Säkerhetspodcasten #144 - CS3 Stockholm 2018 #1
Lyssna
- mp3, längd: 53:42
Innehåll
I dagens avsnitt låter vi vår flygande reporter Robin von Post ta över rodret för att göra intervjuer under CS3 i Stockholm 2018. Intervjuer med Ervin Kooi, Rick van Hees, Ben Miller och Erik Hjelmvik.
AI transkribering
AI försöker förstå oss… Ha överseende med galna feltranskriberingar.
1 00:00:00,000 --> 00:00:06,140
Säkerhetspodcasten är tackande Cybercom som lär oss bort Robin von Post till CS3 Stockholm.
2 00:00:06,700 --> 00:00:13,220
CS3 Stockholm är det internationella summittet om cybersäkerhet i Skada och industriella kontrollsystem.
3 00:00:14,260 --> 00:00:16,740
Och så, över till Robin von Post!
4 00:00:17,040 --> 00:00:23,140
Okej, välkommen här till den här Säkerhetspodcasten-intervjun på CS3 Stockholm,
5 00:00:23,440 --> 00:00:28,840
den industriella kontrollsystems- och säkerhetskonferensen av året.
6 00:00:28,840 --> 00:00:34,440
Jag sitter här tillsammans med Rick van Heijs och Erwin Kooij från Allianza,
7 00:00:34,540 --> 00:00:36,240
som bara kom ut på staden.
8 00:00:36,400 --> 00:00:41,840
Du hade en intressant presentation om en utmaning med att segmentera ditt åt-nätverk,
9 00:00:42,800 --> 00:00:45,960
att försöka lösa den utmaningen rätt.
10 00:00:46,480 --> 00:00:49,840
Så om vi börjar med en liten introduktion.
11 00:00:51,160 --> 00:00:55,920
Erwin, hur länge har du varit i industrin?
12 00:00:55,920 --> 00:00:57,660
Hej, jag heter Erwin Kooij.
13 00:00:57,800 --> 00:00:58,820
Jag har jobbat i Irlanda.
14 00:00:58,840 --> 00:01:04,160
Jag har jobbat i IT för 20 år och IT-säkerhet i 15 år.
15 00:01:04,160 --> 00:01:09,440
Och senaste året flyttade jag från Säkerhetsdepartementet till Skada-departementet.
16 00:01:09,440 --> 00:01:14,160
Så jag är nu den inbjudna säkerhetskommittén som har gått över till den mörka sidan.
17 00:01:14,160 --> 00:01:17,160
Det är en fin introduktion. Rick?
18 00:01:17,160 --> 00:01:19,160
Jag heter Rick van Heijs.
19 00:01:19,160 --> 00:01:25,160
Jag har en bakgrund i säkerhet i det här området i sju år.
20 00:01:25,160 --> 00:01:28,200
Jag är säkerhetschef för Leander Group,
21 00:01:28,200 --> 00:01:33,200
som är en stor operatör i Nederländerna.
22 00:01:33,200 --> 00:01:35,200
Jag har jobbat i Säkerhetssäkerhetsdepartementet.
23 00:01:35,200 --> 00:01:40,200
Jag har jobbat i IT i ungefär fem år.
24 00:01:40,200 --> 00:01:43,200
Så jag har en stark teknisk bakgrund.
25 00:01:43,200 --> 00:01:46,200
Nu är det mer från en riskperspektiv.
26 00:01:47,200 --> 00:01:50,200
Så riskförhandling är det som det handlar om, eller hur?
27 00:01:50,200 --> 00:01:54,200
Att försöka lösa ut konsekvenserna när shit hittar fanen.
28 00:01:54,200 --> 00:01:57,200
Och hela morgonen hörde vi om möjligheten för
29 00:01:57,200 --> 00:02:02,200
att lösa ut saker och förhindra saker från att hända.
30 00:02:02,200 --> 00:02:08,200
Vad var din utsträckning för att gå in i det här stora projektet
31 00:02:08,200 --> 00:02:12,200
och göra det här segmentationprojektet som du beskrev på scenen?
32 00:02:12,200 --> 00:02:14,200
Vad utsträckte det?
33 00:02:14,200 --> 00:02:18,200
Jag tror att det som utsträckte det var att vi ständigt trodde på
34 00:02:18,200 --> 00:02:22,200
det här med att lösa ut och försäkra ditt nätverk.
35 00:02:22,200 --> 00:02:25,200
Men vi trodde också att om vi kunde göra det,
36 00:02:25,200 --> 00:02:28,200
så skulle vi kunna göra en stark basis,
37 00:02:28,200 --> 00:02:32,200
en fundamentell basis av din infrastruktur.
38 00:02:32,200 --> 00:02:37,200
Så de flesta gånger, som Aaron sa,
39 00:02:37,200 --> 00:02:40,200
har du en full cyberspektrum.
40 00:02:40,200 --> 00:02:46,200
Du blir styrd mot en liten applikation,
41 00:02:46,200 --> 00:02:48,200
en stark applikation.
42 00:02:48,200 --> 00:02:50,200
Om du implementerar det, så är du säker.
43 00:02:50,200 --> 00:02:53,200
Men om du inte har dina grundlägganden,
44 00:02:53,200 --> 00:02:54,200
så blir du inte säker.
45 00:02:54,200 --> 00:02:59,200
Så vi beslutade att vi ville göra det grundläggande
46 00:02:59,200 --> 00:03:01,200
och börja segmentera,
47 00:03:01,200 --> 00:03:05,200
vilket är mer grundläggande än det du kan få.
48 00:03:05,200 --> 00:03:11,200
Så det var vår intention när vi började det här projektet.
49 00:03:11,200 --> 00:03:13,200
Och utsläppen av projektet?
50 00:03:13,200 --> 00:03:15,200
Hade du olika faser som du beskrev?
51 00:03:15,200 --> 00:03:17,200
Kan du bara återkomma?
52 00:03:17,200 --> 00:03:19,200
Den viktigaste delen,
53 00:03:19,200 --> 00:03:21,200
innan du kan börja,
54 00:03:21,200 --> 00:03:23,200
måste du förvåna regeringen att det här är en riktigt bra idé.
55 00:03:23,200 --> 00:03:25,200
De borde investera i det.
56 00:03:25,200 --> 00:03:27,200
I förmåga, i pengar, i resurser,
57 00:03:27,200 --> 00:03:29,200
i hur människor utgörs.
58 00:03:29,200 --> 00:03:33,200
Så mycket tid gick in i det första steget.
59 00:03:33,200 --> 00:03:35,200
Och sen när du får det gröna ljuset och går vidare,
60 00:03:35,200 --> 00:03:38,200
så kan du börja designa din arkitektur,
61 00:03:38,200 --> 00:03:40,200
börja bygga din infrastruktur,
62 00:03:40,200 --> 00:03:42,200
flytta applikationer över.
63 00:03:42,200 --> 00:03:44,200
Och du måste tänka på,
64 00:03:44,200 --> 00:03:45,200
och det var femte steget,
65 00:03:45,200 --> 00:03:47,200
hur du ska hålla det segmenterat.
66 00:03:47,200 --> 00:03:48,200
Så du kan bygga det en gång,
67 00:03:48,200 --> 00:03:50,200
men du vill inte gå tillbaka i ett år
68 00:03:50,200 --> 00:03:52,200
och säga, vi har inte riktigt hållit det bra,
69 00:03:52,200 --> 00:03:54,200
så det är en miss.
70 00:03:54,200 --> 00:03:57,200
Ja, och det var en av dina poäng.
71 00:03:57,200 --> 00:04:01,200
Jag menar, data vill flöda mellan domäner,
72 00:04:01,200 --> 00:04:03,200
och data vill vara fria,
73 00:04:03,200 --> 00:04:07,200
men du måste fortfarande hålla hållet
74 00:04:07,200 --> 00:04:10,200
på hur man ska få segmenteringen i linje
75 00:04:10,200 --> 00:04:13,200
och dokumenteringen upp till snabbhet och så vidare.
76 00:04:13,200 --> 00:04:15,200
Om vi går tillbaka till triggern,
77 00:04:15,200 --> 00:04:17,200
hur har du förväntat dig att
78 00:04:17,200 --> 00:04:22,200
bordnivån ska gå på det här ganska kallt?
79 00:04:22,200 --> 00:04:25,200
Att visa dem riskerna.
80 00:04:25,200 --> 00:04:28,200
Så det är det mest viktiga.
81 00:04:28,200 --> 00:04:32,200
Vi hade en pentest,
82 00:04:32,200 --> 00:04:34,200
som har gjorts inom vårt område,
83 00:04:34,200 --> 00:04:37,200
och denna pentest hade en riktigt bra
84 00:04:37,200 --> 00:04:38,200
management-summa.
85 00:04:38,200 --> 00:04:41,200
Och den ställde att vi har stora risker
86 00:04:41,200 --> 00:04:42,200
i vårt område.
87 00:04:42,200 --> 00:04:44,200
Och de förklarades bra,
88 00:04:44,200 --> 00:04:47,200
så det var inte en stor risk
89 00:04:47,200 --> 00:04:50,200
att det här systemet skulle kunna bli hackat.
90 00:04:50,200 --> 00:04:52,200
Nej, det var en stor risk
91 00:04:52,200 --> 00:04:54,200
att det här systemet skulle kunna bli hackat
92 00:04:54,200 --> 00:04:57,200
och en blackout skulle kunna bli en konsekvens.
93 00:04:57,200 --> 00:04:59,200
Exaggerera lite,
94 00:04:59,200 --> 00:05:01,200
men det var…
95 00:05:01,200 --> 00:05:03,200
Om du förvandlar det till en management,
96 00:05:03,200 --> 00:05:05,200
så har du deras fulla uppmärksamhet.
97 00:05:05,200 --> 00:05:08,200
Och det hjälpte oss verkligen att få en budget.
98 00:05:08,200 --> 00:05:10,200
Vi måste förhindra alla de här riskerna
99 00:05:10,200 --> 00:05:13,200
och skapa en strukturell basis
100 00:05:13,200 --> 00:05:16,200
för att förhindra detta från att hända igen.
101 00:05:16,200 --> 00:05:18,200
Så att visa dem att det här systemet
102 00:05:18,200 --> 00:05:20,200
är förvandlande för MS 08-067,
103 00:05:20,200 --> 00:05:23,200
vilket är 10 år sedan idag.
104 00:05:23,200 --> 00:05:25,200
Det hjälper verkligen att visa dem
105 00:05:25,200 --> 00:05:26,200
vilka risker som finns för
106 00:05:26,200 --> 00:05:28,200
missionen i företaget.
