analyssystem är det förmodligen "IoT". Samlar du in data från PLCer och annan processnära utrustning handlar det nog snarare om klassisk system-integration. Vad ska inkluderas i själva begreppet OT då? Frågar du mig handlar det inte om skillnader i teknik eller bransch utan vilka problem vi försöker lösa. Är ditt fokus på information sysslar du med IT och är det på att styra någon fysisk process så är det OT. I praktiken är det förstås inte så svart eller vitt utan det finns en hel skala av grått där emellan. Det är också därför det där "IT/OT convergence" är så viktigt att få rätt, dessa två världar behöver hanteras på ett samordnat sätt men det betyder inte att de nödvändigtvis kommer växa samman helt! Som alltid när det gäller språk utvecklas nya betydelser av ord i takt med att behoven av dem förändras. Ett exempel är att man sällan hör någon tala om "Fog-computing" numera sedan "Edge-computing" övertog i princip samma betydelse. Den här ständiga utvecklingen av språket kommer förstås också alltid kunna leda till missförstånd, det är ju inte unikt för vår bransch. Om jag ska sammanfatta mina egna insikter så är de sedan länge att vi måste vara försiktiga med att anta att andra lägger samma betydelse i orden vi använder som vi själva gör. Det handlar ofta bara om att orka förklara vad man menar! På samma måste IT-folk och OT-folk vara väldigt ödmjuka inför att de har helt olika världsbilder när de allt mer "tvingas" samarbeta. Kom ihåg att exakt samma teknik oftast måste användas på helt olika sätt för att lösa IT-behov och OT-behov! OT-säkerhet utan patchar! Jag genomför just nu ett uppdrag åt en industriell OT-kund där vi använder IPS-skydd och brandväggar från TxOne för att knyta ihop nätverk som tidigare varit avskilda. Om du har följt mitt nyhetsbrev länge kanske du minns att jag skrev om en tidig version av deras produkter i nyhetsbrev 14 och med en uppdatering i nyhetsbrev 17. TxOne är ju ett riktigt spännande möte mellan IT och OT där Trend Micro har krokat arm med Moxa för att skapa något som kombinerar deras respektive traditionella styrkor. Sedan jag skrev om dem senast har det hänt en del, så jag tänkte det kunde vara dags för en uppdatering. Trend Micro ligger ju som kanske bekant bakom ZDI, Zero Day Initiative, som är den största köparen av sårbarheter bland alla bug-bounty organisationer. Det ger dem tidig tillgång till stora mängder nya sårbarheter som de bland annat använder för att snabbt kunna erbjuda skydd via sina säkerhetsprodukter. För TxOne betyder detta att man kan erbjuda virtuell patchning av sårbarheter redan innan tillverkarens egna patchar släppts, dvs man kan adressera zero-days med signaturer, vilket ju är både coolt och unikt. ZDI har på senare år fokuserat allt mer på OT-sårbarheter, vilket exempelvis märktes på förra årets S4-konferens då tävlingen Pwn2Own hölls med enbart OT-produkter och där 250 000 dollar delades ut till vinnarna. De annonserade nyligen också att ZDI var störst på OT-sårbarheter under 2020. TxOne har också lösningar för skydd av klienter i form av produkter för vitlistning, inventering och virusskanning men idag tittar vi på deras nätverksprodukter. (Du kan läsa om deras helt unika sticka för virusskanning i nyhetsbrev 16.) Produktserien består av en management-konsol, en brandvägg och två varianter på IPS. Namngivningen av produkterna andas modern OT-teknik, de kallas "EdgeFire" och "EdgeIPS". Om du inte är bekant med begreppet IPS, "Intrusion Prevention System", kan man kort och slarvigt beskriva det som ett slags virusskydd som tittar på nätverkstrafik. Istället för att titta efter virus tittar man efter tecken på en attack och när en sådan hittas stoppas helt enkelt den aktuella anslutningen utan att påverka all annan trafik som passerar på samma anslutning. Det här är en teknik som man traditionellt sällan vågat använda inom OT-världen eftersom alla tillgängliga lösningar varit fokuserade på IT-världens förutsättningar. Som OT-person skall det till ganska mycket innan man vågar stoppa in säkerhetsåtgärder som skulle kunna påverka viktig kommunikation. Nu kan man våga det! Du kan direkt se att brandväggen och den lilla IPS:en fysiskt är helt inriktade på OT-marknaden. Det är två smidiga men ordentligt ruggade produkter med rejäla kylflänsar som gör att de kan monteras ute i anläggningen på DIN-skena eller vägg, körs på 12-48 Volt med möjlighet till redundant matning, de fungerar mellan -40 ˚C och 75 ˚C och har MTBF på över 700 000 timmar! IPS:en har hårdvaru-bypass för att inte störa verksamheten även om den skulle gå sönder. (Läs mer om detta i nyhetsbrev 20.) Jag gillar verkligen den massiva känslan som dessa små enheter ger i handen! IPS:en är bara 4x7x8 cm vilket gör det lätt att få plats i trånga apparatskåp! Trots det minimala formatet är den specad för att kunna hantera minst 200 Mb/s med full IPS-funktionalitet. Numera finns även ett par storasyskon till IPS:en. Som du kanske minns från nyhetsbrev 17 finns det en monsterversion där man stoppat in 24 respektive 48 enheter i ett rackmonterat chassi och kryddat med ännu mera funktionalitet. Nu snackar vi totalt 20 Gb/s med IPS påslaget! Den här manicken är ju som synes inte tänkt att sitta ute i ett apparatskåp någonstans utan ska placeras i ett nätverksrum eller en datorhall, men i övrigt är den helt fokuserad på OT-världens förutsättningar! Man ska inte underskatta den lilla IPS-enheten på grund av dess format, exempelvis har den riktigt imponerande brandväggsfunktionalitet för OT-protokoll! Vill man exempelvis begränsa vissa Modbus-klienter till att bara kunna göra läs-operation så gör man enkelt det. Vill du gå riktigt bananas kan du styra åtkomst ner på Coil-nivå i Modbus eller på individuella Service Codes i CIP! Idag har man protokoll-medveten filtrering för Modbus, CIP, S7Comm, Profinet, SLMP, MELSOFT, SECS/GEM och TOYOPUC men det verkar komma nya protokoll hela tiden. De stora IPS:erna har jag inte haft möjlighet att titta på ännu så där tänkte jag återkomma i ett framtida nyhetsbrev. Brandväggen har samma funktioner som den lilla IPS:en förutom att den saknar hårdvaru-bypass, men den tillför istället en rad andra funktioner. Intressant är att man kan välja att köra den som en layer 3 enhet, dvs som en traditionell gateway, eller som en brygga på layer 2 vilket gör att den likt IPS:en blir en "bump-in-the-wire" fast då med en inbyggd switch och fler anslutningar. Den har SFP-anslutning och kan därför också anslutas direkt med fiber. Om man använder den som gateway har den alla grundläggande funktioner man kan förvänta sig av en sådan, exempelvis NAT, port mapping samt porthantering för FTP/SIP/H.323. Man får stor frihet i hanteringen av NAT om man behöver mer än den automatiska funktionen, det finns stöd för både översättningsregler och klassisk port forwarding. Hur ser IPS-skyddet och den virtuella patchningen ut då? Det är ju ändå de viktigaste funktionerna för den här typen av utrustning! Svaret är helt enkelt att jag tycker det ser riktigt bra ut. Här märker man släktskapet med de stora TippingPoint-IPSerna från Trend Micro. På bilden ser du exempelvis profiler för skyddet mot Ripple20 som var en av många läskiga fel som upptäcktes i TCP/IP-stackar under 2020. Positivt är också att riktigt gamla sårbarheter adresseras eftersom det inte är helt ovanligt med äldre utrustning i OT-miljöer... Alla attack-profiler kommer med en föreslagen åtgärd men du kan alltid välja en annan om du vill. Några stickprov bekräftar att man hittar skydd mot en massa viktiga sårbarheter i Windows och Linux, jag såg exempelvis Zerologon, EternalBlue och ShellShock men även sårbarheter i underliggande applikationer som man kanske inte alltid är medveten om att man kör: Apache Struts och PHP. Det finns också skydd mot generella attacker såsom brute-force mot RDP, POP3 eller Webtjänster. I mitt exempel här intill har jag testat IPS-funktionen med hjälp av EternalBlue-attacken känd från WannaCry, NotPetya, Shadow Brokers och Equation Group. Det är en radda riktigt otrevliga sårbarheter i SMB-protokollet från Windows-världen. Som synes är det inga problem att identifiera attacken och om IPS:en körs i blockeringsläge så stoppas attacken direkt. Men även om man väljer att enbart köra detektering är det mycket värt att få reda på när sånt här dyker upp kring dina OT-system! Något som jag tycker är väldigt viktigt om jag ska lita på den här typen av säkerhets-system i viktiga produktionsmiljöer är att jag kan hantera uppdateringar på ett kvalitetssäkrat och styrt sätt. Typiskt vill man kanske automatiskt uppdatera signaturer på vissa enheter men bestämma själv på andra? Här kan du exempelvis skapa en grupp för testenheter och en annan för produktionsenheter. På produktions-gruppen väljer du själv vilken version som ska användas på alla system i den gruppen medan testgruppen alltid uppdateras efter hand som nya version dyker upp. System kan flyttas enkelt mellan de två grupperna. För varje grupp kan du dessutom välja om skydden ska vara aktiva eller bara logga angrepp - perfekt när man vill bekräfta att normal trafik inte blockeras av misstag. Riktigt smidigt och elegant! Man får bra statistik om de trafiktyper som rör sig på nätet och vilka system som "pratar", vilket ger en bra förståelse för vad som faktiskt finns där. Normalt sett kan de här enheterna bara agera på den nätverkstrafik som passerar dem. Om man vill ha mer information om vilka system som finns på nätverket kan man slå det som TxOne kallar "Active Query". Då kommer aktiva, men försiktiga, frågor ställas på nätet för att fråga alla system om deras status, i nuvarande version stöds Modbus, CIP, FINS och SMB. Ett snyggt och praktiskt sätt att även kunna hitta system som inte är så "pratiga". All administration kan ske lokalt på varje enhet men om du har många så blir det snabbt enklare att använda administrationskonsolen "OT Defense Console". Jag tycker den är väldigt lättjobbad med ungefär samma upplägg som de flesta konsolverktyg för brandväggar och IPS:er. Lite speciellt är att man fokuserat på att göra det enkelt att administrera många IPS:er med samma konfiguration genom möjligheten att skapa konfigurationsgrupper. Elegant och snyggt! All hantering av uppdateringar och uppgraderingar sker i konsolen, både för konsolen själv, firmware till alla enheter, IPS-signaturer och DPI-signaturer. Har du inte Internetaccess från konsolen så laddar du upp uppdateringsfiler i konsolen och skickar ut dem därifrån. Om man absolut vill finns alltid möjligheten till lokal administration kvar direkt på varje system. Konsolen är en virtuell appliance som du kör i VMware eller KVM. Den är enkel att installera och få igång. Jag fick nyligen tillfälle att göra en uppgradering av administrationskonsolen vilket ju kan vara lite klurigt i vissa säkerhets-system. Uppgraderingen i mitt OT-labb var väldigt enkel och till min glädje dök ett antal nya funktioner upp som löste de svagheter som jag såg i den tidigare versionen, exempelvis stöd för inloggning via TACACS+, multipla syslogservrar, SNMP traps och bättre filtrering av SMB. Använder man Pro-versionen av IPS:en får man en snygg möjlighet till automatisk inspelning av nätverkstrafiken vid händelser. Om TxOne fortsätter att lägga till vass funktionalitet i den här takten kommer de vara ostoppbara! Även om konsolen har stöd för inloggning baserat på TACACS+ så finns även en smidig inbyggd användarhantering. Konsolen har ovanligt bra inbyggt skydd av administratörernas inloggningar genom att både kunna sätta krav på lösenordskvalitet och inbyggt skydd mot bruteforce-attacker. Stöd för att skapa roller och grupper saknas men det gör inte så mycket eftersom man har fyra nivåer av användartyper att välja mellan (admin, operator, auditor och viewer) kombinerat med att man istället skapar grupper av de enheter som administreras och som tilldelas till olika användare. Ett smidigt upplägg som fungerar bra i praktiken. Edge-serien från TxOne ger oss en möjlighet att börja adressera problematiken som brukar kallas "insecure by design", alltså faktumet att det inte räcker att vara duktig på att uppdatera våra system eftersom nästan alla OT-system bygger på i grunden osäkra