.png)
Den här gången tittar vi på ölbryggning, blodtörstiga sparvar, NIS2, Zero Trust, borttappade lösenord och en massa annat spännande kring OT-säkerhet.
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Det börjar dra ihop sig för NIS2...
Som ett barn inför julafton försöker jag förväntansfullt hålla koll på vad som händer under EUs julgran. Det är inte helt enkelt att följa med i de sista stegen som behöver tas för att NIS2 ska slutgiltigt klubbas igenom men det rör sig framåt.
Det senaste som jag sett är att ITRE (utskottet för industrifrågor, forskning och energi) godkände den slutgiltiga versionen av direktivets texter under juli. Agendan för Europaparlamentets plenum-möte i september var tydligen redan fulltecknat så det verkar som att NIS2 tidigast kan komma att godkännas i oktober. Men den som väntar på något gott...
Jag har gjort analyser åt kunder som ville veta om de omfattas av det nya direktivet och där resultatet höjde en hel del ögonbryn... Min egen favorit är en lista som jag gjort med de drygt 250 tillverkande industriföretag runt om i Sverige som jag bedömer kommer "drabbas". Jag tror många kommer bli förvånade när de inser att hela deras bransch klassats som samhällsviktig av EU, en del av dessa branscher är nämligen inte alls uppenbara vid första anblicken.
Resan mot att uppfylla kraven i direktivet kommer bli väldigt tuff för många av dessa företag även om det förstås kommer variera en hel del. Några vanliga kommer nog vara:
Att ändra självbilden i organisationen till att vara samhällsviktig.
Att samla risk- och säkerhetsarbetet så det blir strukturerat och samtidigt företagsövergripande. Direktivet gör ingen skillnad mellan IT eller OT, mellan supply chain eller produktion och mellan olika fysiska produktionsplatser.
Ledningen förväntas ta ett mer direkt ansvar för säkerhetsfrågor. Inte alltid att den kompetensen finns.
Att bli utsatt för tillsyn från en myndighet kommer vara en ovan erfarenhet för många. Nu är industrier klassade i den lägre nivån, ”important entities”, så det blir oftast bara tillsyn efter incidenter eller andra indikationer. Men ändå…
Rent praktiskt att få på plats rutiner och lösningar som skyddar verksamheten och dess system. Många är redan duktiga men jag skulle säga att majoriteten är sämre än de tror, i synnerhet nära produktionen.
Praktiskt omsätta säkerhetskraven gentemot leverantörer vid upphandlingar.
Men vi ska inte glömma den stora massan av företag som själva INTE omfattas av direktivet men vars kunder gör det. Eftersom deras kunder nu tvingas ha med motsvarande säkerhetskrav gentemot leverantörer så förändras relationen och kraven i många fall rejält. Här finns en chans för många att skaffa sig konkurrensfördelar genom att vara tidiga på bollen!
Det senaste utkastet av direktivet som jag hittat går att läsa här. Väl värt att ta till sig!
Rovfågeln är inte så blodtörstig i alla fall!
En hackergrupp som kallar sig Predatory Sparrow har enligt videofilmer som sprids angripit iranska ståltillverkare den 27:e Juni där man orsakat stor fysisk skada genom att manipulera OT-system i tre stålverk. Gruppen säger sig också ha stulit stora mängder känslig information från företagen. Motiven till attackerna som uppges är politiska med koppling till Iran som land.
Det som gjort att detta fått lite extra uppmärksamhet är att gruppen via Twitter tryckt på att man utfört de fysiska attackerna mycket försiktigt för att inte oskyldiga människor skulle skadas. Med tanke på vad som visas på videon är det annars en rejäl risk! Det har framförts teorier om att detta beror på att man är en statskontrollerad grupp med regelverk för hur de får bete sig under operationer. Andra berömmer helt enkelt gruppen för att man agerar med etiska ställningstaganden.
Oavsett bakgrund eller motivering så är detta ett unikt och intressant fall av en "väl" genomförd OT-attack med mycket tydliga fysiska konsekvenser och som (enligt uppgift) dessutom filmats genom att man hackat anläggningens egna kameror!
Tyvärr kommer sannolikt inte speciellt mycket detaljer kring attackerna bli kända via de utsatta företagen. Angriparna har däremot gett oss både bilder och filmer inklusive skärmdumpar från vad som uppges vara de hackade systemen.
