Search

  1. Sweden
  2. Kunskap
  3. Blogg
  4. OT/IoT/ICS
  5. Hur utför man en säkerhetsanalys i en IT-miljö som innehåller känslig utrustning?

Hur utför man en säkerhetsanalys i en IT-miljö som innehåller känslig utrustning?

Blogg OT/IoT/ICS
Man som krypterar information

Share

Hur utför man en säkerhetsanalys i en IT-miljö som innehåller känslig utrustning?

 

Säkerhetsanalys på känslig utrustning

Först och främst måste vi definiera vad som menas med känslig utrustning. Att alla företag innehar utrustning som distribuerar tjänster åt anställda känner de flesta till – det vill säga system som tillhandahåller tjänster som t ex eposthantering, intranät och autentisering för att ta några exempel. I takt med teknologins utveckling så har även produktionsmiljöer haft en stigande kurva på enheter som ansluts till nätverk, och där inkluderat Internet. Från att historiskt sett haft en försiktig integration, så har detta eskalerat i rasande takt mot ett mer digitalt arbetssätt de senaste decennierna. Tidigare kunde det krävas att någon fysiskt gick till en station och avläste ett värde, till att idag kunna avläsa detta värde på distans samt kontrollera och övervaka lokala sensorer. Uppkopplingen mot nätverk har även möjliggjort att enheter kan fjärrstyras på distans för att kunna återställa en tjänst till normal drift, eller att kunna kontrollera flödet i en specifik process.

Industriell utrustning

Industriell utrustning har tidigare utvecklats med driftsäkerhet som det primära syftet, och inte alltid ur ett säkerhetsperspektiv. Detta återspeglas i att en del utrustning av ett företags IT-miljö är mer känsliga än andra, och detta uppenbarar sig tydligt när samma enheter ska genomgå en säkerhetsgranskning. Enkla och till synes harmlösa metoder för att identifiera en enhet på ett nätverk kan plötsligt få katastrofala konsekvenser för människor, natur och affärsverksamhet. Exempel på vad som faller under vår definition på känslig utrustning kan vara enheter som hanterar processer, t ex transportband inom livsmedelstillverkning till enheter som hanterar sensorer på värme- och ventilationssystem inom industrin. Andra exempel omfattar även samhällskritiska funktioner som kontroll av vattenflöde i en pumpstation eller eldistribution mellan olika stationer. Om en obehörig individ får kontroll över sådana system så kan det få förödande konsekvenser, på t ex omgivning, egendom eller potentiellt skada en maskinoperatör om parametrar manipuleras med i en process.

Dedikerade attacker på enheter som omfattas av begreppet Industrial Control Systems (ICS), och samtidigt fått massmedial uppmärksamhet är bl a Stuxnet och Industroyer/CrashOverrideStuxnet användes för att angripa och sabotera urananrikningscentrifuger i Iran under 2010. Attacken var en statligt sanktionerad cyberattack som resulterade i ett fysiskt sabotage på industriell utrustning via skadlig programkod. Effekten av attacken blev att centrifugerna började att rotera i högre hastighet än rekommenderat vilket resulterade i kortare livslängd och kraftigt slitage. Industroyer/CrashOverride hade som huvudmål att störa och överbelasta processer samt påverka produktion – vilket bl a medförde avbrott i Ukrainas elnät under 2016. Lokala medier i Ukraina uppskattade att ungefär en femtedel av Kievs befolkning omfattades av strömavbrottet under denna cyberattack. Nämnda malware understryker att industriella system fortfarande är enkla mål för cyberattacker och att påföljderna kan bli omfattande – oavsett om vi talar om produktionsbortfall, personskada eller miljöutsläpp.

Även våra egna hem uppgraderas i snabb takt och med nya produkter som numera vill koppla upp sig mot Internet. Produkter som kylskåp, dörrlås, högtalare och glödlampor har plötsligt fått ett behov att kopplas upp mot Internet. Samtidigt presenteras hemanvändaren med en möjlighet att kontrollera dessa enheter på distans, och med dessa möjligheter uppstår även utmaningar i att begränsa åtkomsten för obehöriga utifrån.