nätverksprotokoll. Så länge inte tekniken förändras helt måste vi kombinera god underhållshygien med klassisk nätverkssegmentering och zon-indelning. Edge-produkterna från TxOne hjälper oss med både segmentering och virtuella uppdateringar, till och med där det inte finns några uppdateringar att få från leverantören! Min högst personliga syn på Edge-serien från TxOne är att man faktiskt lyckats ta det bästa från en IT-leverantör och kombinera det med det bästa från en OT-leverantör i en gemensam produktserie! Man får en lösning som IT-folket känner igen sig i men som samtidigt kan ge OT-folket den känsla av trygghet som behövs för att våga stoppa in säkerhetslösningar i OT-miljön. NIS2 igen... Jag skrev i nyhetsbrev 21 om förslaget till om ett rejält utökat NIS-direktiv som lades fram strax innan jul. Jag noterar att det fortfarande är ganska tyst om detta i media vilket förvånar mig lite. Visst är det bara ett förslag än så länge men det är å andra sidan ganska brutala tillägg som föreslås kring både vilka verksamheter som omfattas, tillsynsmyndigheternas möjlighet till sanktioner och inte minst i höjda kravnivåer. Hittills har jag mest sett analyser från olika jurist-byråer som inte tillför så mycket utöver en ren sammanfattning av det massiva materialet. Jag har pratat med personer som arbetar med NIS-tillsyn på några av de myndigheter som har detta uppdrag idag. Där är det fortfarande för nytt för att de ska dra några stora slutsatser men några gemensamma drag ser man i det man reagerar över: En rejäl utökning av de branscher som omfattas där det som kanske sticker ut mest är ganska många tillverkande industrier. Det talas om myndighetstillsyn och rejält utökad möjlighet att utdöma böter i samma storleksordning som i GDPR. (10 MEUR eller 2% av total omsättning) En anmärkningsvärd punkt är att tillsynsmyndigheter ska ha mandat att tillfälligt förhindra ansvariga personer att verka i verksamhetens ledning om de misslyckats åtgärda förlägganden på ett effektivt sätt. Det är egentligen två direktiv som lagts fram, NIS2 och CER - "Directive on the resilience of critical entities". Båda ingår i den strategi för EUs Cybersäkerhet som lades fram samtidigt. Det är alltså en mycket komplex bild att tolka för att se helheten. NIS2 fokuserar främst på Cybersäkerhet medan CER går ett par steg till och ställer krav på verksamheten i sig. Det talas om krav på riskanalyser och samverkan. Krav på utbildning av ledningen för att kunna förstå risker och utmaningar kopplat till Cybersäkerhet. Krav på riskanalyser och säkerhetspolicies Krav på incidenthantering, både förebyggande och hanterande Krav på kontinuitetsplanering och krishantering, inte bara för IT/OT - utan för verksamheten Krav på säkerhet kopplat till leverantörer, upphandling, utveckling, underhåll och sårbarhetshantering Krav på mätning och kontroll av säkerhetsåtgärdernas effektivitet Krav på användning av kryptografi. Krav på rapportering av hot och sårbarheter även om de inte ledde till skada Krav på samordnad rapportering och hantering av sårbarheter inom både länder och EU-gemensamt. Jag är väldigt nyfiken på att höra vad mina läsare har för tankar kring förslaget! Hör av dig eller kommentera nyhetsbrevets inlägg på LinkedIn! Om du själv vill dyka ner i EUs texter så får du några pekare av mig här: Allmän information: https://ec.europa.eu/digital-single-market/en/news/proposal-directive-measures-high-common-level-cybersecurity-across-union Det här är den juridiska texten: https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=72166 Några spännande exempel från innehållet: Sanktioner i samma storleksordning som GDPR: 10 MEUR eller 2% av total omsättning (Article 31, sid 56) Tillsynsmyndigheter ska ha mandat att tillfälligt förhindra ansvariga personer att verka i verksamhetens ledning om de misslyckats åtgärda förlägganden på ett effektivt sätt (Article 29, punkt 5b, sid 54) Krav på utbildning av ledningen för att kunna förstå risker och utmaningar kopplat till Cybersäkerhet (Article 17, punkt 2, sid 45) Krav på en massa annat: riskanalyser, säkerhetspolicies, incidenthantering, kontinuitetsplanering, krishantering, leverantörssäkerhet, mätning av säkerhetsarbetets effektivitet, sårbarhetsrapportering även om inte incidenter uppstår osv Small- och micro-verksamheter kan vara undantagna. (Article 2, punkt 1, sid 30) Definitionerna hittar du här: https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:124:0036:0041:EN:PDF Micro: <10 anställda och omsättning < 2 MEUR (Se Annex, Article 2, sidan 39) Small: <50 anställda och omsättning < 10 MEUR Annex I, II & III: https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=72172 Innehåller lista över de berörda verksamhetsområdena. Annex I listar ”Essential entities”, exempelvis: Fjärrvärme: punkt 1b (Sidan 2) Refererar till definitioner som finns här: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2018.328.01.0082.01.ENG Gasproduktion punkt 1d (Sidan 2) Refererar till definitioner som finns här: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A32009L0073 (Här finns också texter som jämställer biogas med naturgas för dessa regler.) Annex II listar ”Important entities”, exempelvis: Avfallshantering: punkt 2 (Sidan 9) Refererar till definitioner som finns här: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32008L0098 Att gå över gränsen utan att göra sig illa... Brittiska NCSC (National Cyber Security Center) producerar ständigt material med riktig hög kvalitet. Häromdagen släppte de "Security principles for cross domain solutions" där de delar med sig av klokskap hur man för över information mellan två nätverk som har olika säkerhetsförutsättningar. Jag var inne på den här typen av lösningar i slutet av min artikel om Advenicas nätverksdiod i förra nyhetsbrevet. Som vanligt levererar NCSC insikter på ett sätt som går att använda direkt. Vad är detta? Vem behöver det? Vad är viktigt? Vilka risker tas omhand och vilka nya risker kan uppstå? Hur implementerar man sådana här funktioner? Som jag var inne på sist är det här riktigt kraftfulla lösningar som passar väldigt bra för OT-världen där man ofta vill ha riktigt bra koll på gränsytor och kommunikation med omvärlden. Tiden när vi kunde hävda att vi hade luftgap mellan IT och OT är sedan länge över för de flesta. På samma sätt är tiden förbi när man kunde peka på sin brandvägg och hävda att den tar hand om hoten. Nu krävs en kombination av innehållsstyrning och övervakning av trafiken i känsliga övergångar mellan olika miljöer! Klokskap från FOI David Lindahl på FOI (Totalförsvarets forskningsinstitut) är en annan pålitlig producent av kvalitetsmaterial. Strax före jul släpptes "Omvärldsbevakning statsattribuerade cyberoperationer 2020" som är väl värt att läsa för den som arbetar med riskanalyser eller säkerhetsåtgärder i känsliga miljöer. David ger oss sina reflektioner kring vad som fungerar angreppsmässigt och varför vissa grupper beter sig som de gör. För oss som intresserar oss för OT-Säkerhet finns några exempel på angrepp mot "Styrsystem" som David kallar det. Använder du OPC? Se upp! Claroty släppte nyligen mer information om ett antal riktigt allvarliga sårbarheter i flera leverantörers OPC-produkter. Vi har tidigare sett annonseringen från respektive leverantör om viktiga uppdateringar och nu ger Claroty hela bilden. Det gäller produkter från Softing, Kepware PTC och Matrikon som berör både OPC DA och OPC UA. Alla tre är välkända leverantörer för de som använder OPC och problemen gäller en hel rad produkter från dessa leverantörer. Mer detaljer hittar du i Clarotys annonsering och hos respektive leverantör. Det finns också en hel del analyser i media, exempelvis hos DarkReading och SecurityWeek. Med tanke på hur viktigt OPC oftast är för de verksamheter som använder det kombinerat med hur lätt de flesta av sårbarheterna är att utnyttja är situationen onekligen allvarlig. Kanske speciellt för OPC UA som ju annars betraktas som säkrare än OPC DA och därmed kan vara mer exponerad i nätverken. Den här typen av produkter tenderar ibland också att bli lite bortglömd när det gäller patchbevakning. Nu är det dags att uppdatera! De där leverantörerna alltså... Joe Weiss levererade i mitten av Januari en bra reflektion över de två största (i alla fall ur ett amerikanskt perspektiv) OT-säkerhetshändelserna under 2020: Solarwinds-hacket och upptäckta bakdörrar i transformatorer för det amerikanska stamnätet. Han ondgör sig över att säkerhets-branschen sprungit åt fel håll och att vi som grupp ignorerar behovet av att arbeta med säkerhet närmare den fysiska processen. Diskussionen om attacker via leverantörskedjan blir förstås ännu mer tillspetsad när man kommer till angrepp som levereras med hjälp av leverantören! Tänkvärda ord om ett riktigt svårt problem! Rekommenderad läsning... Dale Peterson resonerar kring en rapport som förutsäger hur många kända sårbarheter som kommer att dyka upp under 2021 och vad resursbehovet som följer av det betyder för vår förmåga att hänga med i det eviga patchandet? En av mina nyupptäckta idoler, Jonas Berge, skrev i höstas en artikel om standarder i OT-världen. Han gör många intressanta poänger men kretsar hela tiden kring OPC-UA som ju verkligen håller på att bli en standard på riktigt! Men han väver också in jämförelser med standarder i IT-världen, buss-protokoll, filformat och framför allt NAMUR Open Archtecture (NOA). Inget av detta har något specifikt med säkerhet att göra samtidigt som den standardisering vi kan uppnå med OPC-UA i kombination med kloka design-principer i stil med NOA gör det möjligt att bygga säkra miljöer. Det är ju trots allt faktiskt så att det är kring integrationer som de flesta sårbarheter uppstår! En riktigt intressant artikel från "Air & Space Magazine" om hackning av kritiska system i flygplan. En rapport om ett antal riktigt otrevliga sårbarheter i en WiFi-modul från RealTek som bland annat sägs vara vanlig inom industriella tillämpningar. Sårbarheterna är möjliga att utnyttja på distans över WiFi utan att ha tillgång till kryptonycklar eller annan autentisering! Jag har inte sett någon sammanställning från systemleverantörer ännu men det låter riktigt allvarligt! Ett bra White Paper från IIC, Industrial Internet Consortium, som reder ut begrepp och utmaningar kring Edge computing. En nygammal attack mot ett osupportat operativsystem, Windows 7, som de flesta av oss fortfarande använder... Energimyndigheten gav nyligen ut föreskrifter och allmänna råd, STEMFS 2021:3, kopplat till NIS-direktivet där man ställer krav och ger råd för bland annat OT-system. Det här nyhetsbrevet skickas till mottagare med intresse av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Segmentering är temat för detta nyhetsbrev kring OT-Säkerhet. Jag tittar närmare på en riktigt häftig säkerhets-produkt, en nätverksdiod från svenska Advenica! Nu kan du luta dig mot fysikens lagar för att segmentera dina system! Det blir en spännande artikel om att segmentera information och sedan blir det den äldsta sortens segmentering: Fysiskt skydd! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är en kusin till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter. Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se . Jag lovar att din mejladress inte används till något annat än detta! Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen! Läskigaste nyheten på länge... Tamás Jós, mer känd under namnet SkelSec, twittrade nyligen något som till en början mest var imponerande men som sedan blir allt mer skrämmande när jag funderar över konsekvenserna. WebAssembly är ett sätt att köra binär kod i exempelvis webbläsare som är en av W3Cs rekommenderade standarder sedan ett drygt år tillbaka. Det SkelSec gjort är att implementera det klassiska Windows-protokollet SMB i WebAssembly. Fundera på vad det betyder... Nu kan alltså en sida som en användare öppnat i sin webbläsare agera som SMB-klient/server på det lokala nätverket... Sedan dess har han även implementerat LDAP... En uppenbar första tanke är vad detta betyder i form av nya möjligheter för producenter av skadlig kod att göra helt nya saker! Vi får se vart det tar vägen... Men vi som tänker på OT-säkerhet ser ju förstås ytterligare problem... Om Tamás lyckats implementera ett så pass komplext protokoll som SMB, så blir det inget problem för någon annan att implementera Modbus, BACnet eller PROFINET! Aldrig har vi väl fått en så tydlig orsak till att bli duktiga på att segmentera våra nätverk och hålla noga koll på trafiken i dem! Det här blir nästan en lite för bra övergång till nästa artikel här nedanför, apropå segmentering... Stopp! Det är enkelriktat här! Det finns många tillfällen när man önskar att man kunde se till att information verkligen bara kan skickas åt ett håll. Det kan handla om att loggar från ett känsligt OT-system ska skickas ut till ett analysverktyg på "IT-sidan" eller kanske att det ska gå att skicka in uppdateringar till ett system men inte hämta känslig information från det. För OT-verksamheter handlar det ofta om att replikera en information från en historian ut till kontorsnätverket, att få ut loggar till en gemensam SIEM-lösning eller att skicka en kopia på all nätverkstrafik till en IDS utan att riskera att förbindelsen kan användas för att angripa OT-världen. Generellt så handlar det om att bara kunna skicka till ett nät där man vill skydda hemlig information, alternativt att bara kunna skicka från ett nät där man vill skydda integriteten hos system eller information. Man kan komma ganska långt med enkla och klassiska metoder som brandväggar och härdade applikationer men det finns fortfarande alltid en risk för att någon sårbarhet går att utnyttja "åt fel håll". In på scenen kommer då nätverksdioden! Det här är en fysisk utrustning som med fysiska åtgärder ser till att information garanterat bara kan strömma åt ett håll. I sin enklaste form är det en vanlig fiberanslutning där ena sidan bara har en sändande laser och den andra sidan bara kan ta emot. Då blir det ju bevisligen omöjligt att skicka någonting åt andra hållet! En sådan enkel diod fungerar bra om man skickar nätverkstrafik som inte behöver svar. Tekniskt sett skulle det kunna vara gammaldags Syslog som skickas med udp-paket eller kanske Netflow som fungerar på ett liknande sätt. Men så snart man försöker kommunicera via tcp fungerar det inte eftersom handskakningen mellan de kommunicerande enheterna inte kommer fram! Lösningen blir att sätta en proxyfunktion på var sin sida om den där fibern. Dessa får i uppdrag att "fejka" handskakning mm på ett sätt som gör att de kommunicerande enheterna upplever kommunikationen "som vanligt" trots att den gör ett envägshopp på vägen. Som du förstår kan det bli ganska klurigt att få till stöd för vissa nätverksprotokoll... Jag har tittat närmare på just en sådan lösning, det är en SecuriCDS DD1000i från Malmö-baserade firman Advenica. Advenica har flera olika modeller av dioder, allt från det enklaste till det mycket sofistikerade. DD1000i är i den mer sofistikerade änden av den skalan. Det lilla fönstret i mitten av utrustningen går rakt igenom lådan och det enda som går mellan vänster och höger halva är den där fiberanslutningen. Det är en tjusig illustration av att det under huven är två helt separata servrar som kommunicerar via den fibern. Att det är två separata system syns ännu tydligare på baksidan. Generellt kallas de två sidorna "upstream" och "downstream" för att göra det tydligt åt vilket håll informationen ska flöda. Det finns tre tjänster inbyggda: "NTP Bridge service" som skickar vidare rätt tid från upstream-sidan till downstream. "Syslog service" som skickar vidare loggar från enheter på upstream-nätverket till downstream-sidan. "UDP/TCP service" som kan konfigureras för att skicka vidare en eller flera nätverksprotokoll från system på upstream-sidans nätverk till downstream. Trafiken skickas då "rått" utan att dioden försöker tolka innehållet, vilket är användbart för protokoll som i sig är informationsmässigt enkelriktade. Utöver de inbyggda protokollen kan man lägga till stöd för filöverföring med ftp/sftp, e-post med SMTP och filhantering med NFS eller SMB. Om man saknar ett protokoll är det alltid möjligt att lägga till stöd i produkten. När man valt protokoll får man svara på några konfigurationsinställningar och sedan skapa en konfigurationsfil. Denna fil laddar man sedan upp i administrationsgränssnitten för var och en av de två halvorna i dioden. Status för tjänsterna kan man se i administrationsgränssnittet och man kan skicka alla loggar via syslog till ett SIEM-system. Även här får man tänka till lite eftersom det är två systemhalvor i samma låda och därmed två uppsättningar loggar som ska hanteras. De olika protokollen som kan konfigureras är alla väldigt enkla att konfigurera. Beroende på vilken funktion man vill uppnå kan vissa av dem köras i lite olika varianter. Exempelvis kan stödet för filöverföring i Windows-världen via SMB ställas in att fungera på två sätt: Som en brevlåda, "Dropzone mode", där system och användare kan lägga filer i en katalog. Filerna hämtas av dioden, överförs och raderas sedan från katalogen. Som en katalogspegling, "Mirror mode", där filer i en katalog på "uppströms"-sidan replikeras till en katalog på "nedströms"-sidan. Ändringar och nya filer på "uppströms"-sidan överförs löpande till "nedströms"-sidan. Om man vill ha extra hög tillförlitlighet går det att klustra två DD1000i. Eftersom de två sidorna i en DD1000i bara kan kommunicera åt ett håll blir klustringen lite klurig att få till men Advenica har löst det på ett listigt sätt! Att sköta om en sådan här mackapär är förstås lite speciellt även om det inte är så svårt. Advenica skickar med rekommendationer kring hur man organiserar arbetet och vilka roller som behövs för att ha koll även i riktigt känsliga verksamheter. Man behöver också ha rutiner för att hantera incidenter, reparation av trasig hårdvara och skrotning av utrustning där känslig information passerat. Riktigt snyggt av Advenica att alltid stötta kunderna på det här viset! Direkt måste jag ge Advenica två tummar upp för kvalitén på dokumentationen. Riktigt tydligt men samtidigt kortfattat och lätt att hitta i! Svaren på alla mina funderingar gick lätt att hitta! Förutom den allmänna dokumentationen är var och en av de olika proxyfunktionerna dokumenterade för sig så att man enkelt förstår vad de olika inställningarna ger för möjligheter. Som demonstration gjorde jag en enkel uppsättning för skydd av mejl-överföring. Tjänster för mejl har historiskt varit säkerhetsmässigt utmanande så det är en välkommen funktion att få starkt enkelriktad mailtrafik. I mitt exempel tänker vi oss en känslig OT-miljö som behöver kunna skicka ut email-meddelanden till kontorets IT-nätverk. Vi vill vara säkra på att mejlservern på OT-sidan inte behöver kommunicera direkt med någonting på IT-sidan men att den ändå kan skicka mejl dit... I konfigurationsprogrammet förbereder man hur dioden ska bete sig. Inställningarna är väldigt lätta att förstå och man får bra hjälp direkt i programmet och från den tillhörande manualen! Det du i praktiken gör är att skapa en SMTP-server på "uppströms"-sidan som tar emot mejl. Dessa mejl överförs via dioden och landar i en SMTP-klient på "nedströms"-sidan där mejlet skickas till lämplig mejlserver. I princip behöver du bara ställa in vilka IP-adresser som ska användas och sedan fungerar det! DD1000i är en utpräglad datacenter-produkt eftersom den rackmonteras och kräver en kontrollerad miljö för att må bra. Vill man ha diod-funktioner ute i en anläggning finns även DD1G som är en diod utan inbyggda proxy-funktioner men som DIN-monteras och drivs med 12 VDC. Det här kan vara en väldigt praktisk lösning på kluriga problem kring exempelvis loggning och nätverksövervakning. Vad är då typiska användningsområden för en diod i en OT-verksamhet? Jag nämnde tidigare att replikera över Historian-information till IT-sidan är vanligt. Att plocka in uppdateringar och patchar är också ett vanligt behov som behöver styras upp. I vissa situationer kan man ha två dioder, en åt vardera hållet, för att styra upp kommunikation. Det kan tyckas vara en konstig lösning men det är i många fall en riktigt bra idé. Men det finns andra sätt att närma sig sådana situationer också... Utrustningen jag tittat på här är en utpräglad envägs-diod. Advenica har även något man kallar "ZoneGuard" där den viktigaste skillnaden mot DD1000i, kanske lite kontra-intuitivt, är att man kan skicka trafik åt båda hållen! Här är fokus mer på att styra upp vilken information som överförs åt respektive håll och säkerställa att protokollen inte missbrukas. En "vanlig" brandvägg inspekterar trafiken och skickar den vidare utan ändring. I en ZoneGuard bryter man sönder protokollet helt, plockar ut informationen som ska överföras, applicerar regler och filter på själva innehålket och bygger sedan ihop helt nya nätverkspaket. Angrepp som utnyttjar felformatterade nätverkspaket har alltså inte en chans! Detta är ett koncept som brukar kallas "Information Exchange Gateway" vilket ursprungligen är ett militärt begrepp. ZoneGuard har stöd för en rad spännande protokoll och format som exempelvis SOAP, XML, MySQL och RDP! Det finns också bra stöd för organisationens egna utvecklare att anpassa stödet till de egna systemens krav. Det här är också en väldigt spännande produkt för OT-verksamheter eftersom integrationen mellan IT och OT är helt avgörande för både organisationens effektivitet och dess säkerhet! Som summering kan jag konstatera att Advenica verkligen lyckats ta hand om klurigheterna kring att få till en diod som fungerar i praktiken. Både systemet och dess dokumentation är som sagt föredömligt tydliga och enkla att förstå. Det här en teknik jag tror allt fler av mina kunder kommer anamma framöver! Nytt fast precis som förut! Jag hoppas du gillar mitt nya sätt att publicera nyhetsbrevet? Nu är det lättare att hitta mina nyhetsbrev, allt finns på ett enda ställe: www.ot-säkerhet.se. Där hittar du alltid det senaste nyhetsbrevet, men också tidigare utgåvor. Du har också möjlighet att anmäla dig till epost-utskick, ansluta dig till mitt RSS-flöde och skicka feedback till mig. I övrigt är allting med nyhetsbrevet sig likt, både till innehåll och syfte. Jag kommer även i fortsättningen annonsera nyhetsbreven på LinkedIn och i utvalda Facebook-grupper. Ni som sedan tidigare får utskick med epost får det även i fortsättningen! Segmentera ditt data! Jag måste bjuda på en riktigt bra artikel av Jonas Berge på Emerson! Titeln är "Data Driven Plant Operations Recommendations" vilket redan där är tecken på att det är ett stort område och därmed en lång artikel. Men den är väl värd att läsa i sin helhet eftersom han sätter fingret på många viktiga frågor. Den är dessutom riktigt välskriven! Om jag ska plocka ut något av det viktigaste kring just säkerhetsfrågor från hans text så blir det nog hur viktigt det är att hålla isär datamängderna på OT-sidan från dem på IT-sidan. Nyckeln till det är en av mina egna käpphästar, att jobba med en strukturerad strategi för integration mellan system istället för att knyta systemen för "hårt" mot varandra. För OT-sidan blir det väldigt viktigt att luta sig mot en segmenterat djupförsvar i linje med IEC 62443 och därmed en övergripande arkitektur som bygger på ISA 95. Knutet till det är också hans starka rekommendation att omge sig med kompetens kring ISO 27000 för IT-sidans behov som samverkar med kompetens kring ISA 62443 för OT-sidan. Mycket nöje med din läsning av en riktigt bra artikel! Säkerhet för tvillingar och ingenjörer! Det finns många åsikter om hur man praktiskt ska arbeta med teknisk säkerhet i OT-system. En klassisk sanning är att de som konstruerar OT-system inte kan förväntas lära sig OT-säkerhet också så det får någon annan göra. En, om möjligt, ännu mer klassisk sanning är att säkerhet måste byggas in i konstruktionen från början. Dessa två sanningar kan tyckas vara väldigt svåra att kombinera... In på scenen kliver då en av superstjärnorna i vår bransch, Sarah Fluchs, med svaret! Hon hävdar att vi kan göra säkerhetsarbetet mer ingenjörsmässigt och därmed sätta det i händerna på systemkonstruktörerna! Och hon har beskrivit det i ett enastående dokument som jag ska erkänna att jag måste läsa några gånger till innan jag ärligt kan påstå