Företag som igår kunde klara sig med helt eller starkt separerade drifts- och affärsnätverk behöver idag hitta nya vägar. Med bibehållen trygghet vill man föra över information mellan nät som ur ett strikt safety/security-tänk aldrig borde kopplas ihop. Många digitaliseringsinitiativ kräver en ständig ström av data ifrån den operativa driftens OT-nät över till affärssystemens IT-nät där den kan omformas till förbättrad service eller lockande mervärden för abonnenter och kunder. I denna verklighet behöver nya lösningar prövas och utveckling ske runt säkerhets- och driftsstrategi.
För att utvecklas kan man lära sig av sina egna misstag och upplevelser. Det går också att lära sig av andras misstag. Troligen inte riktigt lika effektivt, men oftast betydligt behagligare. Oavsett vems misstag eller upplevelser det gäller, för att man ska lära sig rätt sak behöver man ha koll på vad som faktiskt hände och gärna ge det lite eftertanke för att ta med sig rätt saker från det inträffade.
Ska jag satsa på bättre anti-virusskydd eller kanske snarare stärka skyddet mellan mina IT- och OT-nätverk?
Mer att lära från attacken på Ukrainas elnät
Den 23 december 2015 slogs delar av Ukrainas elnät ut. 225 000 abonnenter blev utan ström. Ganska snart stod det klart att händelsen varken var en slump eller berodde på någon uttjänt el-komponent. Den var triggad av en yttre aktör som genom en cyberattack forcerade fram strömavbrott under ett flertal timmar hos tre energibolags abonnenter.
Ganska tidigt i rapporteringen dök en trojan vid namn ”BlackEnergy” upp. Namnet klingade helt rätt för att vara inblandat i en cyberattack mot ett elnät och undersökningar i samtliga av de tre distributionsbolagen fann spår av trojanen. Som följd blev en av uppfattningarna att BlackEnergy-trojanen var synonymt med attacken som släckte elnätet.
Men BlackEnergy existerade långt innan den 23 december. Redan i september 2014 producerade IT-säkerhetsbolaget F-Secure ett whitepaper om just BlackEnergy. BlackEnergy i sig självt är ett ”toolkit” som används för att etablera ett varaktigt fäste in i någons nätverk och kunna skicka in och ut information utan upptäckt. Ett typiskt verktyg för så kallade APT, Advanced Persistant Threats.
Risken här är ifall man drar slutsatsen ”Jag vill skydda min kritiska infrastruktur. BlackEnergy är en Trojan. Alltså behöver jag ett bättre anti-virusskydd!” eller ännu värre ”Jag har nu uppdaterat mina anti-virus signaturfiler så att de hittar BlackEnergy. Nu kan jag känna mig trygg igen!”
Den slutsatsen är en möjlighet, men om vi istället ger lite tid till eftertanke och letar efter något lite mer nyanserat och som kan ge större effekt på vårt säkerhetsarbete. Vilka tankar väcks då?
En så kallad ”cyber kill chain”
En viktig sak att inse är att BlackEnergy bara var en liten del av händelsekedjan kring attacken. Dels så skulle just den biten av kedjan kunna ersättas med någon annan trojan, dels så finns det många andra sätt för en attackerare att uppnå samma resultat.
Just begreppet ”kedja av händelser” används för att analysera dataintrång och för att planera säkerhetsskydd. Ursprunget kommer från den amerikanska militären där begreppet ”kill chains” funnits under en längre tid. I militära sammanhang representerar det den kedja av händelser som behöver ske för att som resultat av en attack med förtroende slå ut ett visst mål. Detta har sedan anpassats av t.ex. företaget Lockheed Martin för cyberområdet, till en så kallad ”Cyber kill chain”.
Det avslutande 7:e steget i Lockheed Martins Cyber kill chain är ”Actions on Objectives”, d.v.s. där man utför själva syftet med intrånget. De övriga sex stegen handlar om att undersöka, planera, och leverera själva intrånget till nätverket. Även om ”Actions on Objectives” bara är ett steg så kan det steget i sig självt kräva minst lika stor och avancerade förberedelser för att utföra.
Speciellt tydligt blir detta i nät som omger industriella system. Detta kan ses i artikeln ”The Industrial Control System Cyber Kill Chain” av Michael J. Assante och Robert M. Lee från SANS institute. De argumenterar för att en kill chain för en attack mot ett ICS har en andra del (Stage 2) där själva attacken mot kontrollsystemet planeras och utförs.
Gränssnittet mellan IT och OT-nätverk
Detta belyser vikten av gränssnittet mellan IT och OT-nätverk. Är målet som attackerare att nå styrsystem eller sensorer för informationsinhämtning eller till och med målet att påverka processförloppet aktivt så måste de ta sig från det IT-nätverk där de ofta landar i sin attack över till nätet där de kan påverka.
Ibland är nätverket ordentligt segmenterat och ingen nätverkskoppling existerar alls. Ur ett säkerhetsperspektiv är detta helt rätt men framfarten driven av digitaliseringen knackar ganska hårt på den porten och vill öppna upp fler och bredare informationsflöden mellan just affärssystem och styrsystem.
Vår lösning? Ta en titt på vår SecuriCDS ZoneGuard