107 00:05:28,200 --> 00:05:30,200
Det är den språken de förstår.
108 00:05:30,200 --> 00:05:32,200
Och då kan man börja prata om hur man
109 00:05:32,200 --> 00:05:33,200
kan förhindra riskerna.
110 00:05:33,200 --> 00:05:35,200
Hade du också tagit tillbaka
111 00:05:35,200 --> 00:05:36,200
till situationen i Ukraina?
112 00:05:36,200 --> 00:05:38,200
Nej, det hade inte hänt då.
113 00:05:38,200 --> 00:05:40,200
Okej, det var före det.
114 00:05:40,200 --> 00:05:42,200
Så du var lite före ditt tid.
115 00:05:42,200 --> 00:05:43,200
Så de var glada att de
116 00:05:43,200 --> 00:05:45,200
fick ett grönt ljus när det hände.
117 00:05:45,200 --> 00:05:47,200
Ja, en av subtitlarna,
118 00:05:47,200 --> 00:05:49,200
eller en liten print, var
119 00:05:49,200 --> 00:05:51,200
att kärnattacken provade att det var rätt.
120 00:05:51,200 --> 00:05:54,200
Ja, det kan jag förvänta mig.
121 00:05:54,200 --> 00:05:56,200
Sen om arkitekturen.
122 00:05:56,200 --> 00:05:58,200
Hur känner du dig
123 00:05:58,200 --> 00:06:00,200
att du har lyckats hålla uppe
124 00:06:00,200 --> 00:06:02,200
segmentationen?
125 00:06:02,200 --> 00:06:04,200
Du måste ju få information
126 00:06:04,200 --> 00:06:06,200
från en plats till en annan, ibland.
127 00:06:06,200 --> 00:06:09,200
Hur skulle du säga att arkitekturen
128 00:06:09,200 --> 00:06:12,200
måste möta det här behovet?
129 00:06:12,200 --> 00:06:15,200
För om regeringen inte kan
130 00:06:15,200 --> 00:06:17,200
se hur mycket de producerar
131 00:06:17,200 --> 00:06:19,200
skulle de approva det?
132 00:06:19,200 --> 00:06:21,200
Ja, för att
133 00:06:21,200 --> 00:06:23,200
innan man börjar bygga
134 00:06:23,200 --> 00:06:25,200
efter uppmärksamheten och
135 00:06:25,200 --> 00:06:26,200
innan man börjar bygga
136 00:06:26,200 --> 00:06:28,200
ska man göra en bra inventär
137 00:06:28,200 --> 00:06:30,200
av vad vi faktiskt har
138 00:06:30,200 --> 00:06:31,200
och vilka behov,
139 00:06:31,200 --> 00:06:33,200
vilka affärsbehov som finns
140 00:06:33,200 --> 00:06:34,200
för detta data.
141 00:06:34,200 --> 00:06:37,200
Och planera för det.
142 00:06:37,200 --> 00:06:40,200
Så vi gjorde den här inventariseringen.
143 00:06:40,200 --> 00:06:43,200
Och så har du en idé
144 00:06:43,200 --> 00:06:45,200
att du är ungefär 80 procent kompletten.
145 00:06:45,200 --> 00:06:46,200
Det är en bra start.
146 00:06:46,200 --> 00:06:48,200
Så du måste inte gå till 100 procent.
147 00:06:48,200 --> 00:06:51,200
Det kommer aldrig att vara där.
148 00:06:51,200 --> 00:06:54,200
Och sedan skapa interfaces
149 00:06:54,200 --> 00:06:57,200
som stödjer detta dataflöde.
150 00:06:57,200 --> 00:07:00,200
Men sticka till dessa interfaces.
151 00:07:00,200 --> 00:07:02,200
Så vi definierade olika typer av data
152 00:07:02,200 --> 00:07:05,200
som transaktionsdata, filer.
153 00:07:05,200 --> 00:07:07,200
Att använda eventerivna data,
154 00:07:07,200 --> 00:07:09,200
alltså realtidsdata
155 00:07:09,200 --> 00:07:11,200
och remote control data.
156 00:07:11,200 --> 00:07:12,200
Och detta är de tre
157 00:07:12,200 --> 00:07:14,200
informationflödena
158 00:07:14,200 --> 00:07:16,200
som vi definierat
159 00:07:16,200 --> 00:07:17,200
för en interface.
160 00:07:17,200 --> 00:07:20,960
som vi har definierat en interface för. Men det är bara de tre.
161 00:07:20,960 --> 00:07:25,520
Så skulle du säga att du arbetar med olika sätt att skydda segmentationen?
162 00:07:25,520 --> 00:07:32,080
Jag menar, fjäriljusrullar, filer som flyttas med handen och så vidare.
163 00:07:32,080 --> 00:07:36,080
Jag menar, det finns olika kontroller som du kan göra, förstås.
164 00:07:36,080 --> 00:07:41,520
Vilka är dina favoritvänliga verktyg för att göra segmentationen fungera?
165 00:07:41,520 --> 00:07:47,140
Som sagt, det standardiga, såsterlid令.
166 00:07:47,140 --> 00:07:51,240
Men också bygga ett stort AC-nivå.
167 00:07:52,920 --> 00:07:58,920
Det vi faktiskt gjorde… vi gav oss luftskärtan att bygga denna infrastruktur i vit finish.
168 00:07:58,920 --> 00:08:05,360
Då hade vi inte Paper Force att lyfta uppandidatens existentiella nätverk.
169 00:08:06,360 --> 00:08:10,940
Vi brytte oss på det source. Vi byggde en annan infrastruktur.
170 00:08:10,940 --> 00:08:11,440
Vi bytte…
171 00:08:11,440 --> 00:08:11,480
...men inte i motorn.
172 00:08:11,480 --> 00:08:19,480
We had already all zones in place already and in that infrastructure we also built generic services.
173 00:08:19,480 --> 00:08:27,480
So all authentication services, logging services, but also all services which connect IT to OT.
174 00:08:27,480 --> 00:08:32,480
So the user access, file transfer, event processing.
175 00:08:32,480 --> 00:08:38,480
So those were all in place before even the first OT application was moved into the new environment.
176 00:08:38,480 --> 00:08:46,480
So that really helped very well to make a clear, safe infrastructure.
177 00:08:46,480 --> 00:08:51,480
So how would you say that you approached this transition project?
178 00:08:51,480 --> 00:08:59,480
I mean you said you’ve made the green fielding but then you need to have parallel processes up and running.
179 00:08:59,480 --> 00:09:04,480
I mean we’re talking real time systems that should be up.
180 00:09:04,480 --> 00:09:06,480
There’s always the question.
181 00:09:06,480 --> 00:09:08,480
First you have to determine which application.
182 00:09:08,480 --> 00:09:09,480
Do you actually have to move?
183 00:09:09,480 --> 00:09:10,480
And where should they go?
184 00:09:10,480 --> 00:09:14,480
Because some applications that we’re running are better suited for an IT environment.
185 00:09:14,480 --> 00:09:16,480
And then we move them to the IT environment.
186 00:09:16,480 --> 00:09:20,480
But other applications, yeah, you can rebuild them.
187 00:09:20,480 --> 00:09:23,480
So in the new environment you build a new server.
188 00:09:23,480 --> 00:09:24,480
You install the software.
189 00:09:24,480 --> 00:09:25,480
You put the data over.
190 00:09:25,480 --> 00:09:27,480
And then you migrate the user out.
191 00:09:27,480 --> 00:09:31,480
So they run simultaneously for some time and then do a switch over.
192 00:09:31,480 --> 00:09:33,480
That’s the ideal scenario.
193 00:09:33,480 --> 00:09:36,480
But sometimes you have to go with a big bang.
194 00:09:36,480 --> 00:09:37,480
You plan some down time.
195 00:09:37,480 --> 00:09:41,480
And physically take the server from the old environment and put it into the new environment.
196 00:09:41,480 --> 00:09:43,480
Change the network configuration to match.
197 00:09:43,480 --> 00:09:45,480
And tell everybody to test.
198 00:09:45,480 --> 00:09:48,480
And then tell everybody that they can start again.
199 00:09:48,480 --> 00:09:56,480
And another concept that you also outlined was the concept of island operations.
200 00:09:56,480 --> 00:10:01,480
And how to be able to switch back and forth in that scenario.
201 00:10:01,480 --> 00:10:05,480
I mean electricity production distribution has always had this concept.
202 00:10:05,480 --> 00:10:07,480
But now you’re pushing that away.
203 00:10:07,480 --> 00:10:10,480
And also into the control or the OT segment as I understood it.
204 00:10:10,480 --> 00:10:11,480
Yeah.
205 00:10:11,480 --> 00:10:15,480
One of the very strong requirements that the domains or the IT and the OT domains should
206 00:10:15,480 --> 00:10:17,480
be able to operate separately.
207 00:10:17,480 --> 00:10:21,480
And that we should be able to disconnect them easily.
208 00:10:21,480 --> 00:10:24,480
So there’s no dependency on each other.
209 00:10:24,480 --> 00:10:30,480
But also there’s a clear way to disconnect the domains from each other.
210 00:10:30,480 --> 00:10:37,480
And we invested quite some time in discussions and also in design that if there is an issue
211 00:10:37,480 --> 00:10:40,480
with the emergency or if there is a need to disconnect them.
212 00:10:40,480 --> 00:10:43,480
For example the WannaCry outbreak last year.
213 00:10:43,480 --> 00:10:48,480
That was one example of where we went into island mode.
214 00:10:48,480 --> 00:10:51,480
We’re not hit but we don’t know.
215 00:10:51,480 --> 00:10:55,480
So let’s do the precaution and go into this island mode.
216 00:10:55,480 --> 00:11:00,480
And going into this island mode we made going there really easy.
217 00:11:00,480 --> 00:11:03,480
It’s literally a push of a button.
218 00:11:03,480 --> 00:11:07,480
And we designed the infrastructure so that it is capable of coping with it.
219 00:11:07,480 --> 00:11:08,480
So there’s no data loss.
220 00:11:08,480 --> 00:11:13,480
So people are not hesitant in going into island mode.
221 00:11:13,480 --> 00:11:16,480
I don’t know which process I will break if I push this button.
222 00:11:16,480 --> 00:11:17,480
No.
223 00:11:17,480 --> 00:11:22,480
The infrastructure was built and the applications are built and placed such that they can cope
224 00:11:22,480 --> 00:11:23,480
with it.
