Dags för en sommarutgåva av nyhetsbrevet kring OT-säkerhet!
Några höjdpunkter den här gången är segmentering i små verksamheter, OT-säkerhet i sjöfarten, slutet på OT:Icefall, spännande konferenser och mina egna tankar kring lathet och vanliga feltänk om sårbarheter.
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Att dela upp små saker...
NIST har kommit med ett litet (27 sidor) papper som är tänkt att hjälpa små tillverkande verksamheter igång med segmentering.
Det är ett komplext område, men jag tycker nog att de lyckats skapa något som kan ge bra värde för den här typen av verksamheter. Det går nog även att läsa med bra behållning även om man sysslar med annat än tillverkning!
Ett skepp kommer lastat...
...med vad då? Jo, med en intressant rapport från DNV kring läget för cybersäkerhet inom sjöfarten. Läs gärna även om du inte är i branschen! Du får dessutom en motsvarande syskon-rapport för energi-branschen "på köpet"!
Det kommer förvisso inte som någon nyhet för de flesta i branschen, men det är på sätt och vis ändå tråkigt att rapporterna tydligt visar att den främsta drivkraften för investeringar i säkerhet fortsätter vara myndighetskrav och compliance. Som säkerhetsperson önskar man ju förstås att världen skulle fungera på ett annat sätt, men det bekräftar å andra sidan att EU sannolikt är på rätt väg med NIS2 och alla andra nya regleringar som är på väg!
Jag tyckte nog personligen att det var lite extra intressant eftersom jag har haft förmånen att vara involverad i ett par mycket speciella fartygsprojekt på sistone. Ett modernt fartyg innehåller en vansinnig mängd spännande OT-system och det behöver förstås ställas en del tuffa krav på säkerheten för att garantera att båten och dess besättning inte råkar ut för tråkigheter... Om jag någon gång ska fundera över vad jag ska bli när jag blir stor, så ligger nog OT-säkerhet kring fartyg bra till. Roligt och utmanande!
Även om man inte är intresserad av sjöfart och fartyg så finns det väldigt mycket bra material från klassningssällskap som DNV och Lloyd's Register, men även från samarbets-organisationer som IACS och BIMCO. Här kan man hitta mycket klokskap som är applicerbar även i andra branscher, inte minst för att man är väldigt duktig på att basera sina resonemang kring OT-säkerhet på IEC 62443!
Precis som inom många andra områden ökar beroendet av digitala lösningar samtidigt som hoten också upplevs som större. För att möta det kommer en rad krav från olika håll. DNV och en rad andra klassningsorganisationer samverkar i organisationen IACS och därifrån kommer gemensamma OT-säkerhetskrav som blir betydligt tuffare vid det kommande årsskiftet. NIS2 är också en brutal kravmassa som berör den här branschen på många sätt! Förutom fartygen själva ska en rad tuffa säkerhetskrav på hamnar kunna hanteras och förstås alla krav som ramlar in via kunderna. Säkerhets-branschen känns som en stabil arbetsmarknad framöver...
Spotlight på säkerhet i DCS och SCADA
OTORIO är en firma som jag har stor respekt för. Deras produkter har fått mycket uppmärksamhet på sistone (välförtjänt tycker jag), inte minst för deras OT-anpassade sätt att göra analyser av attackgrafer. Det kommer även en del läsvärt från dem, ett nytt exempel på det är en text som tittar närmare på hur DCS- och SCADA-system kan skyddas. De gör en hel del intressanta poänger med jämförelser mellan olika tillverkare. Dessutom ett antal länkar till riktigt användbara resurser!
Ett annat exempel var en rapport kring ett antal sårbarheter som OTORIO hittat i en lite udda typ av utrustning, en väldigt högteknologisk momentnyckel från Atlas Copco. Det är första gången jag stött på den här typen av utrustning i det här sammanhanget, spännande!
Årets rapport från Verizon
Verizon har släppt sin årliga rapport DBIR, "Data Breach Investigations Report". Väldigt lite OT-säkerhet men ändå intressanta bitar. OT nämns bara specifikt under "Assets" där de bekräftar min personliga åsikt att det fortfarande är väldigt ovanligt med "riktiga OT-attacker" där OT-prylar faktiskt drabbas direkt. Därmed inte sagt att OT-säkerhet inte är extremt viktigt, så länge produktionen påverkar eller farliga situationer uppstår behöver vi jobba med OT-säkerheten! (Även om det på grund av dålig arkitektur egentligen är IT-system som drabbats... Scopet skiljer ofta mellan vad "OT" omfattar och vad som ingår i "OT-säkerhet"!)