att jag hänger med i alla hennes resonemang. Men jag vill ändå hävda att hon är på väg att skapa någonting riktigt intressant! Riktigt torrt är det också! Men intressant... Jag läste version 1.0, det kommer garanterat utvecklade versioner! Jag ska inte försöka mig på att tolka och omformulera hennes budskap här utan rekommenderar helt enkelt att du läser det själv! Dokumentet är väl värt att läsa bara på grund att hon lyckats basera sitt upplägg på ett av koncepten från Digitala tvillingar: Asset Administration Shell, vilket gör det väldigt användbart för organisationer som börjat ta till sig tvilling-tanken och koncepten från "Industrie 4.0". Att hon dessutom har lyckats kryddat anrättningen med Mark Twain, Chaos Engineering, Attack-grafer, MITRE ATT&CK och "Resilience Engineering" gör det både lärorikt och underhållande! Jag vill gärna höra om dina tankar efter att ha läst dokumentet! Vad pallar ditt fysiska skydd? Man kan tycka många saker om händelserna kring Kongressen i Washington men jag tänker inte ge mig in i några politiska funderingar här. Men en intressant vinkel som åtminstone indirekt knyter an till OT-Säkerhet lyftes av The Wall Street Journal. I dessa dagar av allt starkare och snabbare reaktioner i sociala medier behöver många organisationer fundera på hur deras fysiska skydd står emot större grupper av arga människor. Som vanligt när människor är orsaken till en risk är det väldigt svårt att bedöma sannolikheter och då får man se till att jobba med konsekvensreducering istället. Glöm inte att de egna anställda är en väldigt viktig kugge i det hela, de behöver vara tränade i att reagera rätt i hotfulla situationer och de behöver agera rätt när deras arbetsgivare kritiseras i sociala medier. Just det fysiska skyddet är ju viktigt för många organisationer som använder OT-teknik. Inte sällan kan det uppstå farliga situationer i anläggningen om obehöriga får möjlighet att göra någonting dumt. Det kan gå ut över inkräktarna själva, eller drabba miljön eller kanske skada anläggningen. Bevisligen kan folk ställa till det rejält, både för sig själva och den angripna organisationen, när de hetsar varandra till "stordåd" i grupp. Den viktigaste poängen jag försöker göra är väl egentligen att man måste se till att de olika typerna av säkerhetsarbete kan samverka, både under förebyggande arbete, under incidenter och i uppstädningen efteråt. Som händelserna i Kongressen visade fick IT-säkerheten enorma problem när inte det fysiska skyddet pallade trycket! En viktig del i det fysiskt skyddet för många anläggningar är att vara avskräckande genom att visa för omgivningen att man tar sin säkerhet på allvar. Med lite god vilja kan man säga att en besläktad utmaning och möjlighet är OSINT, "Open Source Intelligence", alltså underrättelse-arbete baserat på öppna källor. Det är ju något som, om inte annat, blev väldigt aktuellt i utredningsarbetet efter Kongress-händelserna. Det spontana samarbetet kring analys av angriparnas bilder och inlägg på sociala medier har varit oerhört kraftfullt! OT-säkerhetsspecialisterna på Dragos gav nyligen ut ett riktigt intressant White Paper kring hur man kan arbeta med analys av den information som den egna organisationen öppet sprider. Spontant skulle jag säga att detta är speciellt viktigt just inom OT-säkerhetsarbetet där man, vare sig man vill eller inte, ibland tvingas luta sig lite väl mycket mot "Security by obscurity". Blandade godbitar att läsa och titta på! https://www.youtube.com/watch?v=Uk6zsLmrTSE En intressant presentation kring OT-system ombord på fartyg från iTrust och SUTD, som finansierats av Singapore Maritime Institute. Se även deras eventsida. https://www.activecyber.net/orchestration-for-ot-systems-is-the-time-right Samlade intressanta tankar kring orkestrering och dess potentiella roll inom OT. https://documents.trendmicro.com/assets/pdf/Operational-Technology-Cybersecurity.pdf Ett white paper från Trend Micro skrivet av legenden Joe Weiss och Richard Ku med titeln "A Current View of Gaps in Operational Technology Cybersecurity". Det är en bred titt på området med både historik, missförstånd och förslag på lösningar. Läs det! https://www.linkedin.com/pulse/drive-towards-deep-code-review-industrial-programs-matthew-loong En spännande artikel av Matthew Loong som belyser ett ämne som jag personligen aldrig stött på inom OT men som är desto vanligare inom IT, nämligen kodgranskning. Det här tror jag kan bli ännu mer intressant framöver med allt mer integrerade system! https://www.linkedin.com/pulse/enough-policies-lets-talk-procedures-matthew-loong Ytterligare en intressant artikel av Matthew Loong där har slår ett slag för SOPar, alltså handgripligt beskrivna rutiner. Det är något jag känner igen alltför väl, att organisationer nöjt lutar sig tillbaka när de har skapat sina policies men glömmer att en policy, hur välskriven den än är, inte går att luta sig mot för att göra sitt jobb. Speciellt inte när det krisar... Det här nyhetsbrevet skickas till mottagare med intresse av säkerhet inom OT. Det produceras av Mats Karlsson Landré på Atea Sverige och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats.karlsson-landre@atea.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Du får mina tankar om det nya NIS-direktivet "NIS 2", 44 (!) stycken extremt underskattade sårbarheter i OT-prylar, utbildning i säkerhetsskyddslagen och så funderar jag över SolarWinds betydelse för OT-säkerheten... Jag tittar också närmare på en "Packet Broker" från Keysight, något av en doldis-pryl bland nätverks-utrustning men som visar sig kunna lösa en massa kluriga utmaningar! Ett riktigt välfyllt nyhetsbrev alltså! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen! Nu kommer NIS 2! Lagom till jul, den 16:e december, fick vi en julklapp från EU! "Kommissionen och unionens höga representant för utrikes frågor och säkerhetspolitik" levererade ett förslag till ny EU-strategi för cybersäkerhet. Som en del av detta finns en uppdaterad version av NIS-direktivet, som man fantasifullt nog valt att kalla "NIS 2". Strategin pekar på tre områden som man vill fokusera arbetet på: Resiliens, teknisk suveränitet och ledarskap Operativ kapacitet för att förebygga, avskräcka och reagera En global och öppen cyberrymd genom ökat samarbete Lite floskelartat kan jag väl tycka, men i grunden är det jättebra områden. I den perfekta världen tar alla organisationer ett eget ansvar för att skydda sin egen verksamhet och de som är beroende av den men i praktiken vet vi att det sällan händer! Här kliver EU fram rejält och pekar ut en riktning baserad på ökade krav, tydligare "straff" om man inte sköter sig och ett rejält samarbete både inom och utom unionen. Jag är positiv så här långt! Jag ser tydligt att det nuvarande direktivet har börjat få effekt. Det är många nya organisationer som hör av sig för att få hjälp och som berättar att vissa svenska tillsynsmyndigheter börjat agera mycket tydligt. Även här måste jag säga att jag är väldigt positiv till utvecklingen, inte bara för att det ger jobb till mig, utan även för att det faktiskt får viktiga verksamheter att prioritera upp sitt säkerhetsarbete! Det som tillkommer i NIS 2 är bland annat att väldigt många fler branscher omfattas, exempelvis inom elektronisk kommunikation, sociala nätverk, avloppshantering, avfallshantering, rymdverksamhet, läkemedelstillverkning, post, livsmedel och offentlig förvaltning. Ett område som jag, och många med mig, saknade i det första NIS-direktivet var fjärrvärmeproduktion. Det finns nu med! Ett annat intressant verksamhetsområde är produktion av biogas från exempelvis kompost eller lantbruksavfall. Det finns även med en rad tillverkningsindustrier inom exempelvis fordon, datorer, maskiner, verktyg mm. Ännu lite oklart för mig hur det kommer implementeras, men det är helt klart risk för att ganska många organisationer förvånat kan se sig själva plötsligt omfattas av NIS... Man har också lagt till sanktioner och böter för brister i riskarbete eller incidentrapportering, mer fokus på samarbete kring sårbarheter och incidenter samt ett fokus på risker kring supply-chain. Vi ska komma ihåg att det är ett förslag som lagts fram. Det ska diskuteras och förhandlas nu och när man (förhoppningsvis) enats om ett skarpt förslag kommer staterna ha 18 månader på sig att hantera ett införande. Utan att vara jurist och utan att ha läst förslaget speciellt noggrant tycker jag nog att det verkar extremt lovande på många sätt. Inte minst att omfattningen utökas till några uppenbart viktiga områden. Vi får se hur det tas emot när detaljer och förhandlingar klarnar! Hör gärna av dig om du har bättre koll på förslaget och hur diskussionerna går! Jag är nyfiken! När solvindar blir solstormar... Ingen som varit i närheten av nyhetsmedia den senaste veckan kan ha undgått händelserna kring SolarWinds! Det enda vi kan vara säkra på är att vi fortfarande är väldigt långt från att ha förstått vidden av denna vansinnigt elaka och framgångsrika attack. Som säkerhetsnörd drabbas man både av svindel över de enorma konsekvenserna samtidigt som man inte kan låta bli att bli imponerad! För bara tanken att rikta in en attack mot en leverantör av den här typen av verktyg är ju ärligt talat smått genialiskt. Om SolarWinds Orion ska fungera som det är tänkt behöver det kommunicera med alla andra system i organisationen och därmed har en insmugglad programvara fantastiska möjligheter att sprida i offrens nätverk. Man kan undra vilka andra leverantörer som drabbats av liknande attacker som ännu inte upptäckts? Om man fantiserar lite blir man snabbt mörkrädd vid tanken på vad som kan hända om något liknande skulle drabba leverantörer av sårbarhetsscanners, virtualiseringsprogram, operativsystem eller PKI-mjukvara. För att inte tala om leverantörer av molntjänster som Azure, AWS, Google, Alibaba osv... På sätt och vis kan man dra paralleller till utmaningarna kring insiders. På samma sätt som organisationer tvingas lita på vissa av sina egna anställda så finns det system som man bara måste lita på för att de ska kunna utföra sin uppgift. Och på samma sätt får man istället försöka arbeta med möjligheterna att upptäcka när de beter sig konstigt och på så sätt förbygga skador och angrepp. Det här med attacker via leverantörskedjan var jag inne på i nyhetsbrev #19 och framför allt då tankarna kring innehållsförteckningar, SBOM, för mjukvara. Några entusiaster var lite snabba i sin analys och pekade på SolarWinds som ett lysande exempel där detta hade varit en lösning. Tyvärr har det visat sig att det inte var fallet eftersom utvecklarna på SolarWinds verkar ha haft extremt dåliga säkerhetsrutiner, vilket förmodligen hade lett till att de som litar på en SBOM hade blivit ännu mer lurade... Även om Solarwinds kanske oftast används i klassiska IT-sammanhang finns det garanterat gott om kopplingar till OT-system, både direkt och indirekt. Även om OT-systemen inte hanterades direkt av Solarwinds finns det helt säkert många organisationer där OT-systemen är beroende av andra system som kunde påverkas direkt av attacken, exempelvis avbrottsfri kraft, datorhallskyla och system för fysiskt skydd. För oss OT-människor är det en viktig påminnelse om att ingen mjukvara är ofelbar. För system som under inga omständigheter får kunna manipuleras behöver vi kombinera olika metoder för att skydda och härda våra system. En viktig metod återkommer jag till i nästa nyhetsbrev, då jag tittar närmare på en nätverksdiod från Advenica, nämligen att använda fysikens lagar för att styra upp hur man kan kommunicera mellan olika säkerhetsnivåer. En annan viktig insikt är att man inte alltid kan förhindra angrepp med 100% säkerhet utan istället får lägga mer krut på att upptäcka och hantera felaktiga beteenden innan de får konsekvenser. Även där har jag några spännande produkter på gång framöver! Som vanligt när vi pratar om riktade händelser, som medvetet orsakas av människor, blir det svårt eller helt meningslöst att prata om sannolikheter. När man gör sina riskanalyser får man istället fokusera på konsekvenser och göra vad man kan för att ta bort oacceptabla händelser. Om du vill läsa mer om ämnet kan du hoppa till nyhetsbrev #15 men det är också viktigt att bli duktig på att hantera incidenter, vilket jag skrev om i nyhetsbrev #20. Jag kan också rekommendera Andy Bochmans presentation från S4: En klassisk metod är att arbeta med diversifiering och redundans så att de känsligaste processerna inte står och faller med ett enstaka system eller en enstaka teknologi. Det här är gammal skåpmat för folk i branscher som flyg, tåg, kärnkraft osv men det går att återanvända samma principer i många branscher. Analyser av "common cause" i felsituationer är inte så enkelt som man kan tro men kan vara effektivt för att skapa riktigt robusta miljöer. För de flesta OT-miljöer är fortfarande en genomtänkt och välskött segmentering en viktig del i skyddet mot alla typer av angrepp. Men det är lätt att man slarvar bort skyddet när man ser alla möjligheter med integration mellan olika system. Det behöver inte vara något motsats-förhållande mellan integration och segmentering men man måste tänka rätt från början. Har man börjat luckra upp segmenteringen, kanske med verktyg från SolarWinds, kanske direkt kommunikation med affärssystemet eller kanske ett gemensamt Active Directory som inte givits motsvarande segmentering så faller snart hela vitsen med segmenteringen! En dålig segmentering orsakar mycket irritation, ger väldigt lite nytta och skapar en falsk känsla av säkerhet... Vem behöver egentligen en packet broker? Om du läste nyhetsbrev 17 minns du att jag tittade närmare på en liten och smidig IXIA-nätverkstapp från Keysight. En tapp är ett stabilt och pålitligt sätt att få ut en kopia av all trafik från en nätverkslänk utan att påverka vare sig trafiken eller de system som kommunicerar. När man sedan har den där kopian på nätverkstrafik så blir nästa fråga vad man göra med den? I det enklaste fallet skickar man in alltihop i en IDS eller något annat analysverktyg. I praktiken är det inte alltid så enkelt... Man kanske vill skicka trafikkopian till flera olika analysverktyg? Man kanske inte vill skicka all trafik till alla analyser? Man kanske vill skicka kopian till en central sajt för analys där? Eller man kanske vill ha metadata om trafiken, exempelvis NetFlow? Den här gången tittar jag på nästa länk i kedjan efter tappen, som ger en snygg lösning på alla de utmaningarna! Den ser ut som en vanlig nätverksswitch, men det är det inte. Det är en "Packet Broker", kallad "Vision Edge 1S" eller "E1S" som tillverkas av Keysight. Det är en mindre modell jämfört med deras större datacenter-utrustningar. Den är tänkt att användas i mindre organisationer eller för att placeras ute på någon mindre sajt. Precis som Tappen jag tittade på i nyhetsbrev 17 kan den också agera som testklient för Keysights nätverksanalys-verktyg Hawkeye men det är inte den delen jag intresserar mig för idag. Vad har man en packet broker till då? Räcker det inte med en tapp eller en SPAN-port som skickar trafiken till analysverktyget? Ja, i vissa fall räcker det absolut men med en broker kan man enkelt ta sig an utmaningar som: Filtrera det som skickas på analys för att minska belastningen på verktyget. Exempel kan vara att ta bort krypterad trafik eller bara skicka vidare trafik som berör vissa system. Ett analys-verktyg som bara kan titta på Modbus kan ju få slippa bördan att försöka förstå krypterad trafik från YouTube... Kunna samla trafik från flera källor till samma analysverktyg. Du kan ha flera SPAN-portar och flera Tappar för sedan snyggt samla ihop all trafik. Kunna skicka trafiken till många analysverktyg. Du kanske vill kombinera Zeek, Nozomi Guardian, Malcolm och samtidigt kunna utvärdera Microsoft Defender for IoT? För att felsöka applikationer eller system som beter sig konstigt är det ibland extremt värdefullt att kunna se vad som händer på nätverket. Med en Packet Broker kan du alltid ha en port tillgänglig för att köra Wireshark mot. Istället för att ställa ut analysverktyg på olika platser i nätet kan det ibland vara vettigare att skicka en kopia på den lokala nätverkstrafiken till ett centralt verktyg. Då är det förstås extra intressant att först filtrera bort ovidkommande trafik för att minska bandbreddsbehovet och sedan tunnla trafiken på ett smidigt sätt. Jag har själv varit med om SPAN-portar på switchar som visar sig inte vara enkelriktade vilket lett till att analysverktyget "läckt" ut paket på nätet. Vill man vara supersäker på att det inte kan hända får man använda en nätverksdiod men i de flesta fall är det overkill då en Packet Broker ger samma effekt i praktiken. NetFlow är en viktig informationskälla och med en broker kan du skapa NetFlow-information trots att nätverksswitcharna kanske inte stöder det. För den som vill dyka lite djupare i hur tappar och SPAN-portar kan sjösättas i OT-miljöer finns ett SANS-papper av Daniel Behrens som visar på en del utmaningar. Daniels papper tar inte upp brokers specifikt men belyser en del andra, mer generella, vinklar på möjligheter och utmaningar i sammanhanget. Hur kan det se ut i praktiken då? Här är ett par exempel som jag lånat från Keysights dokumentation och ett som jag satte ihop själv: Här samlar man in trafik från flera "remote site" och skickar den vidare till en central sajt där analysverktygen finns. Här blir det intressant att filtrera bort så mycket som möjligt för att inte lasta ner WAN-länken. I ett OT-sammanhang kanske man bara skickar vidare de OT-protokoll som man är intresserad av. Som synes kan management ske centralt eller om man hellre vill, lokalt på varje burk. I detta snarlika exempel använder vi Netflow. Netflow är något som jag tycker får alldeles för lite uppmärksamhet, både av IT- och OT-folk. För den som inte känner till Netflow så handlar det om att samla in information om nätverkstrafik utan att samla in innehållet i det som skickats. (Läs mer här: https://en.wikipedia.org/wiki/NetFlow ) Den Netflow-informationen går det att göra väldigt spännande analyser även med små resurser. Det mest kända analysverktyget är nog Cisco Stealthwatch men Netflow är också en väldigt viktig input till ditt SIEM-verktyg, oavsett fabrikat. E1S kan förutom att skicka kopior av nätverkstrafik även skapa Netflow-information baserat på den trafik som samlas in. Det här skapar väldigt smidiga möjligheter att kombinera det bästa av de analysverktyg som man har tillgängligt! I ett av de exempel jag satte upp i mitt OT-labb tog jag in trafik på tre 1 Gb/s-portar från två SPAN-portar och en nätverks-Tapp. All trafik slogs samman efter att ha filtrerat bort VLAN-taggar som jag inte är intresserad av. Resultatet skickades sedan till två fiberanslutna 10 Gb/s-portar. Dessutom skickades all BACnet-trafik till en port där den kunde analyseras för sig. På köpet skapades dessutom Netflow-information för all trafik som skickades till ett SIEM-system. Att få till samma lösning utan att använda en broker hade blivit väldigt mycket krångligare. De tre källorna hade fått ha 3 utgångar vardera - en utgång för varje mottagare, vilket inte är möjligt i många switchar. Nätverkstappar med många utgångar finns, men är väldigt mycket dyrare! Alla mottagarna hade behövt tre nätverksinterface. Att få till Netflow är klurigt, inte minst på tappen. Vill du sedan lägga till ytterligare en källa eller en IDS till blir det hysteriskt komplext! Med en broker kan du enkelt lägga till fler sändare och mottagare så länge det finns portar kvar! Konfigurationen av exemplet gick verkligen snabbt att få till, bara några minuter. Allt, inklusive filtreringen gick enkelt att konfigurera i det grafiska gränsnittet. All management sker via Hawkeye-gränssnittet som kan köras centralt för flera enheter eller lokalt på varje burk. Gränssnittet är smidigt och snyggt, det är enkelt att lära sig. En funktion som är till stor hjälp vid felsökning på distans är att man kan logga in i E1S och dumpa utvald trafik till pcap-filer som sedan kan laddas ner och analyseras. En utmaning när man aggregerar trafik från flera källor är att ett och samma paket kan komma att synas flera gånger om det passerar flera switchar med SPAN-portar. Konsekvensen blir förstås ökad trafik och eventuellt också rena felaktigheter i resultatet. En snygg funktion för att ta hand om detta är att man kan slå på "Deduplication" på utgångarna. I praktiken betyder det att paket som redan passerat ( under de senaste millisekunderna) kastas oavsett vilken MAC-adress som används. En smart och enkel lösning på detta problem! Med sex stycken 1G-portar och fyra stycken 10G-portar som alla kan användas som ingång eller utgång klarar man en hel del olika scenarier! De fyra portarna med SFP+ kan hantera både fiber och koppar för extra flexibilitet. Ett tänkbart scenario som jag gillar är att använda en broker för dra nytta av existerande IDS-tjänster på "IT-sidan". Man skulle då kunna samla ihop sin OT-trafik, filtrera och aggregera den för att sedan "skicka över" den på analys. Om man sedan tidigare har en kompetent IDS/IPS som känner igen sårbarheter i OT-produkter kan man för en billig penning skapa en riktigt vass analysförmåga på OT-sidan. Säg att man exempelvis redan sitter med en TippingPoint för sina IT-servrar kan man enkelt skapa en förmåga att upptäcka användningen av zeroday-sårbarheter i OT-näten. Att sedan framöver komplettera med analysverktyg för ren OT-trafik, kanske Nozomi Guardian, blir väldigt enkelt eftersom all trafik redan är tillgänglig i brokern. Varför lyfter jag då den här i ett nyhetsbrev om OT? Utrustningen har ju ingenting specifikt med OT att göra! Det är en klassiskt datacenter-produkt som är anpassad för rackmontering och kontrollerat klimat. Det som gör just den här produkten intressant är att de skapat något som har en vettig balans mellan pris och prestanda vilket gör det möjligt att sätta ut ett gäng sådana här i anläggningarna. Alternativt ger den möjlighet att hantera en liten OT-miljö utan att tömma plånboken helt. Så mitt svar på frågan i titeln är: "De flesta som bedriver ett seriöst säkerhetsarbete behöver en Packet Broker!" Analysera mera! Oavsett hur man samlar in nätverkstrafik, via tappar, brokers eller SPAN-port, så får man förstås ingen nytta förrän man analyserar det man ser. Det här med passiv analys av nätverkstrafik är ju något som är extra viktigt inom OT av flera skäl: Eftersom man ofta tvingas undvika (eller skjuta fram) patchning blir bra analys av vad som händer i nätverket extra viktigt så att man kan upptäcka och agera på angrepp. Man vill vara säker på att säkerhetskontrollerna inte riskerar att störa systemen. Exempelvis väljer de flesta att vara försiktiga med sårbarhetsscanningar och istället satsa mer på analys av trafiken. Tyvärr har alldeles för många verksamheter dålig koll på vilka OT-system de har i sina nät. Moderna analysverktyg ger förvånansvärt bra information om både hårdvarutyp och mjukvaruversioner bara genom att lyssna på nätverkstrafiken. Det ger också automationsingenjörerna fantastiska möjligheter att se vad som verkligen händer i nätverk och system. Många tillverkare och integratörer accepterar fortfarande inte att man installerar egen programvara. Då blir nätverksanalys det enda sätt man kan "titta in" under skalet på systemen. Då blir ju nästa fråga vad man ska använda för själva analysen? Här finns en uppsjö av möjligheter, allt från kommersiella lösningar som Nozomis Guardian och Microsofts Azure Defender for IoT (som ju bygger på gamla CyberX som Microsoft köpte nyligen) till lösningar som är open source där framstående exempel är Arkime (före detta Moloch), Malcolm och Security Onion. Jag planerar att titta närmare på kommersiella lösningar som är specialiserade på OT i ett framtida nyhetsbrev. Om man tittar på gratisverktygen Arkime och Security Onion så är båda två generella verktyg som inte är inriktade mot OT även om det finns en del tillägg och annat med det fokuset. Malcolm har jag inte använt själv men man säger att det finns ett OT-fokus på utvecklingen. Man kommer väldigt långt med gratis verktyg även om det som vanligt tenderar att krävas betydligt mer arbetsinsatser jämfört med kommersiella lösningar, både för att komma igång och löpande. Det är ganska vanligt att man använder "open source"-system för att "komma igång" och för att visa