225 00:11:23,480 --> 00:11:26,480
So if you design it in from the beginning when you’re putting up the systems.
226 00:11:26,480 --> 00:11:29,480
I guess that that’s a lot easier than figuring out later.
227 00:11:29,480 --> 00:11:31,480
Maybe we should have an island mode.
228 00:11:31,480 --> 00:11:34,480
And then trying to push that button during the 24-7.
229 00:11:34,480 --> 00:11:35,480
Yes.
230 00:11:35,480 --> 00:11:36,480
Oops.
231 00:11:36,480 --> 00:11:40,480
There’s a license server on this side that needs to connect.
232 00:11:40,480 --> 00:11:43,480
So that’s really a big takeaway.
233 00:11:43,480 --> 00:11:52,480
I also got the really headline into the discussion you had around what in the process of transitioning
234 00:11:52,480 --> 00:11:55,480
what you will call the old system.
235 00:11:55,480 --> 00:11:58,480
What is your experience there?
236 00:11:58,480 --> 00:12:04,480
Well, the old system has been built by people who really have.
237 00:12:04,480 --> 00:12:07,480
They really put effort in that old system.
238 00:12:07,480 --> 00:12:09,480
So they don’t see that as an old system.
239 00:12:09,480 --> 00:12:13,480
So you have to be very careful, careful naming that the old system.
240 00:12:13,480 --> 00:12:16,480
They’re really proud of it and they have a reason for it.
241 00:12:16,480 --> 00:12:21,480
I mean, it has been there for a lot of years and it has been very strong.
242 00:12:21,480 --> 00:12:29,480
So what we did, we referred to the old infrastructure as the 1.0 infrastructure.
243 00:12:29,480 --> 00:12:30,480
So it was really there.
244 00:12:30,480 --> 00:12:31,480
It exists.
245 00:12:31,480 --> 00:12:32,480
It’s good infrastructure.
246 00:12:32,480 --> 00:12:34,480
And now we’re building a 2.0 infrastructure.
247 00:12:34,480 --> 00:12:36,480
So avoid old.
248 00:12:36,480 --> 00:12:37,480
Avoid the legacy.
249 00:12:37,480 --> 00:12:38,480
Yes, yes.
250 00:12:38,480 --> 00:12:42,480
Embrace the current system and the next generation.
251 00:12:42,480 --> 00:12:43,480
Exactly.
252 00:12:43,480 --> 00:12:44,480
Okay.
253 00:12:44,480 --> 00:12:45,480
Thank you, Erik, Erwin.
254 00:12:45,480 --> 00:12:48,480
Thank you for the follow up discussion here.
255 00:12:48,480 --> 00:12:53,480
And on behalf of the Säkerhetspodcast listeners, I appreciate you taking your time to elaborate
256 00:12:53,480 --> 00:12:58,480
a little bit on your presentation and hope you have a nice day here in Stockholm and
257 00:12:58,480 --> 00:12:59,480
the rest of the conference as well.
258 00:12:59,480 --> 00:13:00,480
Thank you.
259 00:13:00,480 --> 00:13:01,480
You’re welcome.
260 00:13:01,480 --> 00:13:03,480
So welcome here to this conference.
261 00:13:03,480 --> 00:13:10,480
Welcome here to this interview at CS3 Stockholm, the conference around industrial control system
262 00:13:10,480 --> 00:13:11,480
security.
263 00:13:11,480 --> 00:13:14,480
I’m sitting here together with Ben Miller from Dragos Inc.
264 00:13:14,480 --> 00:13:20,480
You just came off stage and together with Mark Stacey, you presented some details about
265 00:13:20,480 --> 00:13:27,480
what you see and the trends a little bit about hunting and responding to ICS incidents.
266 00:13:27,480 --> 00:13:32,480
And just a brief outlook on, is this an area where we see a lot of change?
267 00:13:32,480 --> 00:13:34,480
Or what would you say?
268 00:13:34,480 --> 00:13:35,480
Yeah.
269 00:13:35,480 --> 00:13:40,480
So I think there’s been a lot of uptick over the last couple of years.
270 00:13:40,480 --> 00:13:51,480
So from an incident response perspective, a lot of focus from media and others is
271 00:13:51,480 --> 00:13:58,480
on the really sophisticated actors that are doing really interesting things.
272 00:13:58,480 --> 00:14:01,480
I mean, it’s worthy to track and understand that.
273 00:14:01,480 --> 00:14:08,480
But I think over the course of the last couple of years, we’ve also seen an uptick of just
274 00:14:08,480 --> 00:14:09,480
accidental.
275 00:14:09,480 --> 00:14:17,480
Or opportunistic, untargeted sort of infections and compromises that have had real world
276 00:14:17,480 --> 00:14:20,480
impact on the industrial control systems.
277 00:14:20,480 --> 00:14:28,480
And so there’s a lot of discussion and really just movement towards not just protecting
278 00:14:28,480 --> 00:14:35,480
the systems, but also actively defending them, which is kind of a new concept in some ways
279 00:14:35,480 --> 00:14:36,480
in the industrial space.
280 00:14:36,480 --> 00:14:37,480
Yeah.
281 00:14:37,480 --> 00:14:40,480
Can you talk a little bit more about this hunting concept?
282 00:14:40,480 --> 00:14:45,480
I mean, like the couple of last years, you’ve been seeing more about this hunting, hunting.
283 00:14:45,480 --> 00:14:47,480
What is hunting for you?
284 00:14:47,480 --> 00:14:48,480
Yeah, yeah.
285 00:14:48,480 --> 00:14:52,480
So some of the questions suggested that it was like a buzzword status.
286 00:14:52,480 --> 00:14:57,480
And maybe it has reached buzzword status in that we’re not doing a good job defining
287 00:14:57,480 --> 00:14:59,480
it as an industry.
288 00:14:59,480 --> 00:15:06,480
I think it’s less to do with software, and it’s more of taking the principles of, if
289 00:15:06,480 --> 00:15:15,480
my environment is compromised and I am not aware of it, do I just stay ignorant of
290 00:15:15,480 --> 00:15:16,480
that?
291 00:15:16,480 --> 00:15:20,480
Or do I assume that’s the case and go out and look for something that hasn’t been triggered
292 00:15:20,480 --> 00:15:21,480
yet?
293 00:15:21,480 --> 00:15:26,480
So the core of hunting is understanding all of those security controls that you implemented.
294 00:15:26,480 --> 00:15:27,480
It’s still not enough.
295 00:15:27,480 --> 00:15:32,480
There’s still going to be a gap between the technology that you deployed over the last
296 00:15:32,480 --> 00:15:35,480
five years and what the adversaries are capable of doing.
297 00:15:35,480 --> 00:15:41,480
And that gap is where we focus on hunting, so that we can have visibility into what
298 00:15:41,480 --> 00:15:45,480
we, from a technology standpoint, didn’t have visibility on.
299 00:15:45,480 --> 00:15:51,480
And ultimately trying to shrink that gap based on like a real world empirical sort
300 00:15:51,480 --> 00:15:52,480
of knowledge.
301 00:15:52,480 --> 00:15:53,480
Yeah.
302 00:15:53,480 --> 00:15:55,480
So being prepared for the incident response.
303 00:15:55,480 --> 00:16:03,480
I think you were once saying, I mean, people feel uneasy if you come in when the incident
304 00:16:03,480 --> 00:16:04,480
is there.
305 00:16:04,480 --> 00:16:06,480
They want to connect stuff to their networks because they have a problem.
306 00:16:06,480 --> 00:16:07,480
They don’t want more problems, right?
307 00:16:07,480 --> 00:16:08,480
Sure.
308 00:16:08,480 --> 00:16:09,480
Sure.
309 00:16:09,480 --> 00:16:10,480
Yeah.
310 00:16:10,480 --> 00:16:16,480
It’s challenging too when you’re provided a problem in an environment that you’ve never
311 00:16:16,480 --> 00:16:20,480
really focused on before.
312 00:16:20,480 --> 00:16:25,480
So being able to respond to an intrusion inside an industrial environment when you’ve never
313 00:16:25,480 --> 00:16:30,480
responded to an intrusion inside an industrial environment is really challenging.
314 00:16:30,480 --> 00:16:33,480
So how do you respond?
315 00:16:33,480 --> 00:16:39,480
How do you put yourself in the best position to be able to respond beyond just the incident
316 00:16:39,480 --> 00:16:44,480
response plans and tabletop exercises, but actually having the knowledge of knowing,
317 00:16:44,480 --> 00:16:48,480
oh, it’s this piece of equipment, I know what to do.
318 00:16:48,480 --> 00:16:49,480
Yeah.
319 00:16:49,480 --> 00:16:53,480
So that’s the part where you said, I mean, know where your crown jewels are and what
320 00:16:53,480 --> 00:16:55,480
they are expected to do and how you protect them.
321 00:16:55,480 --> 00:17:00,480
But my question, follow up question on that would be then, how do you protect this information
322 00:17:00,480 --> 00:17:02,480
on where your crown jewels are?
323 00:17:02,480 --> 00:17:07,480
I mean, the process, if you have a distributed environment, vendors, et cetera, you collect
324 00:17:07,480 --> 00:17:12,480
a lot of information around this and that will be extremely valuable or sensitive information,
325 00:17:12,480 --> 00:17:13,480
I would say.
326 00:17:13,480 --> 00:17:15,480
Absolutely.
327 00:17:15,480 --> 00:17:16,480
It’s valuable.
328 00:17:16,480 --> 00:17:24,480
And actually Mark Bristow’s talk earlier today explained how some folks were after that
329 00:17:24,480 --> 00:17:29,480
information precisely and were successful in getting that information on the oil pipeline.
330 00:17:29,480 --> 00:17:31,480
So it is a concern.
331 00:17:31,480 --> 00:17:36,480
The data tends to get copied and moved around.
332 00:17:36,480 --> 00:17:42,480
So even if you’re securing it within a file share, if you forwarded that through email
333 00:17:42,480 --> 00:17:46,480
and everything else, it’s challenging.
334 00:17:46,480 --> 00:17:55,480
Luckily, a lot of capabilities are in place from like a data leakage perspective that
335 00:17:55,480 --> 00:17:56,480
can be pursued.
336 00:17:56,480 --> 00:18:01,480
But just having good policies on recognizing when it’s needed.
337 00:18:01,480 --> 00:18:06,480
When it is something that’s critical, like a diagram or something that has IP address
338 00:18:06,480 --> 00:18:07,480
information in it.