Var drar vi gränsen?
Är folk lata? Jag hör ofta att man slarvigt pratar om "OT-säkerhet" som "OT". En fundering som jag diskuterat i lite olika sammanhang på sistone är vad som egentligen ingår i området "OT" och om det i så fall skiljer sig från vad som ingår i "OT-säkerhet"? Det kanske låter som en väldigt akademisk fråga som det inte finns någon verklig nytta med att reda ut? Men kanske inte...
Min preliminära tanke bygger i alla fall på tre observationer från verkligheten:
OT, "Operational Technology", "Operativ Teknik" - borde rimligen alltid definieras som alla de system som någon med flit valt att låta styra eller mäta en fysisk process av något slag.
OT-säkerhet - borde utgå från något slags riskanalys där risker kring de fysiska processerna i verksamhetens bedöms och diverse åtgärder (både tekniska och andra) vidtas för att hålla de faktiska riskerna under kontroll.
De flesta incidenter som uppfattas som "OT-incidenter" orsakas i praktiken av incidenter i system som inte borde kunna påverka den fysiska processen om man bara hade gjort vettiga val. Oftast system som enligt alla modeller är "IT-system" eller som ligger högt upp i modeller som ISA-95 eller Purdue. Det verkar bekräfta att "OT" och "OT-säkerhet" oftast har olika scope.
Ett av våra problem verkar alltså vara att OT-säkerhetsarbetet behöver hantera alla risker som kan påverka den fysiska verksamheten, även om det inkluderar system som inte är tänkta att vara "OT-system". Som vanliga exempel kan vi nämna:
Ett gemensamt Active Directory som används både av "kontoret" och "fabriken"
Dålig segmentering av nätverket som gör att IT och OT har samma skydd och därmed utsätts för samma hot
Ogenomtänkta integrationer mellan system som kortsluter uppdelningen av applikationer eller nätverkssegmenteringen
Gemensamma lösningar för systemadministration, virtualisering, lagring osv...
För att kunna få en effektiv OT-säkerhet behöver vi alltså helt enkelt sträva mot att "OT" och "OT-säkerhet" får samma "scope"? Exakt vad det betyder beror förstås väldigt mycket på hur verksamheten och organisationen ser ut. Åtgärderna känner vi säkert redan till men det här kan kanske vara en mental modell som gör det enklare att förstå eller förklara riskerna kring en producerande verksamhet?
Nu tycker jag förvisso att man ska försöka ha så mycket samverkan mellan OT-säkerhet, IT-säkerhet och Informationssäkerhet som möjligt. Men det ska förstås inte uppfattas som att det är samma sak! Om OT-säkerhet får fokusera på OT-system så blir det garanterat enklare för alla!
Å andra sidan... Det finns förstås ingen lag som förbjuder att man väljer att lägga IT-äggen och OT-äggen i samma korg. Vill man ha ett gemensamt AD och designar det utifrån de förutsättningarna så går det garanterat att göra ganska bra! Men då får man nog vara extra noggrann med att reda ut hur ansvaret för olika delar av säkerhetsarbetet fördelas!
Slutet på isfallet!
En forskargrupp på Forescout, Vedere Labs, har gett oss en kavalkad av sårbarhetsrapporter under samlingsnamnet "OT:Icefall". Det blev totalt drygt 60 sårbarheter i hundratalet produkter från 13 olika leverantörer. Du hittar mina tidigare texter kring detta i nyhetsbrev #44 och #47.
Nu har de släppt den tredje och sista rapporten där de sammanfattar lärdomar och släpper information om de tre senaste sårbarheterna. Sårbarheterna är inte speciellt intressanta i sig, men om du använder WAGO eller Schneider Electric kan det vara värt att titta på.
De lärdomar de dragit sammanfattar de i tre punkter:
Tillverkarna saknar grundläggande förståelse av begreppet "Secure-by-design". Vedere hittade massor med "nybörjarmisstag", som tyder på att det finns stora förbättringar att göra med ganska små medel.
Tillverkarna har en tendens att släppa dåliga säkerhetspatchar. Alldeles för ofta löser man bara delar av problemet eller skapar nya av misstag.
Tillverkarna behöver bättre testrutiner. En stor andel av sårbarheterna är omöjliga att missa om utvecklarna använder grundläggande testverktyg. Vedere noterar att flera av tillverkarna har certifierade utvecklingsprocesser vilket förstås väcker en del frågor...