på värdet och behovet av denna typ av lösningar. En av våra svenska världsstjärnor på området, Eric Hjelmvik, publicerade nyligen ett intressant blogg-inlägg som beskriver hur man kan använda PolarProxy som är ett riktigt smidigt verktyg som Eric tillhandahåller för att dekryptera krypterad kommunikation för att kunna analysera innehållet. I bloggen beskriver Eric hur man använder PolarProxy just med Arkime! Kryptering blir ju sakta men säkert allt mer vanligt inom OT-världen, inte minst när vi pratar OPC-UA. Kryptering är som bekant en bra idé men det ställer till det i de här sammanhangen eftersom det tenderar att dölja en del intressant information i våra analyser. Jag kan förresten verkligen rekommendera Erics andra verktyg, framför allt NetworkMiner och CapLoader som är sanslöst smidiga att arbeta med. Arkime tycker jag personligen är ett fantastiskt verktyg för analys av nätverkstrafik, både inom IT och OT. Det går verkligen smidigt att samla in trafik och sedan att analysera på alla tänkbara ledder. Malcolm (som verkar finnas i två forks: cisagov och idaholab) har jag som sagt inte prövat själv men det ser lovande ut med ett tydligt OT-fokus. Malcolm är baserad på Arkime, ElasticSearch, Zeek och andra framstående projekt. Är det någon av mina läsare som arbetat med Malcolm? Hör av dig och berätta mer! I skuggan av en solstorm... Händelserna kring Solarwinds har snott åt sig de flesta rubrikerna på sistone, men det finns fler spännande sårbarheter att fundera över. Två som har speciellt mycket koppling till OT-säkerhet är URGENT/11 och AMNESIA:33. (Visst är det viktigt med bra namn på sårbarheterna! :-) ) Båda två är ett gäng riktigt allvarliga sårbarheter i olika implementationer av TCP/IP, vilket dessutom tenderar att vara den värsta sortens sårbarheter eftersom de finns direkt i implementationen av nätverksprotokollen. Nästan alla former av skydd är overksamma på den nivån! URGENT/11 är en samling sårbarheter i TCP/IP för VxWorks från Wind River som upptäcktes av säkerhetsföretaget Armis och som publicerades förra sommaren. Ingenting nytt alltså, men sårbarheterna kom i fokus igen nyligen när en undersökning publicerades som sade att 97% av sårbara OT-enheter ännu inte uppdateras och därför fortfarande är sårbara. VxWorks är förmodligen världens populäraste realtids-operativsystem. Det används bland annat i OT-utrustning, som PLCer, från en rad stora tillverkare. Armis uppskattade antalet berörda enheter till över 2 miljarder! AMNESIA:33 är som namnet indikerar 33 sårbarheter i fyra olika implementationer av TCP/IP (uIP, FNET, picoTCP and Nut/Net) som upptäcktes av Forescout. Sårbarheterna berör hundratals leverantörer av utrustning inom OT men också IoT, skrivare, nätverksutrustning, servrar och inbyggda system. Av de 11 sårbarheterna i URGENT/11 är 6 riktigt allvarliga i och med att de kan leda till exekvering av kod på distans genom att bara ha någon form av nätverksförbindelse med "offret". 4 av de 6 allvarligaste sårbarheterna berör TCP, 1 ligger i IP (source routing) och 1 i DHCP. Det finns en del åtgärder man kan göra utan att uppdatera, främst att blockera lite udda användning av TCP/ip: tcp-paket med Urgent-flaggan satt och source routing. Du hittar rekommendationer hos respektive tillverkare. Här är ett snyggt exempel: Phoenix Contact. Om du letar efter argument att investera i IPS-skydd eller brandväggar ute i din anläggning så finns det inga bättre än dessa sårbarheter. Med lämplig utrustning, som exempelvis EdgeFire från TxOne eller mGuard från Phoenix Contact, kan du direkt blockera den här typen av kommunikation mellan enheterna i dina OT-nätverk. De flesta har garanterat sårbara utrustningar som de inte vill eller kan uppdatera och då är ett nätverksskydd det enda alternativet! Du kan dessutom implementera skydd väldigt mycket snabbare jämfört med att patcha alla utrustningar! Men framför allt kan man se det här som en påminnelse om en viktig säkerhetsprincip kring OT. Man ska inte ha direkt nätverkskontakt mellan omvärlden och OT-enheter. Det gäller speciellt VPN-förbindelser som termineras lokalt i OT-enheten eftersom både VPN-tunneln i sig själv är en TCP/IP-förbindelse och förstås också anslutningen som går igenom VPN-länken! Det vanligaste misstaget kring det här är runt lösningar för fjärrsupport där man gärna börjar fuska genom att sätta upp VPN-tjänster utan att göra en ordentlig riskanalys. Se till att åtminstone "mellanlanda" i en härdad jumpserver eller satsa på en riktig lösning i stil med ConsoleWorks från TDI Technologies. Det finns förstås hur mycket som helst att läsa om det här. Här är några förslag: Threatpost: Millions of Unpatched IoT, OT Devices Threaten Critical Infrastructure Computer weekly: Amnesia:33 IoT flaws dangerous and patches unlikely Threatpost: ‘URGENT/11’ Critical Infrastructure Bugs Threaten EternalBlue-Style Attacks Wind River: SECURITY VULNERABILITY RESPONSE INFORMATION Armis: 97% of URGENT/11 and 80% of CDPwn Vulnerable Devices Remain Unpatched Forescout: AMNESIA:33 Armis har några intressanta video-demonstrationer av attacker mot PLCer från Rockwell och Schneider Electric. Säkerhetsskydd? I princip hela mitt yrkesverksamma liv har jag arbetat i verksamheter med höga krav på säkerhet och skydd. Numera, som konsult, har jag ett antal kunder som lyder under säkerhetsskyddslagen. Det här är ett område som många upplever som förvirrande och där det finns en massa missförstånd. Det blev inte bättre av att mycket ändrades i och med vår nya säkerhetsskyddslag som kom 2019. Många är också förvirrade över skillnaderna mot NIS-direktivet som vi fick 2018. Jag undrar hur det blir nu när "NIS 2" är på gång och höjer ribban rejält? Dessutom har jag varit med om att man blandar samman Skyddslagen och Säkerhetsskyddslagen, de låter ju besläktade men handlar om helt olika saker. Skyddslagen styr bara över begreppet "Skyddsobjekt", vad som gäller kring dem och hur en "Skyddsvakt" utses, utbildas och får bete sig. Säkerhetsskydd och skyddsobjekt används helt oberoende av varandra även om de förstås är hyfsat vanliga tillsammans! Under åren har jag väl samlat på mig en hel del kunskaper men jag har ibland känt att jag saknat en samlad utbildning. Så, när jag hittade Företagsuniversitetets utbildning "Diplomerad Säkerhetsskyddschef", var det dags att anmäla mig! Kursen är nio dagar totalt och nu har jag genomfört de första tre. Jag kan redan nu säga att det är en riktigt bra utbildning! För den som är intresserad av att vidareutveckla sig inom det här komplexa men intressanta området kan jag verkligen rekommendera den här kursen. Ett rejält kursmaterial, en otroligt erfaren lärare i Per Fjellman och en radda riktigt tunga gästföreläsare gör detta till en helt unik kurs! Jag lovar att återkomma med eventuella spännande insikter när kursen är slut i Februari men hör gärna av er om ni har funderingar eller frågor! Min omgång av kursen blev fulltecknad men det kommer nya tillfällen kommer i Mars och September. Önskas: Kandidater till testlabbet! Det verkar som mina artiklar om olika produkter är uppskattade! Jag har en liten kö med spännande saker för kommande nyhetsbrev. I nästa nummer blir det en riktigt imponerande nätverksdiod från svenska Advenica som intar scenen. Jag tar gärna emot tips och rekommendationer på produkter som jag borde titta närmare på. Det behöver inte bara vara rena säkerhetsprodukter utan kan även vara OT-produkter som är intressanta ur ett säkerhetsperspektiv. Jag kan även tänka mig att sladda över i IoT-hörnan emellanåt... Hör av dig! Lästips Lite mer att läsa: https://octoverse.github.com/static/github-octoverse-2020-security-report.pdf https://iot-analytics.com/soft-plc-industrial-innovators-dilemma/ Och en massa kloka tankar kopplat till Solarwinds-hacket och supply-chain: https://theintercept.com/2020/12/24/solarwinds-hack-power-infrastructure/ https://blog.adolus.com/blog/three-things-the-solarwinds-supply-chain-attack-can-teach-us https://www.linkedin.com/pulse/administering-your-windows-server-securely-amidst-solarwinds-loong https://techcommunity.microsoft.com/t5/azure-active-directory-identity/protecting-microsoft-365-from-on-premises-attacks/ba-p/1751754 https://www.linkedin.com/pulse/solarwinds-hack-from-critical-infrastructures-valencia-gil-ortega/ Det här nyhetsbrevet skickas till mottagare med intresse av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Lite av ett jubileum blir det den här gången, med den 20:e utgåvan av nyhetsbrevet! Jag började med 4 läsare av det första utskicket och nu har 800 personer läst den senaste utgåvan! Det hade jag verkligen inte väntat mig när jag drog igång ett nyhetsbrev för ett ganska smalt, nischat område för ett drygt år sedan! Det verkar som det finns ett behov av någon som skriver om det här kluriga ämnet på svenska. Nu siktar jag på 1000 läsare! Jag ska inte sticka under stol med att det förstås är riktigt kul att nyhetsbrevet, som bieffekt, drivit fram så mycket uppdrag och produktaffärer! Jag tycker alltid det är lika spännande att möta nya verksamheter, som alla är på olika resor och med olika utmaningar! Det känns som att det är dags att be chefen anställa en kollega till mig... Sjukvård är något av ett tema den här gången, nästan alla texter knyter an till vården på ett eller annat sätt. Jag tittar bland mycket annat på kaotiska apor, jämför säkerhet med konditionsträning, funderar över likheter mellan sjukvård och OT, tittar närmare på vad som krävs för att haverier i säkerhetssystem inte ska ställa till det för verksamheten, annonserar vinnare, fortsätter diskussionen om fastighetsautomation och tittar närgånget på en riktigt tuff server. Jag vill ge er ett stort tack för alla trevliga mejl jag får med uppskattande och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se . Jag lovar att din mejladress inte används till något annat än detta! Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen! Släpp in kaos-aporna! Ginger Wright från INL (Idaho National Laboratory) håller ett av de absolut mest spännande föredragen från årets S4-konferens. Hon knyter ihop den fantastiska metod som Netflix "uppfann": "Chaos Monkey" som är en del av "Chaos Engineering" med hur INL övar incidenthantering med organisationer i USAs elförsörjning: Invite the Chaos Monkey Även om du inte är intresserad av någonting annat så är det värt att höra föredraget om du inte känner till "Chaos Monkey", det är ett makalöst koncept. Netflix ser helt enkelt till att alla "Failure Modes" som de kan hitta på faktiskt kommer hända i verkligheten i deras produktionsmiljö och det händer på ett slumpartat sätt! Det handlar alltså inte om att öva i en skyddad lekstuga utan om att hantera verkliga och brutala störningar i den skarpa miljön utan att kunden märker någonting! De skjuter alltså slumpmässigt och utan förvarning ner sina egna system, i vissa fall hela datacenter, bara för att lära sig! Hela poängen är att testa att man verkligen kan hantera felsituationer och vad man kan lära sig av sina utmaningar och misslyckanden! Du hittar en lista över alla deras apor på Wikipedia: Chaos Engineering och på github finns mjukvaran de använder: chaosmonkey . Fokus för INLs övningar är på att bli bra på att hantera incidenter - inte bara förebygga dem! När övningarna startar är redan attacken i full fart! Det handlar om "Face your fears!" och om att utsättas för vansinnigt jobbiga händelser i en "verklig" miljö. Det hela ingår i ett DARPA-program kallat "Rapid Attack Detection, Isolation and Characterization Systems": RADICS Allt detta är i linje med två av mina viktigaste käpphästar kring säkerhetsarbete oavsett om det handlar om IT, OT, fysiskt skydd eller något annat område: att man inte bara kan fokusera på att förebygga incidenter och att man måste öva i verkligheten! Naturligtvis ska man göra vad man kan för att händelser inte ska ha en chans att hända men sedan behöver man ha inställningen "förutsätt att vi redan är drabbade, vad gör vi?". När det gäller övningar tycker jag man ska börja enkelt med pappers-övningar med alla deltagare sittande runt ett bord. Först när man känner sig redo börjar man fundera på att öva "på riktigt". Ska man upp i Netflix nivå