SCADAfence har skrivit om händelsen på sin blogg där man gjort en analys av vad som tekniskt går att uttyda från bilder och filmer. Exempelvis har de identifierat att Siemens PCS7 används och sannolikt S7-400.
I mediabevakningen av händelserna sägs ofta att det är mycket ovanligt med fysiska konsekvenser. Det här är något som välkände Joe Weiss inte håller med om i sin artikel "Cyberattacks causing kinetic damage are neither new nor uncommon". Han tittar på alla incidenter i kontrollsystem, oavsett om de är avsedda att vara elaka eller inte. En poäng i hans resonemang är att det ofta är väldigt svårt att avgöra vad som orsakade en incident - ett angrepp eller en olyckshändelse. Han ger en del spännande exempel som inte diskuteras så ofta.
Gruppen har efter hand släppt filer som man säger sig stulit från de företag som angreps. Nästan samtidigt som jag skriver denna text så släppte hacker-gruppen ytterligare 46 GB.
Händelsen är ett utmärkt argument att använda när det dyker upp argument som "en hacker skulle inte veta hur man manipulerar våra system" - här är det ju uppenbart att man både har full kontroll över den fysiska processen men också att man mycket exakt kunde styra när skadorna skulle skapas. Ett annat vanligt argument är "vi har föreglingar mot sånt" men typiskt är de metoder som används för safety-analyser inte anpassade för att hantera intelligenta angripare vilket lätt leder till en falsk känsla av säkerhet.
Nya kontroversiella sårbarheter: "OT:ICEFALL"
Vedere Labs, som är en del av Forescout, släppte i slutet av juni en rapport om nästan 60 sårbarheter i utrustning från 10 viktiga OT-leverantörer. Det är många allvarliga hål och viktiga typer av system, men det kanske inte är det intressantaste i sig. Det har blivit en hel del diskussion kring detta avslöjande, bland annat eftersom man trycker på att ett antal av dessa utrustningar har olika former av säkerhetscertifieringar samtidigt som man har allvarliga sårbarheter - som dessutom är relativt enkla att upptäcka. Man har även tittat på begreppet "insecure-by-design" och pekar på ett antal oskyddade protokoll.
Zero Trust i OT?
Om du också snöat in på Zero Trust så kan jag rekommendera videon med diskussionen från årets S4-konferens som nu är släppt. John Kindervag & Co reder ut en massa viktiga missförstånd och sanningar kring Zero Trust i allmänhet och kring OT-säkerhet i synnerhet.
Jag har skrivit en del om detta tidigare, senast i nyhetsbrev 42. Det här är ett spännande område där det händer mycket nu och som dessutom väcker mycket känslor och diskussioner...
I en intressant artikel från Nozomi, pekar man på att Purdue-modellen, som många (tyvärr) fortfarande använder som något slags facit när de designar sina system, uppenbart inte passar ihop med Zero Trust. I mina ögon passar däremot Zero Trust alldeles utmärkt ihop med koncepten "Zones and Conduits" från IEC 62433.
En annan intressant artikel av Moreno Carullo som är CTO på Nozomi Networks diskuterar några typiska utmaningar kring Zero Trust i OT-världen men han föreslår också tre intressanta lösningar på en del av problemen där en av dem var ett lite nytt grepp för mig. Han tänker sig att man använder nätverksdioder för att skapa "enkelriktad trust" där det passar, vilket jag personligen tycker är ett smått genialiskt sätt att se det på. Det är inte noll trust men det är en vettig ersättare om man vill vara säker på att implicit förtroende bara kan finnas i en riktning. Det kanske inte passar i speciellt många sammanhang men det är en riktigt stark pjäs att spela i rätt sammanhang!
Att hacka eller bli hackad - varför inte båda?
Bleeping Computer skriver i en intressant artikel om skadlig kod som riktat in sig på OT-folk. De refererar till information från Dragos som gjort analysen.
Det är ett program som man ska använda om man tappat bort lösenordet till sin PLC - oavsett om det är grejor från Omron, ABB, Siemens, Mitsubishi eller någon annan av de stora tillverkarna.
Programmet annonseras på sociala medier för att hitta intresserade användare. Det fungerar som det ska, problemet är bara att det passar på att installera en skadlig kod kallad "Sality" som är ett botnet. Lite tråkig bismak på det lösenordet...