339 00:18:07,480 --> 00:18:13,480
Having that as a policy that that is considered confidential information and you must do these
340 00:18:13,480 --> 00:18:17,480
things, at least sets the framework up for success.
341 00:18:17,480 --> 00:18:18,480
Yeah.
342 00:18:18,480 --> 00:18:26,480
So one important trend that you outlined was really that, I mean, coming from that the
343 00:18:26,480 --> 00:18:30,480
boardrooms are actually talking about these issues now.
344 00:18:30,480 --> 00:18:31,480
Yeah.
345 00:18:31,480 --> 00:18:33,480
What would you say is driving this trend?
346 00:18:33,480 --> 00:18:43,480
I think some of the biggest ones were incidents over the last year or two, such as NatPetya
347 00:18:43,480 --> 00:18:54,480
and WannaCry and the amount of success, I guess, that those pieces of malware had on
348 00:18:54,480 --> 00:18:58,480
shipping lanes and port authorities and whatnot.
349 00:18:58,480 --> 00:18:59,480
Yeah.
350 00:18:59,480 --> 00:19:02,480
I think the biggest one is that they started the discussions in the boardrooms.
351 00:19:02,480 --> 00:19:08,480
So when we rewind several years ago and we were talking about Stuxnet, that was kind
352 00:19:08,480 --> 00:19:11,480
of a one-off sort of situation.
353 00:19:11,480 --> 00:19:17,480
It involved two nation states essentially, at least allegedly.
354 00:19:17,480 --> 00:19:23,480
And so that didn’t become a boardroom discussion, right?
355 00:19:23,480 --> 00:19:27,480
But with the series of attacks that we’ve seen over the last couple of years, there’s
356 00:19:27,480 --> 00:19:36,480
serious recognition of the risk associated with these environments that hasn’t really
357 00:19:36,480 --> 00:19:39,480
had serious discussion at these levels.
358 00:19:39,480 --> 00:19:45,480
And that’s driving change within the organization as far as the board wants to know who’s responsible
359 00:19:45,480 --> 00:19:46,480
for this.
360 00:19:46,480 --> 00:19:49,480
And when two people raise their hands, they’re like, no, no, no, no.
361 00:19:49,480 --> 00:19:52,480
We want one person responsible for this.
362 00:19:52,480 --> 00:19:56,480
And so that collapses a lot of responsibilities.
363 00:19:56,480 --> 00:19:58,480
And ultimately accountability.
364 00:19:58,480 --> 00:20:05,480
And that’s a huge, huge success for security, I think, in the ICS space.
365 00:20:05,480 --> 00:20:06,480
Yeah.
366 00:20:06,480 --> 00:20:11,480
And you also had an example about the Disneyland theme park designs are actually looking at
367 00:20:11,480 --> 00:20:18,480
like a no limit cost perspective when they’re designing their threat and incident response
368 00:20:18,480 --> 00:20:19,480
designs.
369 00:20:19,480 --> 00:20:26,480
I mean, that’s really something that, I mean, if they rule out the cost of that equation,
370 00:20:26,480 --> 00:20:27,480
it’s not going to be a problem.
371 00:20:27,480 --> 00:20:28,480
Yeah.
372 00:20:28,480 --> 00:20:29,480
I think Mark gave that anecdote.
373 00:20:29,480 --> 00:20:36,480
I think it’s a really good thought experiment of if we had no constraints, what is the ideal
374 00:20:36,480 --> 00:20:39,480
world that we want to implement?
375 00:20:39,480 --> 00:20:45,480
And then you kind of have to step back and figure out how you can get there and what
376 00:20:45,480 --> 00:20:46,480
maybe isn’t realistic.
377 00:20:46,480 --> 00:20:51,480
But at least you know what the ideal state is rather than like looking five feet ahead
378 00:20:51,480 --> 00:20:54,480
of you and only doing like an incremental change.
379 00:20:54,480 --> 00:20:55,480
It’s a good thought.
380 00:20:55,480 --> 00:20:56,480
Yeah.
381 00:20:56,480 --> 00:20:57,480
It’s a good thought experiment for sure.
382 00:20:57,480 --> 00:20:58,480
Yeah.
383 00:20:58,480 --> 00:21:02,480
And I really picked up, I mean, I think what you said, I mean, the Stuxnet woke up the
384 00:21:02,480 --> 00:21:03,480
adversaries, right?
385 00:21:03,480 --> 00:21:04,480
Yeah.
386 00:21:04,480 --> 00:21:10,480
And now with NotPetya, Ukraine and WannaCry, the boards have woken up too and given more
387 00:21:10,480 --> 00:21:16,480
attention to this kind of overall initiatives in the organizations.
388 00:21:16,480 --> 00:21:22,480
One thing that was also important was that, I mean, we had the convergence ITOT and the
389 00:21:22,480 --> 00:21:24,480
problem of information floating between the domains.
390 00:21:24,480 --> 00:21:25,480
Sure.
391 00:21:25,480 --> 00:21:33,480
And the adversaries already have this convergence, but you see a trend that we also, in practical
392 00:21:33,480 --> 00:21:39,480
terms, start to utilize this as defenders or as system builders?
393 00:21:39,480 --> 00:21:40,480
Yeah.
394 00:21:40,480 --> 00:21:41,480
Yeah.
395 00:21:41,480 --> 00:21:49,480
So the idea between ITOT convergence, right, is just that concept that there’s a bit of
396 00:21:49,480 --> 00:21:54,480
a divide between the folks that are owning the operational technology.
397 00:21:54,480 --> 00:21:55,480
Yeah.
398 00:21:55,480 --> 00:21:56,480
Versus, or oftentimes versus the corporate, the IT infrastructure.
399 00:21:56,480 --> 00:21:57,480
A lot of that comes down to mission.
400 00:21:57,480 --> 00:21:58,480
Their missions are quite different.
401 00:21:58,480 --> 00:21:59,480
And trust has been eroded because neither side understood the other mission and the kind
402 00:21:59,480 --> 00:22:00,480
of accountabilities and responsibilities there.
403 00:22:00,480 --> 00:22:01,480
So while we’re still having a lot of these challenges, the adversaries themselves, they’ve
404 00:22:01,480 --> 00:22:02,480
already converged.
405 00:22:02,480 --> 00:22:03,480
Yeah.
406 00:22:03,480 --> 00:22:04,480
Right?
407 00:22:04,480 --> 00:22:05,480
Yeah.
408 00:22:05,480 --> 00:22:06,480
Yeah.
409 00:22:06,480 --> 00:22:07,480
Yeah.
410 00:22:07,480 --> 00:22:08,480
Yeah.
411 00:22:08,480 --> 00:22:09,480
Yeah.
412 00:22:09,480 --> 00:22:10,480
Yeah.
413 00:22:10,480 --> 00:22:11,480
Yeah.
414 00:22:11,480 --> 00:22:12,480
Yeah.
415 00:22:12,480 --> 00:22:13,480
Yeah.
416 00:22:13,480 --> 00:22:14,480
Yeah.
417 00:22:14,480 --> 00:22:15,480
Yeah.
418 00:22:15,480 --> 00:22:16,480
Yeah.
419 00:22:16,480 --> 00:22:17,480
Yeah.
420 00:22:17,480 --> 00:22:18,480
Yeah.
421 00:22:18,480 --> 00:22:19,480
Yeah.
422 00:22:19,480 --> 00:22:20,480
Yeah.
423 00:22:20,480 --> 00:22:21,480
Yeah.
424 00:22:21,480 --> 00:22:22,480
Yeah.
425 00:22:22,480 --> 00:22:23,480
Yeah.
426 00:22:23,480 --> 00:22:24,480
Yeah.
427 00:22:24,480 --> 00:22:25,480
Yeah.
428 00:22:25,480 --> 00:22:26,480
Yeah.
429 00:22:26,480 --> 00:22:27,480
Right.
430 00:22:27,480 --> 00:22:31,200
So the crash override, crisis attacks that we’ve seen demonstrate not just a knowledge
431 00:22:31,200 --> 00:22:40,180
of applying attacks in ICS, but that they’re leveraging how to attack, move inside an organization
432 00:22:40,180 --> 00:22:48,820
at a sophisticated level and then have a capability that’s focused not just on an OT device, which
433 00:22:48,820 --> 00:22:53,480
arguably you could say is any one skilled in IT can kind apply that.
434 00:22:53,480 --> 00:22:58,480
IT kan använda det, men de använder också en förståelse för den industriella processen.
435 00:22:58,480 --> 00:23:06,480
De mappar det till kontrollsystemen, och de har en hållbar utgångspunkt som det är svårt att stödja.
436 00:23:06,480 --> 00:23:13,480
Om du är en av de som är dåliga i den andra delen av organisationen, om det är IT eller OT,
437 00:23:13,480 --> 00:23:18,480
så är du mycket mer möjlig att inte bara inte kunna stödja de sofistikerade attackerna,
438 00:23:18,480 --> 00:23:25,480
men det är då NAPETCIA och de andra situationerna är mycket mer möjliga att hända
439 00:23:25,480 --> 00:23:31,480
på grund av utmaningar i de basala försäkringarna som har gjorts.
440 00:23:31,480 --> 00:23:40,480
En annan intressant sak var att marknaden i Superbowl, jag tror att det var Mark som kommenterade,
441 00:23:40,480 --> 00:23:47,480
att förändringen, trenden som du såg i 2000 när det var en stor utgångspunkt,
442 00:23:47,480 --> 00:23:51,480
så frågade de om det var Power Grid med O-load.
443 00:23:51,480 --> 00:23:56,480
Men nu i 2005 var det en annan utgångspunkt, och de hade andra frågor.
444 00:23:56,480 --> 00:24:01,480
Ja, det blev plötsligt en fråga om, var det cyberrelaterat?
445 00:24:01,480 --> 00:24:03,480
Det ser ut som en överenskommelse.
446 00:24:03,480 --> 00:24:10,480
Och likadant, det hände nyligen, det fanns en serie av exploser, husexplosioner,
447 00:24:10,480 --> 00:24:15,480
på grund av en gaspipel i Massachusetts i Storbritannien.
448 00:24:15,480 --> 00:24:16,480
Och…
449 00:24:16,480 --> 00:24:17,480
Och…
450 00:24:17,480 --> 00:24:22,480
Och så när det hände på nyheterna så förekom sociala medier,
451 00:24:22,480 --> 00:24:27,480
och sa, det här är förstås en utgångspunkt för cyberrätt.
