Taggat med: ICS

Ramverket ATT&CK version 10 nu släppt

Den populära hot-databasen ATT&CK från MITRE har nu släppts i version 10. Databasen innehåller beskrivningar på attackmetoder och olika tekniker som antagonister har använt sig av för att göra intrång.

Versionen innan denna version, dvs version 9 släpptes i April 2021. En av höjdpunkterna i version 10 är att datakällorna har fått en uppdatering och omtag. Dessa datakällor har prefixet DS och ser ut enligt följande:

MITRE ATT&CK datasources

Dessa nya datakällor underlättar relationerna i andra objekt som återfinnes inom ATT&CK. Och förutom ovan webbsida så finns orginalkällan till datan på Github. Just nu återfinnes informationen i YAML-formatet men i framtiden kommer STIX att användas.

Följande bild visar också hur datakällor fyller ett syfte i att beskriva en händelsekedja:

ATT&CK Datasource

Andra nyheter i version 10 av ATT&CK är att macOS och Linux har uppdaterats rejält, och detta genom ett samarbete med ledande forskare inom säkerhet på respektive operativsystem.

Även har ICS fått sig ett rejält lyft, dvs industriella kontrollsystem (SCADA). Dess matrix kan du hitta här:

Och den fullständiga changeloggen med uppdateringar hittar du här.

Säkra leverantörskedjor för styrsystem

Totalförsvarets forskningsinstitut

Totalförsvarets forskningsinstitut (FOI) har släppt en ny rapport om säkra leverantörskedjor för styrsystem. Rapporten visar på en ny trend när det gäller leverantörsskedjor som representeras av ett växande antal specialiserade leverantörer. Kedjan från leverantör till driftsatt industriellt informations- och kontrollsystem (ICS) blir då lång och komplex.

Rapporten går igenom olika regulatoriska krav såsom NIS-direktivet, Cyber Security Act och även branschpraxis samt rekommendationer från bl.a. ISO/IEC, MSB, FRA och CPNI.

Även intressanta saker såsom ansvarförhållanden och förtroendenivåer mellan operatörer och leverantörer tas upp i rapporten och hur dessa förhåller sig mellan olika standarder.

Rapporten är på 52 sidor och kan hittas här som PDF:

Säkra leverantörskedjor för styrsystem

Säkra leverantörskedjor går under benämningen Supply Chain Cyber Security på engelska. Författare till rapporten är Erik Zouave och Margarita Jaitner.

Bild på kontrollpanel av Patryk Grądys från Unsplash

SCADA/ICS-säkerhetskonferens 4SICS

Om några veckor är det dags för årets upplaga av den internationella konferensen om IT-säkerhet i cyberfysiska system (SCADA). Konferensen går under namnet 4SICS (four-six dvs landskoden till Sverige) och hålls på Nalen mitt i Stockholm.

Erik Johansson som tillsammans med Robert Malmgren står bakom konferensen berättar att  ämnen som kommer att behandlas på konferensen i år är cyberattackerna mot Ukraina i slutet av december 2015. Då drabbades flera elbolag i Ukraina av samordnade IT-attacker som slog ut elförsörjningen för mer än en kvarts miljon abonnenter. De Ukrainska elbolagen utsattes för en så kallad APT (Advanced Persistent Threat) då en grupp sofistikerade angripare under lång tid planerade, beredde sig tillgång till, och från insidan studerade elbolagens IT-miljöer. I över ett halvårs tid planterades skadlig kod, öppnades nya bakvägar och stals information i olika förberedelsesteg inför det att man den 23:e december mörklade delar av Ukraina.

Robert M. Lee, expert på säkerhet i SCADA-system och en av de som bistod Ukrainska myndigheter med utredningen, är en av de internationella specialister som bjudits in som talare på konferensen.

Lee berättar:

IT-attacken på det ukrainska kraftnätet var den första i sitt slag. Många detaljer kring attacken har kommit till allmän kännedom, men på 4SICS kommer de som deltog i analysen av attacken att samlas och belysa detaljer och erfarenheter på ett sätt som inte gjorts tidigare.