Ölbryggning och OT-säkerhet
TXOne är ett av mina personliga favoritföretag. Nu har de släppt en både rolig och intressant rapport kring hur OT-säkerhet påverkar produktionen av livsmedel, och inte av vilka livsmedel som helst - Ölproduktion!
De tittar på kända incidenter, hur leverantörskedjor i livsmedelsproduktionen påverkas av ransomware och annat, hur tillverkningsprocesserna ser ut på en hög nivå. Konceptet "Smart beer" introduceras och var i ölbryggningsprocessen cyberattacker kan tänkas orsaka värre skador är spilld öl!
Intressant, viktig och rolig läsning! :-)
Våga vägra Purdue!
Om du läst mina texter tidigare så kan du knappast ha undgått att jag inte gillar hur många använder Purdue-modellen för att bygga sin infrastruktur och därmed sitt säkerhetstänk. På årets "SANS ICS Security Summit" satte Ian Anderson och Bryson Bort ord på just detta med lite nya och spännande vinklar på problemet. De närmar sig problemet med ett smart resonemang kring hur hot-emulering och Threat Hunting kan användas effektivt med en koppling till klassisk Purdue-infrastruktur. De gör också det kloka antagandet att man inte kan bygga bort angreppen till 100% vilket gör förmågan att upptäcka lyckade angrepp helt avgörande.
Vill du ha en snabbintroduktion till hur modernt OT-säkerhetsarbete kan se ut så rekommenderar jag den här videon!
Krisberedskap och dricksvatten
Livsmedelsverket har snyggt nog börjat släppa delar av deras nya "Handbok för krisberedskap och civilt försvar för dricksvatten" efter hand som de läggs upp på remiss eller blir helt klara. Just nu finns tre intressanta delar uppe för remiss till den sista oktober:
Krisberedskap och totalförsvarsplanering
Hotbild och planeringsförutsättningar
Externa aktörer och stödresurser
Kan vara intressant även om man inte är vattenproducent
Den sista metern!
Ett riktigt bra tekniskt whitepaper av SEL (Schweitzer Engineering Laboratories) och Cisco som tillsammans tittar på utmaningen med att skydda fysiska nätverksanslutningar "långt ut" i en anläggning. De hyllar det gamla MACsec-protokollet som visar sig passa fantastiskt bra i det här sammanhanget.
Ett av de absolut bästa och snyggaste whitepapers jag läst på mycket länge! Stark rekommendation även om du inte arbetar med eldistribution.
Funktionell säkerhet och den första lagen för OT-säkerhet
För den som är intresserad av funktionell säkerhet och safety kan jag rekommendera en text av Sinclair Koelemij där han för ett (som vanligt) intelligent resonemang kring något han döpt till "1st law of OT Cyber Security Risk". Det handlar om en möjlighet att koppla samman safety-analyser i stil med LOPA eller HAZOP med riskanalyser kring OT-säkerhet på ett sätt som sätter gränser för vilka OT-risker som är acceptabla utan att påverka Safety-funktionernas effektivitet.
Ny version av C2M2
Amerikanska DOE, Department of Energy, har släppt en ny version av C2M2 som är en elegant mognadsmodell för hur en organisation klarar av att hantera sina IT- och OT-miljöer.
Det finns också ett gratis verktyg för att underlätta utvärderingen.
Säkerhet på djupet eller i designen?
Det här med att få med säkerhet i utformningen av OT-system är en klassisk utmaning och ett populärt diskussionsämne. Hur gör man? Är det meningsfullt? Ska man ha säkra komponenter eller ska man bygga en säker helhet?
Nu i dessa dagar där Zero Trust är ett populärt slagord hör man ibland åsikter kring att det traditionella djupledsförsvaret, "Defense in depth", är inprecist och slösaktigt. (Alltså det klassiska sättet att bygga starkare säkerhet genom att kombinera flera olika skydd "i lager utanpå varandra".) Personligen skulle jag inte vilja gå så långt men jag håller med om att vissa kombinationer av säkerhetsåtgärder är mer effektiva än andra.