452 00:24:27,480 --> 00:24:31,480
Och då kom vi till…
453 00:24:31,480 --> 00:24:35,480
Kanske vi kom till de mest intressanta eller sexiga idéerna först,
454 00:24:35,480 --> 00:24:40,480
och cyber rör sig snarare i den här kategorin av,
455 00:24:40,480 --> 00:24:44,480
just den omöjliga, unänskommeliga situationen.
456 00:24:44,480 --> 00:24:46,480
Men det blir snabbt en plats,
457 00:24:46,480 --> 00:24:50,480
Det är ett område där vi måste rulla ut cybernivåer,
458 00:24:50,480 --> 00:24:54,480
där det tidigare inte var en behov.
459 00:24:54,480 --> 00:24:58,480
Och det är också en del av att vara på bordnivån, tror jag.
460 00:24:58,480 --> 00:24:59,480
Ja, det är det.
461 00:24:59,480 --> 00:25:04,480
Så bordet eller effektiviteterna måste vara ansvariga.
462 00:25:04,480 --> 00:25:06,480
Är vi under en cyberattack eller inte?
463 00:25:06,480 --> 00:25:10,480
Och så kallar de dig in för att rulla det ut.
464 00:25:10,480 --> 00:25:15,480
Ja, jag tror att det är förvånande, inte bara inom industriella områden,
465 00:25:15,480 --> 00:25:21,480
utan också inom USA, i elektionerna och i politiken i allmänhet.
466 00:25:21,480 --> 00:25:25,480
Det finns en stor inflytelse nu på cybernivå.
467 00:25:25,480 --> 00:25:30,480
Jag kommer tillbaka till 20 år sedan när jag var liten.
468 00:25:30,480 --> 00:25:33,480
Jag var intresserad av cybernivå.
469 00:25:33,480 --> 00:25:37,480
Det var information om säkerhet, vi kallade det inte cybernivå.
470 00:25:37,480 --> 00:25:41,480
Men idén när jag var liten var att presidenter skulle prata om
471 00:25:41,480 --> 00:25:45,480
cybersäkerhet eller att det skulle vara i medierna alltid.
472 00:25:45,480 --> 00:25:48,480
Jag skulle ha skrattat.
473 00:25:48,480 --> 00:25:53,480
Det var ingenting förr när man hade dial-up-modem och ett par personer som använde internet.
474 00:25:53,480 --> 00:25:59,480
Nu i världen vi bor i är det alltid pratat om det.
475 00:25:59,480 --> 00:26:04,480
Vi håller det runt i vårt huvud hela tiden med våra telefoner och tabletter.
476 00:26:04,480 --> 00:26:09,480
Det är fantastiskt hur saker snabbt kommer in över tid.
477 00:26:09,480 --> 00:26:13,480
Den här frågan i bojlig vatten som inte förstår var vi är.
478 00:26:13,480 --> 00:26:14,480
Ja.
479 00:26:14,480 --> 00:26:18,480
Men om man väcker sig och förstår hur olika saker är från 20 år sedan.
480 00:26:18,480 --> 00:26:21,480
Det är en fantastisk tid att vara i livet.
481 00:26:21,480 --> 00:26:24,480
Kommer vi tillbaka lite till hundret.
482 00:26:24,480 --> 00:26:29,480
Jag känner till dig, Mark och Mark först.
483 00:26:29,480 --> 00:26:38,480
Vi pratade om problemet när man hundrar och hittar något som inte har exploderat i miljön.
484 00:26:38,480 --> 00:26:43,480
Och hur man bestämmer sig för om man ska reagera på det eller bara titta på det.
485 00:26:43,480 --> 00:26:45,480
Ska man remittera eller monitorera?
486 00:26:45,480 --> 00:26:47,480
Så det är en chans.
487 00:26:47,480 --> 00:26:51,480
Vad skulle du säga är komponenterna när det kommer till en beslutning om det?
488 00:26:51,480 --> 00:27:00,480
Jag tror att det är att kunna förstå skåpet innan man gör något.
489 00:27:00,480 --> 00:27:06,480
Om man ser en host som är kompromissad.
490 00:27:06,480 --> 00:27:11,480
Om man isolerar det till t.ex.
491 00:27:11,480 --> 00:27:15,480
Ransomware som inte aktiviserades för någon anledning.
492 00:27:15,480 --> 00:27:19,480
Då kan man ta det fram och ta det utifrån.
493 00:27:19,480 --> 00:27:22,480
Om det har en mer sofistikerad smak till det.
494 00:27:22,480 --> 00:27:26,480
Om man ser en host där det finns andra i den.
495 00:27:26,480 --> 00:27:34,480
Att kunna skapa och förstå var alla intrusioner finns.
496 00:27:34,480 --> 00:27:36,480
Så att man inte skapar en del av det.
497 00:27:36,480 --> 00:27:39,480
Och sen tippa bort kvinnan.
498 00:27:39,480 --> 00:27:43,480
Så att man använder det för en tid eller tar andra aktier.
499 00:27:43,480 --> 00:27:51,480
Och vare sig det är en diskussion om området i och för sig.
500 00:27:51,480 --> 00:27:55,480
Vad är ramifikationerna från en operationsperspektiv?
501 00:27:55,480 --> 00:28:00,480
Om det är generation eller vattenuppgift eller vad det kan vara.
502 00:28:00,480 --> 00:28:02,480
Vad är värsta skälet?
503 00:28:02,480 --> 00:28:07,480
Ska vår respons göra det värre än själva kompromissen?
504 00:28:07,480 --> 00:28:10,480
Och hur ska det fungera med det?
505 00:28:10,480 --> 00:28:13,480
Det är alla frågor som man måste arbeta med.
506 00:28:13,480 --> 00:28:21,480
Det är en on-site-ingenjör som förstår områdena och hur de fungerar specifikt.
507 00:28:21,480 --> 00:28:25,480
Du pratade också om utbytet av spelböcker.
508 00:28:25,480 --> 00:28:29,480
För att guida de första 15 minuterna.
509 00:28:29,480 --> 00:28:34,480
Vad är komponenterna som går in i ett bra spelböcker?
510 00:28:34,480 --> 00:28:35,480
Det kan inte vara för långt.
511 00:28:35,480 --> 00:28:36,480
Det kan inte vara för långt.
512 00:28:36,480 --> 00:28:38,480
Det kan inte vara för långt.
513 00:28:38,480 --> 00:28:40,480
Det är lite utmanande.
514 00:28:40,480 --> 00:28:44,480
Vi har spelböcker som integreras i vår teknologi.
515 00:28:44,480 --> 00:28:48,480
Så att när det finns anvandring, så har du en steg-by-steg-guide.
516 00:28:48,480 --> 00:28:51,480
För det första tyckte det ut som en ordentlig idé.
517 00:28:51,480 --> 00:28:54,480
Men när du har 20 personer som skriver 20 spelböcker.
518 00:28:54,480 --> 00:28:56,480
De ser alldeles unika ut.
519 00:28:56,480 --> 00:29:03,480
Det tog mycket diskussion om vad som gör ett bra spelböcker.
520 00:29:03,480 --> 00:29:04,480
Det tog mycket diskussion om vad som gör ett bra spelböcker.
521 00:29:04,480 --> 00:29:08,480
Jag tror att jag tog mycket information från
522 00:29:08,480 --> 00:29:09,480
Jag glömmer förra fokuseret.
523 00:29:09,480 --> 00:29:13,480
Det finns ett böcker som heter Checklist Manifesto.
524 00:29:13,480 --> 00:29:17,480
Och det var en doktor som var på fokus på.
525 00:29:17,480 --> 00:29:24,480
Hur reducerar du uppfattande saker under cirkeln genom checklister.
526 00:29:24,480 --> 00:29:28,480
Så han gick på en mission.
527 00:29:28,480 --> 00:29:30,480
Han pratade med många piloter.
528 00:29:30,480 --> 00:29:32,480
Piloter är det bästa uttrycket för.
529 00:29:32,480 --> 00:29:33,480
När en pilot börjar.
530 00:29:33,480 --> 00:29:34,480
När en pilot börjar.
531 00:29:34,480 --> 00:29:37,320
Pre-flight checklist, they have a checklist for everything.
532 00:29:37,320 --> 00:29:42,140
If you ever poke into a cockpit, they’ll have something 10 inches deep
533 00:29:42,140 --> 00:29:44,000
and they’ll flip through that.
534 00:29:44,120 --> 00:29:48,780
But each of those pages is a checklist of, say, seven things.
535 00:29:48,900 --> 00:29:54,480
It’s one sentence long and as brief as it can be.
536 00:29:55,200 --> 00:30:02,860
And it’s just that gut check for them to, as a senior, in this case pilot,
537 00:30:02,860 --> 00:30:05,260
to make sure they don’t miss a step.
538 00:30:05,840 --> 00:30:12,040
And then for the junior-level analysts to moving back from pilots to security,
539 00:30:12,640 --> 00:30:17,500
being able to allow them to operate at, say, from a tier 1 to tier 2 position
540 00:30:17,500 --> 00:30:19,200
so that they’re making the right decisions.
541 00:30:19,780 --> 00:30:24,800
And they can determine what the level or severity of impact may be
542 00:30:24,800 --> 00:30:28,280
so that they can then decide if escalation is warranted.
543 00:30:28,280 --> 00:30:32,640
So what would you say is the most common mistake during the first 15 minutes?
544 00:30:32,860 --> 00:30:34,240
From a junior analyst.
545 00:30:34,240 --> 00:30:36,520
I think that’s a great question.
546 00:30:37,560 --> 00:30:44,620
The thing that immediately came to mind is assuming that the incident is smaller than it is.
547 00:30:45,240 --> 00:30:48,600
So not fully investigating the event.
548 00:30:48,920 --> 00:30:52,840
So where you see an alarm trigger and you see host A and host B.
549 00:30:53,300 --> 00:30:54,640
Okay, I got this.
550 00:30:54,800 --> 00:30:56,520
And you remediate host A and B.
551 00:30:57,240 --> 00:31:00,680
But that detection software was disabled on host C.
552 00:31:01,720 --> 00:31:02,840
And you could have done that.
553 00:31:02,840 --> 00:31:05,580
You could have detected it if you did a little bit more investigation.
554 00:31:06,120 --> 00:31:10,080
But you just took the information that you had, made an action,
555 00:31:10,200 --> 00:31:11,420
but you didn’t look for more information.
556 00:31:12,120 --> 00:31:16,680
That is, what I would say, is very, very common
557 00:31:16,680 --> 00:31:22,480
in just the differences of how a senior person thinks through an incident
558 00:31:22,480 --> 00:31:25,580
versus somebody who’s new into the field.