Fortsättningsvis så kommer vi att fokusera på den industriella delen av känsliga produkter eller som Myndigheten för Samhällsskydd och Beredskap (MSB)benämner dem – cyberfysiska system.

Vilka är utmaningarna med cyberfysiska system?

Inom industrin så omfattas generellt sett följande typer av enheter som cyberfysiska system – SCADADCSHMIPLCRTUHistorians, IIoT och där dessa oftast faller under akronymen ICS. Som tidigare nämnts så har industriella system traditionellt sett inte utvecklats med säkerhet som det primära utgångsläget, utan fokus har funnits på tillgänglighet och stabilitet. Detta uppenbarar sig tydligt under säkerhetsgranskningar som utförs på denna typ av miljöer – t ex protokoll som kommunicerar över icke krypterade förbindelser, produkter med äldre operativsystem och föråldrad hårdvara. Tillverkare av cyberfysiska system har på vissa håll förändrat sitt utgångsläge och levererar idag en robust produkt med högre säkerhetsnivå än tidigare. Vi bör dock förvänta oss att äldre system fortfarande existerar inom industrin och kommer ske så ett tag framöver.

Anledningar som bidrar till att produkter inte kan underhållas med säkerhetsuppdateringar:

  • Integrerade operativsystem ej längre underhålls av tillverkaren – d v s att säkerhetsfunktion inte kan underhållas och brister inte kan täppas till.
  • Produktens hårdvara anses inte längre kunna uppfylla aktuella standarder eller ramverk för hur kommunikation bör ske över nätverk.
  • Tillverkare/leverantör av utrustning förhindrar kund att härda produkten. En påverkan kan resultera i att supportavtal och garantier ej längre omfattas.

På vilket tillvägagångssätt ska en säkerhetsgranskning ske?

För att kunna säkra upp en IT-miljö så måste alla inkopplade enheter granskas och genomlysas på ett eller annat sätt. Detta kan utföras på olika sätt beroende på de regulatoriska krav som kunden måste efterfölja i sin affärsverksamhet.

Cyberfysisk utrustning har en tendens att påverkas negativt om krävande och utförliga tester utförs mot en enhet – speciellt penetrationstestning med många parallella anslutningar och ingående tester på protokollsnivå. I många fall beror detta på en föråldrad nätverksstack som enheten besitter, inaktuella funktioner eller brist på stöd av moderna standarder. Initialt är en passiv inriktning att föredra eftersom konsekvenserna minimeras, samt att förändringar och påverkan inte sker på systemet.

Förstudie och planering är grundläggande faktorer inför alla typer av säkerhetsgranskningar, men är av yttersta vikt vid dessa scenarion. Fokusera initialt på att inhämta information från personer som dagligen upprätthåller systemen, samt initiera en dialog med utvecklare och tillverkare. Kunskap och förståelse för både system och process är fundamentalt för ett framgångsrikt uppdrag.

  • Besök produktionsmiljön om möjlighet finns och ges. Initiera en dialog och intervjua personal som arbetar med produkterna på daglig basis. Tillfälle att inhämta och ta del utav ovärderlig information och kunskap.
  • Inventera enheter som ingår i uppdraget. Notera modell, tillverkare och dess funktion.
  • Nätverksdesign över hur enheter och system är sammankopplade, samt hur kommunikation upprätthålls mellan berörda produkter.

Efter att all information sammanställts och analyserats så planeras nästkommande aktivitet – nämligen själva säkerhetsgranskningen. Begränsa säkerhetsgranskningen initialt och utvidga efterhand i takt med att din kunskap och förståelse ökar om produkterna och nätverket. Initiera passiv informationsinsamling genom avlyssning av nätverkstrafik som skickas mellan enheter för att öka förståelsen om involverade komponenter. Sådan process sker lämpligast genom att ansluta en klient till en switch där en specifik port har konfigurerats att avspegla aktuell aktivitet i nätverket. Denna funktion benämns ofta som port mirroringTAP eller SPAN beroende på tillverkare. Lagra nätverkstrafiken genom att använda mjukvara som Wiresharktcpdump eller motsvarande verktyg.