Andra inbjudna specialister är Anton Cherepanov & Robert Lipovsky från antivirusföretaget ESET som kommer att göra en djupare genomgång av vad man egentligen vet om den skadliga koden vid namn BlackEnergy som bland annat användes mot elbolagen i Ukraina.

Erik berättar även att presentationerna kommer att avslutas med rundabordssamtal där tekniska specialister och myndighetsföreträdare kommer diskutera tekniska brister, tillvägagångssätt, konsekvenser samt IT som vapen i olika konflikter. Innan konferensen finns det även möjlighet att gå flertalet kurser inom säkerhet i cyberfysiska system.

Ett axplock av övriga talare är: Jens Zerbst, CIO på Vattenfall, som kommer beskriva hur man uppnår försvar på djupet i en tid när det finns APT. Maik Brüggemann, säkerhetsforskaren som påvisat hur skadlig kod kan sprida sig direkt mellan olika PLC:er.

Margrete Raaum, CEO vid norska KraftCERT, med egna erfarenheter från härom året då Norge utsattes för cyberattacker och vet hur man bör hantera incidenter.

Konferensen och kurserna går under datumet 25-27 Oktober 2016, läs mer här: https://4sics.se

Test av Arow Datadiod från Somerdata

Somerdata är ett brittiskt företag som gör en mängd olika produkter som används av polismyndigheter och militär främst, världen runt. Jag fick låna deras produkt AROW som är en datadiod som används för säker överföring mellan två nätverk där hög assurans är viktig.

Arow Somerdata datadiod

Och med säker syftar jag på att det är fysiskt omöjligt att överföra data åt ena hållet. Detta uppnås genom att använda en fiber som enbart medger envägskommunikation. AROW står för Advanced Reliable Optical Wormhole och priset ligger runt 70000 SEK utan redundans.

Förutom intom polis och militär så är även denna produkt populär inom industriella kontrollsystem (ICS/SCADA) där nätverk ska separeras från exempelvis internet.

AROW har fyra stycken portar där Gigabit-ethernet kan anslutas. Två av dessa portar används för konfigurering och övervakning samt konfigureras via webbgränssnitt eller telnet.

Arow data dioide

Med hjälp av socat och en egen utvecklad programvara vid namn AROWBFTP så är det möjligt att överföra webbsidor, streamad video, filer, antivirus-uppdateringar samt E-post direkt via denna envägs-gateway. Det här är en produkt för dig som vill separera känsliga/klassificerade nätverk men ändå vill ha möjlighet att ta in information.

Förutom med eller utan redundans så finns AROW även S eller G-versionen. G-versionen har möjlighet att kontrollera att överförd data är korrekt och är den ej det så kan den begära omsändning, vilket så klart också öppnar upp för en kanal ut. Somerdata rekommenderar således ej G-versionen att användas i högsäkerhetsnätverk.

 

datadiod Blockdiagram Arow Datadiod

Även så säljer svenska företaget Advenica en produkt med likvärd funktionalitet vid namn SecuriCDS. Och Fibersystem har en datadiod vid namn 50-800.

För just detta märke som vi testat är Peelit återförsäljare i Sverige.

Installation av datadioden

Med hjälp av de två fysiska ethernet-portar som är märkta Control så kan vi logga in via telnet eller ett webbgui för att sätta IP-adresser till de olika portarna. När detta är klart är det bara att ansluta på data-porten och koppla upp en tcp-socket på respektive sida.

Det går även att få ut enklare statistik från control-porten.

Sammanfattning Somerdata datadiod

Fördelar: Inspekterbar kod eftersom majoriteten går via python. Snabb och enkel att använda och komma igång. Dataportarna har liten exponeringsyta, svarar inte på ping och har inga andra öppna portar exempelvis.

Nackdelar: Stor exponeringyta på kontrollporten. Ej separata nätaggregat för delad ström som kan gå mot olika faser exempelvis. Går att fingerprinta från Internet.

Somerdatas datadiod får 4 av 5 enigmor:

enigma