559 00:31:27,080 --> 00:31:32,400
Also, when you’re talking about the hunt capability or incident response capability,
560 00:31:32,840 --> 00:31:41,420
you talk about establishing a forensic capability as one of the recommendations that you put in.
561 00:31:41,820 --> 00:31:48,240
What would you say would go into the basic first steps around that?
562 00:31:48,240 --> 00:31:57,820
I think basic first steps is having a conversation between assuming, I’m assuming a lot,
563 00:31:57,940 --> 00:32:01,420
but if you have a digital forensics person on staff,
564 00:32:01,980 --> 00:32:02,240
likely they do not…
565 00:32:02,840 --> 00:32:05,120
I don’t know anything about your control systems.
566 00:32:05,700 --> 00:32:10,960
Likewise, your control systems engineer knows nothing about forensics
567 00:32:10,960 --> 00:32:13,360
or what the forensics individual does.
568 00:32:14,260 --> 00:32:20,260
So getting them in a room together and just whiteboarding and doing a playbook on,
569 00:32:20,700 --> 00:32:24,300
not like in general, like how would I respond to if your site goes down?
570 00:32:24,420 --> 00:32:25,600
That’s too vague.
571 00:32:26,740 --> 00:32:32,820
Instead, it’s how would I respond if I think there’s a malicious activity on that site?
572 00:32:32,980 --> 00:32:50,660
Yeah, I when you
573 00:32:50,660 --> 00:32:51,620
message them, you give them what it is right waiting just in case.
574 00:32:51,620 --> 00:32:52,580
This is how I interact with this.
575 00:32:52,700 --> 00:32:55,620
This is how it’s designed and used.
576 00:32:55,800 --> 00:33:02,220
And then the forensics person will say, well, I wouldn’t want to know how to even determine what the IP address is.
577 00:33:02,380 --> 00:33:02,660
I would like…
578 00:33:02,660 --> 00:33:02,820
You can say, I probably don’t know what is driving that road, but I can just make audio and then send information to the informant.
579 00:33:02,820 --> 00:33:04,460
I like to know how to record the serial number.
580 00:33:04,640 --> 00:33:06,300
Is it this number? Is it this number?
581 00:33:06,940 --> 00:33:09,280
Is there any meaning behind the serial number?
582 00:33:09,420 --> 00:33:11,740
That I can have an understanding of that type of device.
583 00:33:13,340 --> 00:33:18,140
And how do I access configuration data in it?
584 00:33:18,820 --> 00:33:22,180
And just those three questions between those two
585 00:33:22,180 --> 00:33:26,460
will probably drive a day-long discussion
586 00:33:26,460 --> 00:33:29,880
that would actually allow them to create that playbook
587 00:33:29,880 --> 00:33:33,560
and have a comfort level that if something were to happen
588 00:33:33,560 --> 00:33:37,760
moving it beyond the, well, we’re going to respond to the facility
589 00:33:37,760 --> 00:33:39,900
and we’ll coordinate a call.
590 00:33:39,900 --> 00:33:41,740
That’s all the planning aspects.
591 00:33:41,940 --> 00:33:44,340
But from a how do you actually do the intrusion analysis
592 00:33:44,340 --> 00:33:48,920
that’s where we need to get to as an industry.
593 00:33:49,080 --> 00:33:52,260
So it comes back to being prepared for the incident
594 00:33:52,260 --> 00:33:53,980
when it’s coming in, right?
595 00:33:54,060 --> 00:33:54,400
Yes.
596 00:33:55,080 --> 00:33:58,260
The challenge with critical infrastructure specifically
597 00:33:58,260 --> 00:34:00,700
is because it’s so important
598 00:34:00,700 --> 00:34:03,380
and everyone has a lot of passion about it, as they should.
599 00:34:04,560 --> 00:34:07,200
There’s a lot of exercises that get performed
600 00:34:07,200 --> 00:34:09,760
but they’re so high level
601 00:34:09,760 --> 00:34:13,900
that it’s not to the benefit of the analyst
602 00:34:13,900 --> 00:34:15,860
that would actually be doing the work.
603 00:34:16,220 --> 00:34:18,060
It’s more of how would the organization respond
604 00:34:18,060 --> 00:34:21,620
not how would Joe, our incident responder, respond.
605 00:34:22,640 --> 00:34:28,180
So that’s a discussion that we need to have more and more of, I think.
606 00:34:28,260 --> 00:34:30,220
Because I think there are certain assumptions
607 00:34:30,220 --> 00:34:32,360
that Joe knows how to respond to that
608 00:34:32,360 --> 00:34:35,240
and that’s not necessarily the case.
609 00:34:35,240 --> 00:34:38,580
And also I think it was Mark in his previous presentation
610 00:34:38,580 --> 00:34:41,660
that talked about establishing a good trust relationship
611 00:34:41,660 --> 00:34:43,200
between the different actors.
612 00:34:43,520 --> 00:34:46,940
Because if you have to wait one and a half day to get access
613 00:34:46,940 --> 00:34:50,000
or to even connect the stuff to the network
614 00:34:50,000 --> 00:34:52,860
then you’re out of information, right?
615 00:34:52,860 --> 00:34:57,160
Yeah, that’s challenging for some of our new customers
616 00:34:57,160 --> 00:34:57,800
that come in.
617 00:34:58,260 --> 00:34:59,000
Experiencing a breach.
618 00:34:59,500 --> 00:35:03,360
And it can take an order of days
619 00:35:03,360 --> 00:35:05,660
and that’s when they’re under a lot of pressure
620 00:35:05,660 --> 00:35:08,580
and they’re pressured by the legal team and otherwise
621 00:35:08,580 --> 00:35:10,700
to just figure out what they need to do
622 00:35:10,700 --> 00:35:12,800
to sign paperwork, essentially
623 00:35:12,800 --> 00:35:16,640
while we’re in route or on-site waiting
624 00:35:16,640 --> 00:35:23,380
can be a very frustrating sort of high-tension scenario.
625 00:35:23,860 --> 00:35:26,580
So being able to do that paperwork ahead of time
626 00:35:26,580 --> 00:35:28,240
and being able to do that paperwork
627 00:35:28,240 --> 00:35:30,120
and being able to articulate those questions
628 00:35:30,120 --> 00:35:32,780
such as, oh, they need a background check
629 00:35:32,780 --> 00:35:35,720
or we’ll need evidence of a background check
630 00:35:35,720 --> 00:35:42,100
or listing out the protective gear
631 00:35:42,100 --> 00:35:43,220
that they may need to wear
632 00:35:43,220 --> 00:35:45,640
when they’re at a particular facility.
633 00:35:45,880 --> 00:35:48,920
All of those sorts of, again, could be a checklist
634 00:35:48,920 --> 00:35:52,700
goes a long way to just speeding things up
635 00:35:52,700 --> 00:35:56,080
and removing the friction from the event
636 00:35:56,080 --> 00:35:57,900
so they can just be heads down focused on it.
637 00:35:58,240 --> 00:36:00,820
Well, at least then we have the board-level attention
638 00:36:00,820 --> 00:36:03,840
to make a good preparation, right?
639 00:36:03,880 --> 00:36:04,280
That’s true.
640 00:36:04,680 --> 00:36:07,740
There is a silver lining in those sorts of incidents.
641 00:36:08,700 --> 00:36:12,460
There can be a lot of questions, resources
642 00:36:12,460 --> 00:36:15,220
dedicated towards it that otherwise may not have happened.
643 00:36:16,300 --> 00:36:19,280
It’s unfortunate, but a lot of times
644 00:36:19,280 --> 00:36:23,260
a true incident will spur a lot of activity
645 00:36:23,260 --> 00:36:25,300
and a lot of changes that, honestly,
646 00:36:25,520 --> 00:36:27,700
that the folks on the ground already knew about
647 00:36:27,700 --> 00:36:28,220
and have been trying to do.
648 00:36:28,240 --> 00:36:29,840
They’ve been trying to get to for a long time
649 00:36:29,840 --> 00:36:32,660
but with the higher level of visibility
650 00:36:32,660 --> 00:36:34,320
it starts to move along.
651 00:36:34,540 --> 00:36:35,080
Yeah, okay.
652 00:36:35,360 --> 00:36:37,040
So in Sweden we have a saying that is
653 00:36:37,040 --> 00:36:39,260
som man bäddar får man ligga
654 00:36:39,260 --> 00:36:41,700
and that would translate approximately to, I guess,
655 00:36:41,860 --> 00:36:43,540
as you make your bed
656 00:36:43,540 --> 00:36:46,600
you will have the comfort of the bed later.
657 00:36:46,860 --> 00:36:47,140
Yes.
658 00:36:48,260 --> 00:36:52,380
So I guess we’ll just end this little follow-up
659 00:36:52,380 --> 00:36:53,680
on your presentation with that.
660 00:36:54,240 --> 00:36:56,700
Thank you very much, Ben, for sharing this
661 00:36:56,700 --> 00:36:58,040
with the second podcast.
662 00:36:58,240 --> 00:37:01,540
And listeners, I’m sure you will enjoy
663 00:37:01,540 --> 00:37:02,940
the rest of the conference here as well.
664 00:37:03,060 --> 00:37:05,700
It’s a great venue and a great arrangement
665 00:37:05,700 --> 00:37:07,120
from the CS3 guys.
666 00:37:07,300 --> 00:37:07,620
Excellent.
667 00:37:07,820 --> 00:37:09,240
Yeah, thanks for having me.
668 00:37:09,360 --> 00:37:10,180
Thanks for coming.
669 00:37:10,420 --> 00:37:11,020
Thank you very much.
670 00:37:11,380 --> 00:37:15,360
Okej, då är vi vid intervjubåset här igen.
671 00:37:15,500 --> 00:37:16,940
Jag sitter tillsammans med Erik Jernvik
672 00:37:16,940 --> 00:37:20,620
och också känd som Netresec på Twitter.
673 00:37:21,100 --> 00:37:22,960
Det är bolagets namn, antar jag.
674 00:37:23,200 --> 00:37:23,700
Ja, precis.
675 00:37:24,100 --> 00:37:26,240
Jo, jag har valt att göra så.
676 00:37:26,240 --> 00:37:27,600
Så slipper jag vara mig själv någonstans.
677 00:37:28,240 --> 00:37:29,260
Låtsas vara ett företag istället.
678 00:37:30,040 --> 00:37:33,740
Och du har varit så vänlig
679 00:37:33,740 --> 00:37:36,140
och givit en kurs här under dagarna två.