behöver man dessutom bygga sina system och sin infrastruktur på ett sätt som redan från början tar höjd för kommande attacker och haverier! Man behöver också ha sådan koll på sin design-process att man kan identifiera alla felscenarier och hur de slår mot verksamheten. Hur tuff är din server? I nyhetsbrev #18 skrev jag om edge-system och hintade även om en hårdvara jag kommit i kontakt med. Jag listade ett antal egenskaper som en edge-server behöver ha och som känns nästan ouppnåeliga i en och samma enhet: stabilitet som en riktig server, kanske till och med en klustrad lösning för att riktigt maxa tillgängligheten fysisk tålighet som hos en PLC för att tåla kyla, värme, vibrationer och stötar ute i verksamheten prestanda som en arbetsstation med extrema GPU-kretsar och ultrasnabb lagring nätverksanslutning med extrema prestanda och flexibla anslutningsmöjligheter fysiska egenskaper som passar tillsammans med OT-utrustningar: DC-matning, DIN-montering och en smidig storlek Systemet som jag tittat närmare på i verkligheten är en Lenovo ThinkSystem SE350. Den finns i lite olika utformningar men den variant som jag haft fingrarna på har 8 CPU-cores, 64 GB RAM, 2st M.2 bootdiskar 128 Gb, 1 TB VMEe flashminne, WiFi och LTE. Som synes på bilderna är det en nätt liten enhet men maxar man den blir den riktigt kapabel: en 16-cores Xeon-2100 CPU, 256 GB minne, 10st M.2-diskar som kan köras i hårdvaru-RAID, 10Gb-ethernetportar och en PCIe x16 plats där du kan sätta ett GPU-kort att köra AI-applikationer på. Så långt är det egentligen ingenting exceptionellt alls för en server. Men när vi lägger till det som gör den användbar långt utanför datorhallen blir bilden en annan: Den kan monteras på VESA-fäste eller DIN-skena. Vill man absolut stoppa in den i ett 19"-rack kan den monteras två i bredd. Den kan köras på 12 - 48 Volt DC eller 100 - 240 Volt AC med dubbel matning. Skyddsfilter för dammiga miljöer gör att man slipper enorma kylflänsar. Inbyggd WiFi och LTE som är förberedd för 5G. Den tål att köras i temperaturer från 0 till 55 grader. Den tål fysiska stötar i 40G och är certifierad för att tåla vibrationer. Diverse smarta skydd mot fysisk manipulering och stöld. Inte en dussin-server direkt men däremot en riktigt snygg anpassning till för de speciella behov som ställs av tunga applikationer ute i anläggningarna. Det kan vara beräkningar som kräver väldigt korta fördröjningar eller snabba AI-analyser av video eller andra tunga dataströmmar. Jag ser ofta vanliga PC-datorer placerade ute "på golvet" i tillverkande industri där man kör rena serverapplikationer som en del i en automationscell. Bakgrunden är nästan alltid att det var billigare att ställa dit en vanlig PC eftersom det är en enkel hårdvara och den driftmässigt kan hanteras som en vanlig PC. Det leder nästan alltid till problem eftersom som man får vad man betalar för, framför allt när det gäller driftformen. Med en riktig serverhårdvara som driftas som den serverfunktion det faktiskt är så har man vunnit mycket tillförlitlighet. Om man tittar på ThinkSystem SE350 så ger den oss dessutom chansen att bygga ett system som går att sköta om på ett modernt sätt. Vill du köra hyperkonvergerat är den validerad av Microsoft för Azure Stack HCI och även certfierad av Nutanix. Annars stöds förstås Windows Server, SLES, Ubuntu, RHEL och VMware ESXi. Att den är avsedd att ta lite andra roller än serverhårdvaror normalt får hantera märks inte minst på nätverkssidan: Den har inbyggd WiFi som gör att den både kan ansluta till existerande nätverk eller agera accesspunkt för ett eget nätverk. Inbyggd LTE med förberedelse för 5G. Inbyggd nätverksswitch (med SFP- och RJ45-anslutningar) som kan konfigureras på en rad spännande sätt beroende vad man behöver. Det innebär att man exempelvis kan ansluta mindre sensornät direkt in i servern samtidigt som man klustrar servern och har seriekopplad anslutning till Lenovos BMC-managementtjänst XCC. Dubbla 10 Gb/s SFP+ anslutningar för bandbreddsslukande applikationer. Installation och annan administration var lika enkel som för vilken annan server som helst. Det här är en riktigt rolig bekantskap! Personligen gillar jag verkligen XCC för remote hantering och konfiguration av hårdvaran inklusive den inbyggda switchen. Jag kommer att köra en del tester av applikationer på just den här Lenovo-servern så jag återkommer med fler intryck efter hand! Om du vill prova själv eller vill veta mer är det förstås bara att höra av dig! Försäkring, löpning eller säkerhetsarbete? Man hör ofta människor jämföra ett bra säkerhetsarbete med att köpa en försäkring vilket jag tycker är en ganska dålig jämförelse. En försäkring minskar inte sannolikheten för problem utan minskar bara den ekonomiska skadan om något händer. En klok person jag lyssnade på häromdagen ville hellre jämföra säkerhetsarbete med konditionsträning. Resonemanget var att konditionsträning, förutom att minska sannolikheten för problem och konsekvenserna av dem, ger nytta direkt, inte minst ger bättre kondition möjlighet att göra saker som man inte kunde tidigare. Säkerhet skapar möjligheter! Cyberförsäkringar i olika former är ett affärsområde som växer snabbt och som diskuteras flitigt. Ett viktigt problem med cyberförsäkringar är att man kan lockas lägga sina pengar där istället för på säkerhetsarbete. På samma sätt som att försäkringar i ovanstående resonemang är en dålig liknelse för ett säkerhetsarbete är det definitivt en dålig ersättare för detta arbete! Att drabbas mindre av konsekvenserna av ett angrepp är en klen tröst, särskilt om det händer upprepade gånger. En annan viktig likhet mellan bra säkerhet och en god kondition är att båda är flyktiga. Både säkerhetsarbete och konditionsträning är något man gör, inte något man har. När man slutar anstränga sig klingar nyttan av väldigt snabbt! Cyberförsäkringar har synts en hel del i media på senare tid. En spännande aspekt är när större angrepp uppfattas (rätt eller fel) utförda av länder. Detta leder till fall där försäkringsbolagen hävdar force-majeure på grund av krigshandlingar. Det mesta kända fallet är matjätten Mondelez som drabbades av NotPetya och krävde 100 MUSD från sitt försäkringsbolag. Försäkringsbolaget avslog begäran när angreppet utpekades som ett ryskt angrepp mot Ukraina. Så vitt jag vet slåss de fortfarande om det i domstol. tre år senare... Du kan exempelvis läsa mer hos Darkreading och New York Times . World Economic Forum oroar sig också över försäkringar. De ser att försäkringsbranschens risker för Cyberförsäkringar är ohållbara i en spännande rapport som gavs ut nyligen. Min personliga syn på cyberförsäkringar har, åtminstone tidigare, varit att det är vad som kommer att "rädda oss" genom att tvinga organisationer som köper försäkring att få ordning på säkerhetsarbetet. Lite som att inget försäkringsbolag skulle acceptera att en organisation inte hade brandsläckare eller bra lås på dörren. Jag tror fortfarande att det kommer att hända men att det kommer ta längre tid än vad jag trodde. Min tolkning av WEFs artikel ovan är att de problem de pekar på också tyder på en omogen marknad. Något jag hör mer och mer om (dock inte i Sverige ännu) är att företag i allt större omfattning i panik skaffar försäkringar eftersom de hör talas om så många ransomware-attacker. Tyvärr är en vanlig attityd "Nu har jag försäkring och jag kommer använda den!", vilket ju inte direkt tyder på någon större säkerhetsmässig mognad än så länge... EU vill öva sjukvården! EUs cybersäkerhetsorganisation ENISA har organiserat stora övningar inom olika områden under de senaste 10 åren. I år var det sjukvårdens tur men med tanke på världsläget var det inte riktigt "läge" att belasta sjukvården med övningar. Övningarna har helt enkelt skjutits på framtiden. Vi får se när övningarna blir av men redan nu tycker jag det var intressant att läsa om deras planer och det ganska vida spektrumet av övningsområden som ingår i planerna. Du hittar information på deras hemsida och här: på programsidan . Jag hoppas att lokala och regionala sjukvårdsorganisationer orkar bedriva övnings- och utvecklingsinitiativ trots sjukvårdens utsatta läge. Man kan ju faktiskt hävda att just på grund av det utsatta läget blir det ännu viktigare att öva och förbereda sig för attacker och störningar i viktiga system! Vilken medicin finns för sårbarheterna i sjukvården? Ett intressant men lite speciellt område inom OT är sjukvård och medicinsk teknik. Det har varit extra fokus på detta i media på senare tid eftersom allt fler ransomware-attacker riktat sig mot sjukhus. Ett dödsfall i Tyskland nyligen angavs ett tag vara det första fallet där någon avlidit på grund av en IT-attack. Även om detta senare avfärdades av tyska myndigheter så kommer vi förr eller senare få sådana fall. Vi måste räkna med att de kommer kunna vara kopplade till OT-liknande medicintekniska system eller försörjningssystem på sjukhus för gaser, strömförsörjning eller något annat som vården är beroende av för att kunna bedriva sin verksamhet. En artikel från Check Point nyligen pekade på den enorma ökningen av attacker i området. Leverantörer av säkerhetssystem fokuserar därför förstås mycket på sjukvården som ju på OT-sidan dras med samma utmaningar som många andra branscher, nämligen att man inte kan eller får arbeta med löpande uppdateringar av systemen. En artikel från TxOne ger både goda råd och pekar på tekniska åtgärder med deras produkter - framför allt virtuell patchning och nedlåsning av system med hjälp av vitlistning. En intressant variant på samma resonemang är förstås intåget av IoT i vården, se exempelvis iVOs sidor och på Ateas sidor om digitalisering av vården, där säkerheten i systemen kan få en väldigt påtaglig effekt på patientsäkerheten. Här vill det verkligen till att man funderar igenom konsekvenserna av både angrepp och fel. Sjukvården är i mitt tycke ett utmärkt exempel på att konsekvenserna av ett potentiellt säkerhetsproblem ibland blir så mycket viktigare att titta på än att försöka bedömma sannolikheten för att det händer. Vissa saker får bara inte hända, hur ovanliga de än är... Att bedöma risker är centralt i alla former av säkerhetsarbete. Två misstag, som jag själv brukar varna för, lyftes upp på ett elegant sätt i en artikel jag läste nyligen nämligen att: som säkerhetsperson "råka" ta ifrån ledningen deras ansvar genom att fatta beslut om vad som är acceptabla risker Basera beslut för mycket på sannolikheter, speciellt när det gäller sannolikheter kopplade till mänskligt beteende Det här är väldigt sant i klassiskt IT- och informations-säkerhetsarbete men det blir ännu viktigare när vi arbetar med risk i OT-världen där konsekvenserna tenderar att bli mycket mer avgörande än sannolikheterna. Det handlar om scenarier där konsekvenserna helt enkelt inte är acceptabla oavsett hur sällan de händer, exempelvis dödsfall eller organisationens totala kollaps. Naturligtvis ska man inte blunda för sannolikheter men i många lägen måste man arbeta med konsekvenslindring oavsett sannolikheten! I dessa sammanhang blir det dessutom väldigt tydligt varför den föråldrade tekniken med sannolikhet kontra konsekvens i en matris blir ett trubbigt och missvisande verktyg. Jag har varit inne på liknande resonemang tidigare, så om du inte läst nyhetsbrev #15 och #16 så rekommenderar jag att du tittar på dem. Haverera snyggt! Det kan tyckas vara en teknisk detalj men det är ack så viktigt! När man bygger sina säkerhetssystem, oavsett vilken typ av säkerhet vi pratar om, så vill det till att redan från början bestämma hur man ska hantera situationer när säkerhetssystemen själva går sönder. För sönder kommer de att gå! Inom IT-världen prioriterar man oftast skydd över tillgänglighet så när en brandvägg eller ett IPS-system går sönder så vill man hellre att den skyddade tjänsten blir otillgänglig än att skyddet försvinner. När vi pratar OT är det oftast tvärtom! Vi vill inte att vår fysiska process påverkas av att något skyddssystem fallerar men däremot måste vi förstås få en varning och en möjlighet att lösa problemet. Det här har dykt tidigare i nyhetsbrevet när jag tittat på produkter. Ett bra exempel är EdgeIPS från TxOne som jag skrev