Rapporten är riktigt välskriven och pekar på ett antal intressanta gemensamma drag hos många av de problem som hittats under arbetet med OT:Icefall. En av poängerna som de pekar på är att det tyvärr mörkas en del kring sårbarheter, som rättas i tysthet.
Djupare in i OPC UA
Jag har tidigare berättat om Clarotys utmärkta artikelserie kring OPC UA. Nu är del 3 och del 4 ute. I del 3 tittar de bland annat på de inbyggda möjligheterna till krypterad kommunikation och i del 4 är det olika implementationer som hamnar i fokus.
Kopplat till artiklarna finns också en text, "OPC UA Deep Dive: A Complete Guide to the OPC UA Attack Surface", som också är värd att titta på.
CVSS 4.0
I nyhetsbrev #50 berättade jag om den kommande nya versionen av CVSS, version 4. Finite State har skrivit en artikel som berättar mer. Intressant är det ökade fokuset på egenskaper som är intressanta inom OT-säkerhet, exempelvis "Safety".
För den som är intresserad kan man lämna kommentarer och feedback på innehållet fram till den 31:e juli.
SDN för IR i OT? :-)
Jag är (som du kan ha förstått i tidigare nyhetsbrev) positiv till användningen av SDN, Software Defined Networking, inom OT-världen. Det finns som vanligt inga perfekta lösningar, allting har uppsidor och nedsidor, men det ger många nya spännande möjligheter!
I en artikel som publicerades i "International Journal of Critical Infrastructure Protection" skriver en grupp från ett spanskt universitet om hur SDN kan användas för att hantera intrångsförsök. Det är en intressant vinkel som utnyttjar några av de starka sidorna hos SDN! SDN i sig kanske inte hjälper oss upptäcka intrång, det finns det andra verktyg för, men det kan definitivt vara en stark komponent för att agera vid intrång. Att sedan SDN skapar väldigt bra möjligheter till närmast extrem mikrosegmentering lägger ju förstås en bra grund för att undvika incidenter helt!
Jag ska inte försöka återberätta texten, utan rekommenderar en genomläsning! Förutom dynamisk filtrering mm tittar de även på andra spännande möjligheter som "Moving Target Defense" som har blivit i ropet på sistone och även på hur klassiska deception-tekniken "Honeypots" kan kombineras med SDN!
När påverkar ett beslut säkerheten?
Sarah Fluchs är ett välkänt namn i OT-säkerhetsbranschen. En av hennes hjärtfrågor just nu är skapa sätt att arbeta med "Security by design", vilket ju är en helt avgörande princip för robust säkerhet. Senaste delen i det arbetet är en artikel som hon varit delaktig i, som tittar på hur man kan sätta bättre säkerhetsmål även om man inte är en "säkerhetsperson". En hel del intressanta tankar!
Allt är remote...
Artiklar riktade till "IT-folk" som försöker sammanfatta varför OT är så annorlunda går det minst 13 på dussinet av. Den här var inget undantag men en liten poäng hade dom som jag inte hade tänkt på förut... Tanken att all access till många OT-miljöer ska ses som "remote". Resonemanget är att systemen i första hand är där för att "sköta sig själva" och därmed kan man se oss som kopplar upp oss som främmande även om vi fysiskt är i närheten. Intressant tanke och kanske ett bra sätt att resonera!
SANS ICS Security 2023
SANS körde sin årliga ICS Security Summit i maj. Jag var inte med själv men på de videos som släppts fanns det mycket intressant att ta del av. Här är några exempel:
Har vi tid?
I förra nyhetsbrevet nämndes forskning för att upptäcka attacker mot TSN, Time Sensitive Networking. För den som är intresserad kan även denna artikel från en radda kloka norrmän vara relevant, den beskriver ett sätt att attacker PTP-protokollet som just används för att synkronisera tiden i den här typen av nätverk.
Mycket uppsägningar...
På senare tid har det varit något av en våg av uppsägningar av personal från en rad framträdande OT-säkerhetsföretag, även här i Sverige. Dale Peterson har skrivit en kort artikel som ger en bra bakgrund till det som händer.
Just nu kan det vara ett utmärkt tillfälle att hitta personal med kompetenser som annars brukar vara svåra att få tag på... Vi som aktivt söker folk försöker förstås "plocka åt oss av godbitarna"!
Säkerhetspolitik!
Försvarsberedningen har släppt en rapport kring det säkerhetspolitiska läget som naturligtvis talar en hel del om "Cybersäkerhet".