680 00:37:36,900 --> 00:37:39,820
Kan du berätta lite mer om vad deltagarna
681 00:37:39,820 --> 00:37:42,100
i den här kursen gav sig in på
682 00:37:42,100 --> 00:37:43,180
och fick lära sig?
683 00:37:43,880 --> 00:37:45,980
Ja, jag har egentligen en kurs
684 00:37:45,980 --> 00:37:47,520
som är generell, en vanlig
685 00:37:47,520 --> 00:37:48,940
Network Forensics-kurs
686 00:37:48,940 --> 00:37:50,960
där det går ut på att analysera intrång.
687 00:37:52,260 --> 00:37:53,580
Olika typer av intrång,
688 00:37:53,880 --> 00:37:55,260
att hitta bakdörrar och så.
689 00:37:55,260 --> 00:37:57,240
Men endast baserat på att titta på
690 00:37:57,240 --> 00:37:58,080
pickup-filer.
691 00:37:58,240 --> 00:37:59,480
Så inspelad nätverkstrafik.
692 00:37:59,960 --> 00:38:02,260
Men eftersom jag är till förlutet i styrsystemsbranschen
693 00:38:02,260 --> 00:38:04,480
så tycker jag att det är ganska kul
694 00:38:04,480 --> 00:38:06,040
att ha labbar även där
695 00:38:06,040 --> 00:38:07,900
när det gäller att titta på nätverkstrafik.
696 00:38:08,100 --> 00:38:09,480
Så jag har tagit min standardkurs
697 00:38:09,480 --> 00:38:10,800
och bytt ut en hel del labbar
698 00:38:10,800 --> 00:38:13,780
och stoppat in nätverkstrafik från styrsystem.
699 00:38:14,700 --> 00:38:15,560
Och då ska man då hitta
700 00:38:15,560 --> 00:38:17,860
vad var det som hände nu
701 00:38:17,860 --> 00:38:19,680
när dammluckan öppnades
702 00:38:19,680 --> 00:38:21,020
från kraftverksdammen till exempel.
703 00:38:21,700 --> 00:38:23,580
Är det någonting som har gått snett någonstans?
704 00:38:23,580 --> 00:38:24,600
Är det något hårdvarufel?
705 00:38:24,720 --> 00:38:26,680
Eller är det faktiskt någon som har skickat kommando för att göra det?
706 00:38:26,860 --> 00:38:27,960
Och vem var det då som gjorde det?
707 00:38:28,240 --> 00:38:30,940
Och då kanske man kan hitta att det är någonting som är infekterat.
708 00:38:31,920 --> 00:38:34,440
Och jag antar att det är ganska vanligt
709 00:38:34,440 --> 00:38:36,500
i de här pickupsen från styrsystemen
710 00:38:36,500 --> 00:38:38,140
att vi har inte för mycket kryptering
711 00:38:38,140 --> 00:38:39,500
och bry oss om och sådana saker.
712 00:38:39,700 --> 00:38:41,320
Nej, det är det. Jag har ju försökt
713 00:38:41,320 --> 00:38:43,160
fajtas för det här jättelänge.
714 00:38:44,260 --> 00:38:45,860
Alla som har anläggningar med styrsystem
715 00:38:45,860 --> 00:38:47,120
bör börja spela in.
716 00:38:48,080 --> 00:38:49,220
För att det är så mycket bättre.
717 00:38:49,700 --> 00:38:51,680
Det finns ingen större drive
718 00:38:51,680 --> 00:38:53,860
för att köra kryptering i styrsystem i alla fall.
719 00:38:55,240 --> 00:38:56,380
Och det andra är att
720 00:38:56,380 --> 00:38:57,300
vi behöver inte fundera på
721 00:38:57,300 --> 00:38:57,680
privacyfrågor.
722 00:38:58,240 --> 00:38:59,700
Eller GDPR och sådant.
723 00:39:00,320 --> 00:39:02,900
Folk sitter inte och skickar mejl till sina släktingar
724 00:39:02,900 --> 00:39:03,600
inne på ett styrsystem.
725 00:39:03,740 --> 00:39:05,760
De ska inte kunna skicka mejl till sina släktingar
726 00:39:05,760 --> 00:39:08,620
eller logga in på sin bank.
727 00:39:09,040 --> 00:39:09,780
Det finns inget sådant.
728 00:39:09,880 --> 00:39:12,360
Det som finns i styrsystemet, det finns ingen
729 00:39:12,360 --> 00:39:14,200
privacyfråga kring det egentligen.
730 00:39:14,420 --> 00:39:17,000
Oftast är det inte ens någon sekretess på den datan.
731 00:39:17,560 --> 00:39:18,740
Utan det är snarare att man måste
732 00:39:18,740 --> 00:39:20,100
se till att ingen annan får
733 00:39:20,100 --> 00:39:22,180
otillbörlig åtkomst till systemen
734 00:39:22,180 --> 00:39:23,800
och kanske börja styra och ändra dem.
735 00:39:23,800 --> 00:39:24,980
Det är dels problemet.
736 00:39:26,860 --> 00:39:27,900
Varför är det då ett problem?
737 00:39:28,240 --> 00:39:29,720
Varför spelar inte alla in
738 00:39:29,720 --> 00:39:32,120
nätverkstrafik i ett normalt
739 00:39:32,120 --> 00:39:33,360
processdatanät?
740 00:39:34,420 --> 00:39:36,100
Ja, nej men det är ju
741 00:39:36,100 --> 00:39:37,900
en sak till som man behöver lägga till
742 00:39:37,900 --> 00:39:39,780
att göra. Och jag tror inte man har
743 00:39:39,780 --> 00:39:42,280
allt… Man ligger 30 år
744 00:39:42,280 --> 00:39:43,800
efter i styrsystemsvärlden jämfört med
745 00:39:43,800 --> 00:39:45,620
vanliga it-världen. Och
746 00:39:45,620 --> 00:39:47,940
jag är jätteglad. Det är faktiskt de som
747 00:39:47,940 --> 00:39:49,780
har börjat göra det nu. Och jag blir så glad
748 00:39:49,780 --> 00:39:51,560
att höra det för det här är något jag har försökt slaga i Sverige
749 00:39:51,560 --> 00:39:53,580
i kanske tio år i alla fall, att man bör göra.
750 00:39:54,160 --> 00:39:55,340
Jag började göra det för
751 00:39:55,340 --> 00:39:56,880
13 år sedan.
752 00:39:58,240 --> 00:39:59,120
Jobbade just med styrsystem.
753 00:40:00,200 --> 00:40:02,200
Men då var det ju inte att man hade de permanenta
754 00:40:02,200 --> 00:40:03,880
installationerna, utan då kunde man gå och titta
755 00:40:03,880 --> 00:40:06,600
ibland på trafik och göra en audit kanske på ett kraftverk
756 00:40:06,600 --> 00:40:08,380
och hitta en massa knasiga saker.
757 00:40:08,560 --> 00:40:10,700
Och då har man insett att det här borde man göra permanent.
758 00:40:11,200 --> 00:40:12,420
För man får ut så otroligt
759 00:40:12,420 --> 00:40:14,100
mycket av att börja titta på trafik i
760 00:40:14,100 --> 00:40:16,400
anläggningar. Och då sitter man med
761 00:40:16,400 --> 00:40:18,440
fina p-caps
762 00:40:18,440 --> 00:40:20,280
från sina nätverk
763 00:40:20,280 --> 00:40:22,400
och nästa steg är så förstås, vad gör jag med de här
764 00:40:22,400 --> 00:40:24,480
filerna? Ja, och det var ju så det
765 00:40:24,480 --> 00:40:26,120
började bli för mig. I och med att jag utvecklade
766 00:40:26,120 --> 00:40:28,080
Network Miner, som är ett network-franskigt
767 00:40:28,240 --> 00:40:30,460
verktyg. Det började med att jag
768 00:40:30,460 --> 00:40:32,700
jobbade och tittade på trafik från anläggningar
769 00:40:32,700 --> 00:40:33,620
och
770 00:40:33,620 --> 00:40:36,240
det första man vill göra, det är att göra en
771 00:40:36,240 --> 00:40:38,560
host inventory, alltså kolla vad finns det på nätet.
772 00:40:39,560 --> 00:40:40,640
Och anledningen till att jag vill göra det
773 00:40:40,640 --> 00:40:42,500
är att jag frågar driftägarna, eller de som har
774 00:40:42,500 --> 00:40:44,220
anläggningen då, om jag kan få
775 00:40:44,220 --> 00:40:46,560
en karta över vad som finns
776 00:40:46,560 --> 00:40:48,520
på ert nät. Men jag vill nog ju verifiera
777 00:40:48,520 --> 00:40:50,640
att det är det som ligger på nätet på riktigt också.
778 00:40:51,760 --> 00:40:52,600
Normalt sett så kör man
779 00:40:52,600 --> 00:40:54,660
en app-scan, eller man scannar hela nätet
780 00:40:54,660 --> 00:40:56,620
då. Men det går absolut inte att göra
781 00:40:56,620 --> 00:40:58,160
på styrsystem. För jag är ju…
782 00:40:58,240 --> 00:41:00,220
Jag har ju lyckats sänka saker i den appen.
783 00:41:00,760 --> 00:41:02,380
Alltså en del saker är ju så fåniga, man kan ju
784 00:41:02,380 --> 00:41:04,080
det räcker med att skicka åtta synpaket
785 00:41:04,080 --> 00:41:05,600
om man har fyllt deras
786 00:41:05,600 --> 00:41:09,860
TCP-socket.
787 00:41:10,000 --> 00:41:11,560
De har inga fler lyssnare-sockets.
788 00:41:11,920 --> 00:41:13,940
Så sen är de borta på nätet.
789 00:41:14,340 --> 00:41:16,300
Så det funkar ju inte att scanna ett nät på så sätt.
790 00:41:16,420 --> 00:41:18,080
Det är då jag börjar
791 00:41:18,080 --> 00:41:20,060
lyssna passivt, spela in trafik.
792 00:41:20,240 --> 00:41:22,120
Och så på det sättet kartlägger jag
793 00:41:22,120 --> 00:41:23,140
vilka som finns på nätet.
794 00:41:23,920 --> 00:41:25,600
Och på den tiden så var det inte…
795 00:41:25,600 --> 00:41:27,840
Det var svårt att visualisera vad som egentligen
796 00:41:27,840 --> 00:41:29,460
låg på nätet. Och då har jag börjat med
797 00:41:29,460 --> 00:41:31,940
Network Miner att titta vilka IP-adresser som
798 00:41:31,940 --> 00:41:33,680
fanns. Vilka MAC-adresser har de?