om i nummer 14 som "kortsluter" nätverksportarna fysiskt om den själv går sönder. Ett annat exempel är nätverks-tappen IxTap från Keysight som ni minns från nummer 17 som på samma sätt ser till att nätverktrafiken inte påverkas om den själv tappat strömmen. När det gäller just nätverk så finns även specialiserade produkter som bara är till för att säkerställa att havererad utrustning hanteras på det sätt man vill. De kallas bypass-switchar och är intressant teknik för den som vill bli tåligare mot tekniskt strul! Keysight, som är framstående även på bypass-teknik, skrev nyligen en bra artikel om just detta som tar upp alla varianterna som kan uppstå i sådana här sammanhang. Vill du prata mer om det här är det förstås bara att höra av dig! Vi har hittat vinnarna! Tävlingen i förra utskicket fick fler deltagare än jag hade väntat mig, vilket förstås var jättekul! Jag fick ett gäng intressanta förslag på vad man kan använda ett robust USB-minne till, du kan se två vinnande bidrag nedan. Vinnarna har utsetts, meddelats och vinsterna är skickade! Grattis! En av våra vinnare är Andreas som skickade in det här: Jag vill kunna flasha (pun intended) med denna på kontoret. Med det menar jag att jag vill visa att jag jobbar på ett så säkert sätt jag kan och därför uppmanar mina kollegor att göra detsamma. Om jag kan visa att jag tänker på säkerheten i alla avseenden hoppas jag på att det kan spegla sig i säkerhetskulturen på kontoret. Sebastian som också vann, skickade in följande: Jag skulle vilja använda minnet som ett 100% säkert system, där minnet monteras in i en disklös dator, där man installerar Windows 10 + UWF (Unified Write Filter), sedan skrivskyddar med den fysiska knappen. UWF gör att Windows 10 startar i en ramdisk. Sedan låser man UEFI/BIOS så att det inte kan flashas/uppdateras från windows. Systemet isoleras sedan i brandväggen på ett eget subnät så att det bara kan kommunicera med internet, ej andra enheter i nätverket. Sedan får man ett 100% säkert system, där, ifall man får virus eller hackerattack, räcker att boota om datorn, så är den sedan 100% pålitlig och ren. Det är också en fördel att ifall man vill göra känsliga saker, så bootar man om datorn först - och man kan vara helt säker på att datorn är pålitlig. Det är också bra som lek/experimentdator, får man någon skum fil eller minne, så kan man testa det i den datorn och går det åt skogen - bara att boota om. Då slipper man också ha lokalt antivirus/brandvägg, samt man slipper behöva ha UAC eller lösenord/konton, utan kan köra som system32 utan risk. Händer något - bara att hålla inne strömknappen på datorn i fem sek, sedan 100% garanterat rent! Det blir som en systemvid, hårdvaruskyddad sandlåda man kan lita på i alla lägen och boota om vid minsta tveksamhet. Fastighetsautomation I nyhetsbrev #18 funderade jag lite kring fastighetsautomation och efterlyste era erfarenheter på området. En av de som hörde av sig var Kristina Blomqvist, tidigare programansvarig för MSB:s nationella program för säkerhet i industriella informations- och styrsystem, numera på Vattenfall. Hon berättar: ”Inom det programmet ville vi 2016 få en bild av, och uppmärksamma situationen inom fastighetsautomation och tog därför fram två rapporter mha FOI och ett mycket grundläggande faktablad. En sak som framgår är att ansvarsstrukturen är väldigt komplex, med byggherre, entreprenör, förvaltare och sedan själva hyresgästen (som dessutom byts regelbundet). Detta samtidigt som fastighetsvärdering traditionellt inte alls bygger på kvaliteten av denna typ tekniska installationer (HVAC – värme, ventilation). Inte en optimal utgångspunkt för att säkra och robusta system! Speciellt inte som intrimningen av dessa system oftast görs sist – så eventuell tidsförlust tidigare i ett byggprojekt sparas in på den tid som hade avsetts för automationsintegrationen. Till detta kommer den starka viljan till energieffektivisering, som ofta leder till önskan om ökad uppkoppling. ” Hon skickade också med länkar till några riktigt intressanta rapporter som togs fram under hennes tid som programansvarig på MSB: NCS3 - Industriella informations- och styrsystem inom fastighetsautomation, Fastighetsautomation: Cybersäkerhet inom fastighetsautomation Funktioner och IT inom kommunal fastighetsautomation Kopplat till temat den här gången, sjukvård, och det som Kristina beskriver kring komplexiteten kring ansvar, planering och värdering, så kan jag ju själv inte låta bli att fundera över vissa byggprojekt inom vården som blivit uppmärksammade på senare år och hur den här typen av frågor hanterats i dessa sammanhang? Min egen bakgrund på området är främst fokuserad på styrning, säkring och kontroll av system för inpassering, områdesskydd, video, brandlarm etc. (Som för övrigt varit säkerhetsmässigt katastrofalt dåliga i nästan samtliga fall, vilket ju är nästan parodiskt med tanke på deras syfte och hur viktiga de är…) När det gäller annan fastighetsnära automation har jag mest storys från amerikaner att gå på, man hör liknande berättelser liknande Kristinas om ansvarsförvirring och rent byggfusk som leder till att BACnet-gateways för skyskrapor hamnar direkt på Internet… Riktigt kul att höra från er läsare! Tack Kristina! Någon mer som har erfarenheter att dela med sig av från detta spännande område? Safety eller Security? IET, "The Institution of Engineering and Technology", är en brittisk organisation som nyligen gav ut något man kallat "Code of Practice: Cyber Security and Safety". Deras egen förklaring till dokumentet är: This Code of Practice is written for engineers and engineering management to support their understanding of the issues involved in ensuring that the safety responsibilities of an organization are addressed, in the presence of a threat of cyber attack. “If it’s not secure, you can’t be confident it’s safe”. De sätter fingret på en gammal sanning på ett lite nytt och elegant sätt, nämligen det att "Safety" och "Security" måste gå hand i hand om man ska skapa ett trovärdigt säkerhetsprogram. Den kortfattade förklaringen här ovanför realiseras däremot i ett hyfsat omfattande dokument på total 97 sidor. Jag kan förstås inte låta bli att koppla det här dokumentet till utmaningarna som sjukvården står inför där relationen mellan "Security" och "Safety" blir extremt påtaglig när man inkluderar patientsäkerheten i begreppet "Safety". Nu är inte dokumentet skrivet på ett sätt som passar speciellt bra i sjukvården utan mer i en klassisk ingenjörsmässig sättning. Trots det tror jag säkert att många poänger kan fungera även i sjukvården. Dokumentet är skrivet på det där brittiskt skickliga sättet som gör även supertorra ämnen lite mer tillgängliga. De hänger upp mycket av innehållet på 15 principer som ska genomsyra organisationen för att knyta ihop "Safety" med "Security": Vi får se hur framtiden ser ut för det här utspelet. För den som arbetar med någon form av säkerhetsfrågor i en organisation med farliga miljöer eller miljöhotande system kan det här vara ett spännande grepp på gamla sanningar. Tips på läsning, lyssning och tittande Här lite blandade artiklar som jag tycker är spännande: https://www.ise.io/hospitalhack/ Riktigt genomarbetad rapport från en imponerande analys av utmaningarna inom sjukvården som tillsammans med en närsynt titt på säkerheten i ett antal medicinska produkter resulterar i riktigt bra och handfasta råd för ett bra säkerhetsarbete! https://webbutik.skr.se/sv/artiklar/klassa-for-iot.html Sveriges Kommuner och Regioner, SKR, har släppt normativ vägledning för IoT-säkerhet kopplat till deras KLASSA-ramverk. https://www.youtube.com/playlist?list=PL8OWO1qWXF4qRHrSTpwFbuLUL-bOrGn4y Förra gången nämnde jag S4-konferensens "On-ramp" som är en fantastisk krasch-kurs i allt kring OT och OT-säkerhet. Nu är serien på 10 avsnitt komplett och de har även börjat lägga upp fortsättningsserien på 10 avsnitt till! https://www.cisa.gov/sites/default/files/publications/Insider%20Threat%20Mitigation%20Guide_Final_508.pdf Massor med kloka tankar från CISA kring insider-problematik! https://cyberstartupobservatory.com/the-need-to-change-the-paradigm-of-control-system-cyber-security-part-1-background/ Joe Weiss kommer som vanligt med spännande och provocerande idéer i denna text. https://www.eetimes.com/cybersecurity-standards-in-ot-and-industrial-iot/ En titt på ISA/IEC 62443 och NIST SP 800-82. https://www.ncsc.gov.uk/information/exercise-in-a-box Stöd till övningar från brittiska NCSC. https://portswigger.net/daily-swig/passwordscon-2020-authentication-expert-expresses-skepticism-about-passwordless-future Jim Fenton sätter bra ord på det jag känt länge, att det här med "Passwordless" som blivit populärt på sistone kanske inte är helt genomtänkt. Saker som att biometri inte går att återkalla när den kommit på avvägar och att en PIN egentligen bara är ett dåligt lösenord... http://scadamag.infracritical.com/index.php/2020/11/17/the-chinese-hardware-backdoors-can-cause-transformer-failures-through-the-load-tap-changers En text till av Joe Weiss apropå misstankarna om manipulerade transformatorer i det amerikanska elnätet, http://scadamag.infracritical.com/index.php/2020/11/15/what-would-sun-tzu-and-louis-pasteur-say-about-todays-industrial-cybersecurity Ett märkligt samtal mellan den klassiska kinesiska generalen Sun Tzu, den franske 1800-talskemisten Louis Pasteur och textens författare Vytautas Butrimas. Det här nyhetsbrevet skickas till mottagare med intresse av säkerhet inom OT. Det produceras av Mats Karlsson Landré på Atea Sverige och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats.karlsson-landre@atea.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Ja! Det är jag! Den uppmärksamme noterade att jag har ytterligare ett efternamn numera, men i övrigt kommer du känna igen allt som du är van vid i nyhetsbrevet! Den här gången är temat USB vilket kommer synas på lite olika sätt. Det blir tvättmaskiner, revanscher, innehållsförteckningar, badankor, podcasts och paneldebatter. Dessutom kommer jag för första gången ha en tävling för mina läsare! Läs och vinn! Denna utgåva hittar du här: https://www.linkedin.com/pulse/nyhetsbrev-ot-s%C3%A4kerhet-utg%C3%A5va-19-mats-karlsson-landr%C3%A9/

Här är ett riktigt fullpackat nyhetsbrev! Konferensrapporter, nyheter och egna klokskaper blandas vilt med tester, lästips, teasers och en massa annat skoj! Ni får också chansen att se och höra mig istället för att bara läsa mina texter. Denna utgåva hittar du här: https://www.linkedin.com/pulse/nyhetsbrev-ot-s%C3%A4kerhet-utg%C3%A5va-18-mats-karlsson/

Den här gången är temat OT-säkerhet från alla jordens hörn. Vi gör nedslag i England, Sverige, Taiwan, USA, Tyskland, Saudiarabien och Spanien. I den här utgåvan tittar jag också närmare på en underskattad doldis när det gäller nätverkssäkerhet: Nätverkstappen. Närmare bestämt en Ixia-tapp från Keysight. En imponerande liten manick som löser en del kluriga utmaningar när man ska analysera nätverkstrafik i olika situationer. Denna utgåva hittar du här: https://www.linkedin.com/pulse/nyhetsbrev-ot-s%C3%A4kerhet-utg%C3%A5va-17-mats-karlsson/

Den här gången är temat för nyhetsbrevet RISK, vilket ju är intressant även utanför OT-världen. Du får mina tankar kring kvantitativ riskanalys, jag funderar kring nyttan av hemligstämplade hotbildsanalyser, provkör ett virusskydd speciellt för OT, vi tittar på Sinclairs Koelemeijs idéer kring hur man hittar sina risker, ger en massa boktips kring risk, dissar system med flera nätverks-anslutningar och funderar över varför det kommer så många larm om sårbarheter och risker i OT-produkter nu för tiden? Denna utgåva hittar du här: https://www.linkedin.com/pulse/nyhetsbrev-ot-s%C3%A4kerhet-utg%C3%A5va-16-mats-karlsson/

Äntligen tillbaka efter en riktigt bra semester och då måste man ju prova lite nya grepp! Nyhetsbrevet har fått flytta från Sway till LinkedIn vilket passar syftet med nyhetsbrevet lite bättre men framför allt ger det bättre kontroll över formatering och utseende. Återkoppla gärna om du har tankar eller synpunkter kring bytet. Denna utgåva hittar du här: https://www.linkedin.com/pulse/nyhetsbrev-ot-s%C3%A4kerhet-utg%C3%A5va-15-mats-karlsson/