Väl värd att läsa!
Vi kommer att ses...
...om du deltar på konferensen "SCADA-säkerhet" i Stockholm, den 19:e och 20:e september. Jag är där för att prata om vad som händer i skärningspunkten mellan OT-säkerhet och NIS2.
Hugg mig gärna under dessa dagar och diskutera vad du vill! Det vore roligt att träffa dig och att få ansikten på några av mina läsare!
Dessutom kommer vi på AFRY att organisera en nordisk konferens kring OT-säkerhet och kritisk infrastruktur den 27:e september. Tillsammans med några av våra partners erbjuder vi en exklusiv heldagskonferens i Solna som trots att den är gratis kommer att vara väldigt "osäljig"! Skynda att anmäla dig, det kommer bli fulltecknat! Förutom att lyssna på klokskaper kring OT-säkerhet direkt från ledande personer inom olika industrigrenar kommer det bland annat bli:
Tre före detta generaler (Fredrik Robertsson, Daniel Bren och Inge Kampenes), från tre olika länder, som alla tre numera arbetar i näringslivet, kommer diskutera hur man håller sin verksamhet robust i en orolig omvärld.
Välkände OT-säkerhetsprofilen Sinclair Koelemij besöker oss för att presentera kloka tankar om försvar i djupled.
Johanna Parikka Altenstedt kommer hjälpa oss få rätsida på alla EU-krav som är på väg och hur de påverkar OT-säkerheten.
Adam O'Gorman och Oscar Gumaelius presenterar ett helhetstänk kallat "Secure Site" som tar ett helhetsgrepp kring säkerheten i alla sorters producerande verksamheter!
Och en massa annat som är inte är officiellt ännu. Bland annat kommer våra partnerföretag skicka sina vassa tänkare för att dela med sig av sina insikter snarare än att visa trötta produkt-slides! Redan klar är Kevin Kumpf från Cyolo men det blir fler tunga namn!
Avslutningen med pizza och mingel är nog inte så dum den heller...
Jag kommer förstås vara där och ser fram emot många spännande möten och diskussioner. Du har förstås även chansen att träffa en massa av mina oerhört kloka och erfarna kollegor, inte bara inom OT-säkerhet, utan även säkerhetsskydd, NIS2, penetrationstestning, produktsäkerhet, safety, ackreditering, säker utveckling och en massa andra områden!
Välkommen till en riktigt rolig dag!
Vänd och vrid på sårbarheter och på ordet "sårbarheter"!
"ICS Advisory Project" har levererat en ny version av sitt verktyg med några nya funktioner.
Man kan definitivt ha åsikter om hur meningsfullt det är att jaga sårbarheter i de flesta OT-miljöer men det ger definitivt en massa intressanta möjligheter att studera sårbarhetsinformation i många vinklar om man ändå är intresserad av det.
Det jag personligen kan tycka är lite tråkigt, eller till och med oroväckande, är att ordet "Sårbarhet" har tappat några viktiga betydelser. Nuförtiden verkar det bara vara betydelsen "teknisk brist i en enskild komponent" som finns i våra medvetanden, oavsett om vi sysslar med IT-säkerhet eller OT-säkerhet. Jakten på den typen av sårbarheter får väldigt mycket uppmärksamhet även i OT-världen, trots att det är väldigt få OT-miljöer som har någon större nytta av den jakten. Det som jag antar är den ursprungliga betydelsen av ordet kommer väl från traditionell riskanalys, där en sårbarhet är allting som kan utnyttjas av en hotaktör för ett angrepp. Alltså inte bara i en viss komponent utan i ett helt system eller till och med en hel arkitektur!
Speciellt inom OT-världen kan jag tycka att det här har blivit ett problem. Alla klagar på att de har för lite resurser, men trots det så läggs mycket tid på detaljer när den stora bilden egentligen behöver hanteras först. Innan vi tar hand om nålarna i höstacken kanske vi ska fundera på om våra höstackar är en bra idé...
Därmed inte sagt att vi ska sluta bry oss om tekniska brister i komponenter, men vi ska först ta ett par steg tillbaka för att se var sådana sårbarheter är meningsfulla att jaga. Då behöver vi först titta på den andra typen av sårbarheter, vilka är de genomgående svagheterna i våra arkitektur, vårt sätt att arbeta med säkerhet och vårt sätt att utforma våra system. När vi löst de problemen kan vi titta lite mer närsynt på tekniska sårbarheter i enskilda prylar!
Vem är Mats?
Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.