Jag läste en intressant och klok text av Phil Venables kring "defense in depth". Den har ingenting speciellt med OT-säkerhet att göra men är mycket tänkvärd. För att få en meningsfull effekt så måste kan kombinera skydd på ett genomtänkt sätt, exempelvis:
Kombinera skydd som förhindrar angrepp med skydd som upptäcker dem
Kombinera olika kategerier skydd: tekniska, mänskliga, organisationella osv
Sprida ut skydd som liknar varandra på olika ställen i arkitekturen
Aktiva och intelligenta skydd som agerar på "ledtrådar" från varandra
The Register hade nyligen en artikel av Jessica Lyons Hardcastle med anledning av OT:ICEFALL som sätter ljuset på att många av den här typen av sårbarheter aldrig kommer få en CVE. Detta eftersom produkterna med flit är utformade på ett osäkert sätt. Uttrycket "insecure-by-design" är vanligt i den här typen av diskussioner, vilket pekar på samma problem. I artikeln uppmärksammas utmaningen med att säkerhetsåtgärder på ett område dessutom gör det svårare att skydda sig mot andra sårbarheter, exempelvis kan det vara väldigt svårt att avgöra om en krypterad anslutning till en PLC utnyttjar att den tillåter osignerad kod att köras.
Alltid lika pålitliga Sarah Fluchs publicerade nyligen "Security by Design Decisions" där hon, förutom att på ett underbart sätt förklara vad "Security by design" är för någonting genom att jämföra med med vattenläckor i rör, också introducerar tankesättet "Security by Design Decisions". Det är ett upplägg som tydliggör vilka säkerhetsbeslut som behöver tas under utvecklingsarbete och vad det innebär. En poäng som jag gillade är att mycket handlar om att synliggöra besluten om säkerhet som redan görs!
Försvara flaggan!
En kort text av Spencer Wilcox som publicerades av (ISC)2 säger kloka ord om slagsidan i hur säkerhetsbranschen tenderar att fokusera på det "sexiga" i att hacka system men betydligt mindre på att spela på den defensiva sidan. Inte minst kopplat till OT-system där de ibland extrema konsekvenserna kan göra saken extra intressant...
Jag kan känna igen mig att jag lite för ofta stöter på unga pentestare som stolt berättar om sina eskapader och som tror att jag automatiskt kommer ha väldig nytta av dem i mitt arbete. Inget ont om pentestning, jag har själv varit där - jag kommer aldrig glömma första gången jag såg den där blicken hos utvecklaren när hen insåg att jag just tankat ur hela databasen genom applikationens lösenordsfält via en klassisk SQL-injection...
En bra CTF är riktigt roligt men är det inte dags att det börjar dyka upp "DTF" - Defend The Flag? I övningsform finns det förstås, men det skulle vara roligt att se det i en form som gör att de blivande säkerhetsproffsen i lugn och ro kan öva på säker systemdesign och aktivt försvar hemma. Det kanske finns? Hör gärna av dig och upplys mig om verkligheten! mats@ot-sakerhet.se
Alla behöver en fältmanual - eller?
Det verkar vara en liten trend just nu kring att skapa "Field Guides" och "Field Manuals". I förra nyhetsbrevet skrev jag om Tripwire, Belden och ProSoft som släppt en sådan.
Nu kontrar SANS med sin variant. Roligt utformad och innehåller något slags extrem sammanfattning av en massa saker, högt och lågt, kring OT-säkerhet. Det är den första volymen av flera som sägs vara på väg. Den kan nog fungera ganska bra som snabbintroduktion till området vilket också verkar vara huvudsyftet med den. Det ska bli intressant att se vad kommande volymer innehåller!
Britterna granskar sina leverantörer
Ett riktigt bra dokument från brittiska NCSC, National Cyber Security Centre, som ger en metod och en rejäl lista med punkter att utvärdera leverantörer av nätverksansluten utrustning med. Det handlar om mjukvaruutveckling, tredje-partsberoenden, behörighetshantering, tekniska skydd, firmware-signering, testning och en massa andra klockrena punkter.
Väl värt att ha med under upphandlingar!
Irland kan också!
Man får se upp så man är i rätt land ibland... Irland har nämligen också ett NCSC! De har släppt ett litet (9 sidor!) men användbart dokument kallat "Securing Operational Technology".
I huvudsak är det en lista som summerar kloka åtgärder att ta i typiska OT-implementationer.
Vem är Mats?
Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.