Ett alternativ till passiv informationsinsamling kan vara att exekvera kommandon eller skript lokalt på berörda enheter – förutsatt att tillåtelse getts att inhämta information från dessa. Som tidigare nämnt så kan det förekomma restriktioner på vilka förändringar eller aktiviteter som får utföras för att garantier och supportavtal ska gälla. Säkerställ att erforderligt underlag upprättats innan ni fortsätter.

Om underliggande operativsystem t ex är Microsoft Windows så kan lokal systeminformation sammanställas och exporteras för vidare analys. En förenklad säkerhetsöversikt kan tas fram genom att bearbeta informationen i andra tillgängliga verktyg och där resultatet är baserat på installerade uppdateringar.

Innan aktiv informationsinsamling inleds så reflektera kring de potentiella konsekvenser som kan uppstå om en enhet slutar att kommunicera. Begränsa därför aktiviteten i denna fas till en enskild enhet och inte hela nätverket som dess mål. Säkerställ att du har ingående förståelse och kunskap om de verktyg som ska användas under den aktiva fasen. En rekommendation är att minimera verktygens parallella anslutningar mot ett specifikt mål, samt sänka hastigheten på försöken – s k rate limiting. Detta kan bli avgörande beroende på hur känslig det cyberfysiska systemet förefaller vara.

Hur skyddar vi våra cyberfysiska system då?

Någon gyllene väg eller enhetlig bild finns tyvärr inte att ge, men några rekommendationer kan vi nämna som förhöjer IT-säkerheten med denna typ av system.

  • Använd inte fördefinierade lösenord som tilldelats av tillverkare. Ändra istället lösenordet till långa och komplexa alternativ, samt undvik att använda ord som förekommer i uppslagsverk eller är vanligt förekommande ord.
  • Segmentera nätverk i zoner och kontrollera åtkomst mellan dessa med hjälp av brandväggar. Ett företag med produktionsmiljö bör separera sin IT-/OT-miljö från varandra samt implementera hårda restriktioner mellan zonerna.
  • Autentisering och accesskontroll för användarna. Förhåll er till Principle of least privilege, d v s applicera restriktioner för användare och servicekonto gällande behörighet samt åtkomst till system.
  • Kryptera kommunikation. Om protokoll och hårdvara har stöd för kryptering så bör detta appliceras i den mån implementation är möjligt – oavsett intern eller extern kommunikation mot Internet..
  • Installera Endpoint Detection and Response (EDR) där detta tillåts – förutsatt att detta tillåts av tillverkare/leverantör och inte påverkar garantier eller supportavtal negativt.
  • Network Access Control (NAC). Ta kontroll över vad som ansluter till ert nätverk och tillåt enbart godkända enheter.
  • Loggning av nätverkstrafik samt systemhändelser som avviker från s k normalt beteende – t ex anslutning av ny utrustning, exekvering av otillåtna applikationer, misslyckade inloggningsförsök, portskanning och användning av otillåtna protokoll.
  • Patch Management. Uppdatera systemen kontinuerligt förutsatt att detta tillåts av tillverkare/leverantör och inte påverkar garantier eller supportavtal negativt.
  • Ställ tydliga krav på tillverkare av utrustning gällande säkerhet och härdning. Ta del av alla inblandade aktörers strategiska planer om vad som sker i närtid med deras produktportfölj.

Hur utför man en säkerhetsanalys i en IT-miljö som innehåller känslig utrustning? -Nästa steg?

Innan man påbörjar ett förändringsarbete i en IT-miljö, eller ansluter fler produktionssystem, så är en initialt säkerhetsgranskning till stor hjälp. En kartläggning av aktuell säkerhetsnivå kan sedan använda som grund för vidareplanering och prioritering för att värdera risk och insats. Behöver ni hjälp? Tveka inte att ta kontakt med oss.

Artikel är skriven av Mats Borgström, Senior säkerhetskonsult/Penetrationstestare

 

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.