799 00:41:33,800 --> 00:41:35,700
Och försöka kolla upp vilka leverantörer av den
800 00:41:35,700 --> 00:41:37,780
MAC-adressen. Försöka känna igen vilket
801 00:41:37,780 --> 00:41:39,540
OS allting kör. Så jag tar
802 00:41:39,540 --> 00:41:41,580
här är Windows-maskinen, här ser det ut som en styrsystem
803 00:41:41,580 --> 00:41:43,280
men det här är en Unix-maskin och så vidare.
804 00:41:43,960 --> 00:41:45,740
Och göra allting det passivt. Så det är egentligen så
805 00:41:45,740 --> 00:41:47,900
det börjar. Så det finns
806 00:41:47,900 --> 00:41:49,780
moduler i Network Miner
807 00:41:49,780 --> 00:41:52,060
som är ICS-specifika?
808 00:41:52,580 --> 00:41:53,380
På den tiden, alltså
809 00:41:53,380 --> 00:41:55,420
det som är ICS-specifikt
810 00:41:55,420 --> 00:41:57,400
nej då…
811 00:41:57,840 --> 00:42:00,240
Nu finns det det. Från början
812 00:42:00,240 --> 00:42:01,760
fanns det inte det, men nu för tiden har jag börjat lägga till
813 00:42:01,760 --> 00:42:04,000
även ICS-protokoll då. Så att
814 00:42:04,000 --> 00:42:05,960
än så länge finns det Modbus och
815 00:42:05,960 --> 00:42:07,560
IEC 104 som är två
816 00:42:07,560 --> 00:42:10,180
hyfsat vanliga styrsystemprotokoll här i Europa
817 00:42:10,180 --> 00:42:12,040
i alla fall. Och det är
818 00:42:12,040 --> 00:42:14,000
några till som jag ska försöka ta med mig också.
819 00:42:14,160 --> 00:42:16,180
Men man får någonstans ha en prioriteringslista
820 00:42:16,180 --> 00:42:18,000
vad man tar först. Men det finns ett gäng
821 00:42:18,000 --> 00:42:19,460
till som jag skulle vilja få in.
822 00:42:19,640 --> 00:42:22,080
Och är det framförallt i Network Miner man jobbar
823 00:42:22,080 --> 00:42:23,880
i den här tvådagarskursen?
824 00:42:24,060 --> 00:42:25,980
Eller hur är upplägget
825 00:42:25,980 --> 00:42:27,760
på kursen? Ja, den upplagdes
826 00:42:27,840 --> 00:42:29,900
så att det är en dag, första dagen
827 00:42:29,900 --> 00:42:31,760
så är det bara open source-mjukvara.
828 00:42:32,020 --> 00:42:32,960
Då kör vi Security Onion
829 00:42:32,960 --> 00:42:35,140
som är en jättebra
830 00:42:35,140 --> 00:42:36,960
smidig Linux
831 00:42:36,960 --> 00:42:41,800
det är en Linux-installation gjord av en kille som heter
832 00:42:41,800 --> 00:42:43,340
Doug Burks som har verkligen
833 00:42:43,340 --> 00:42:46,120
plockat det bästa av det bästa av en massa verktyg
834 00:42:46,120 --> 00:42:47,560
och gjort en Linux-distro
835 00:42:47,560 --> 00:42:49,540
som är lätt att installera och
836 00:42:49,540 --> 00:42:52,140
väldigt smidig att använda. Så att vi kör bara den
837 00:42:52,140 --> 00:42:54,280
och där har Network Miner finns ju med
838 00:42:54,280 --> 00:42:56,340
där. Så att vi använder
839 00:42:56,340 --> 00:42:57,820
Network Miner men vi använder väldigt mycket
840 00:42:57,840 --> 00:42:58,680
andra verktyg också.
841 00:43:00,260 --> 00:43:01,960
Och sen dag två, då är det mer
842 00:43:01,960 --> 00:43:03,980
kurs i mina verktyg. Så då
843 00:43:03,980 --> 00:43:05,800
använder vi Capploader
844 00:43:05,800 --> 00:43:08,020
och Network Miner. Men även en hel del
845 00:43:08,020 --> 00:43:10,000
Wireshark. Det går inte
846 00:43:10,000 --> 00:43:11,360
att komma ifrån att man använder Wireshark.
847 00:43:12,360 --> 00:43:13,700
Det gör jag dagligen själv.
848 00:43:14,300 --> 00:43:15,620
Men då använder du Capploader
849 00:43:15,620 --> 00:43:17,720
finns det Capploader ett sätt att
850 00:43:17,720 --> 00:43:20,020
jonglera med
851 00:43:20,020 --> 00:43:22,040
Cappfiler och dess innehåll på ett smidigt
852 00:43:22,040 --> 00:43:23,920
sätt? Ja, men precis. För att ofta är problemet
853 00:43:23,920 --> 00:43:25,240
att det är inte
854 00:43:25,240 --> 00:43:27,820
att förstå vad som är
855 00:43:27,840 --> 00:43:30,040
som händer utan det är att det är det intressanta.
856 00:43:30,160 --> 00:43:32,100
Jag har ju drunknat i datamängden. Vi har så otroligt
857 00:43:32,100 --> 00:43:33,900
mycket data och det är snabba
858 00:43:33,900 --> 00:43:35,940
nätverk. Så att man fyller ju ganska
859 00:43:35,940 --> 00:43:37,840
snabbt en stor disk med PCAP-data.
860 00:43:38,540 --> 00:43:39,980
Så att då är frågan hur tusan
861 00:43:39,980 --> 00:43:41,980
ska vi hitta den nålen i höstsacken?
862 00:43:42,140 --> 00:43:43,360
Och det är det jag jobbar med Capploader.
863 00:43:43,500 --> 00:43:45,700
Att ta den stora sjunkern med
864 00:43:45,700 --> 00:43:47,560
PCAP och faktiskt filtrera bort allt.
865 00:43:47,840 --> 00:43:49,600
Det här är inte relevant, det här är inte relevant.
866 00:43:49,880 --> 00:43:51,760
Tills man har kvar lite saker som faktiskt
867 00:43:51,760 --> 00:43:53,900
är spännande
868 00:43:53,900 --> 00:43:55,780
att titta närmare på. Och då kan man plocka ut
869 00:43:55,780 --> 00:43:57,640
i andra verktyg som Wireshark eller
870 00:43:57,840 --> 00:43:58,560
Turkmine för en del.
871 00:43:59,600 --> 00:44:01,580
Det är baktanken med Capploader.
872 00:44:01,640 --> 00:44:03,920
Det var faktiskt ett verktyg som jag skrev bara för mig själv
873 00:44:03,920 --> 00:44:05,920
från början. För jag känner att
874 00:44:05,920 --> 00:44:07,620
det finns inga smidiga sätt.
875 00:44:07,720 --> 00:44:09,640
För jag satt jättemycket och körde filter med bara
876 00:44:09,640 --> 00:44:11,780
ett SCP-dump och skrev BPF-syntaxer för att
877 00:44:11,780 --> 00:44:13,160
filtrera, filtrera, filtrera.
878 00:44:13,300 --> 00:44:15,900
Jag är trött på att skriva det här tusen gånger.
879 00:44:16,580 --> 00:44:17,760
Man skulle kunna automatisera det
880 00:44:17,760 --> 00:44:19,640
men det är så att för varje analys är det
881 00:44:19,640 --> 00:44:21,240
olika saker man får filtrera på.
882 00:44:21,360 --> 00:44:23,220
Så vill man prova ett filter så att nej men det var inte rätt.
883 00:44:23,220 --> 00:44:24,160
Jag ändrar mig och gör lite så här.
884 00:44:24,500 --> 00:44:27,260
Då vill man ha allt interaktivt. Det var då jag började skriva på Capploader.
885 00:44:27,840 --> 00:44:29,560
Det har blivit så pass moget att jag faktiskt får gå och släppa det.
886 00:44:29,700 --> 00:44:30,920
Och våga sälja till andra.
887 00:44:34,120 --> 00:44:35,720
Så jag har känt att det har blivit
888 00:44:35,720 --> 00:44:36,780
så pass bra med tiden i alla fall.
889 00:44:37,160 --> 00:44:39,680
Men det finns en licensmodell om man vill ta del av den.
890 00:44:42,060 --> 00:44:42,340
Capploader
891 00:44:42,340 --> 00:44:44,140
finns det som en trial-version
892 00:44:44,140 --> 00:44:45,360
som man kan ladda ner gratis.
893 00:44:45,800 --> 00:44:47,940
Man behöver inte ens registrera sig. Det är bara att ladda ner och köra på.
894 00:44:48,840 --> 00:44:49,880
Och när den är slut så kan man
895 00:44:49,880 --> 00:44:51,780
ladda ner en till. Men när man är trött
896 00:44:51,780 --> 00:44:54,800
när man laddar ner så är det dags att börja köpa.
897 00:44:55,260 --> 00:44:55,920
Och Network Miner
898 00:44:55,920 --> 00:44:56,820
den är ju open source.
899 00:44:57,840 --> 00:45:00,020
Så den är det bara att ladda ner och köra hur mycket man vill.
900 00:45:00,420 --> 00:45:02,620
Sen har jag en betal-version som har lite mera features i sig.
901 00:45:03,340 --> 00:45:04,740
Men tanken är att
902 00:45:04,740 --> 00:45:06,160
för privata användare så ska
903 00:45:06,160 --> 00:45:08,440
open source-versionen alltid vara tillräcklig.
904 00:45:08,860 --> 00:45:09,680
Utan det är ju
905 00:45:09,680 --> 00:45:12,260
de som använder det så pass mycket eller tycker att
906 00:45:12,260 --> 00:45:14,760
de vill ha de här extra funktionerna som är i betal-versionen.
907 00:45:15,400 --> 00:45:16,420
De kan köpa den då.
908 00:45:16,780 --> 00:45:18,200
Något som kom upp igår
909 00:45:18,200 --> 00:45:20,280
under konferensen var ju det här med hunting.
910 00:45:20,480 --> 00:45:22,640
Att liksom göra incident response
911 00:45:22,640 --> 00:45:24,360
redan utan att det finns
912 00:45:24,360 --> 00:45:26,040
någon incident. Och då skulle jag
913 00:45:26,040 --> 00:45:28,060
antara att gräva i p-caps
914 00:45:28,060 --> 00:45:29,500
och ha sådana övningar
915 00:45:29,500 --> 00:45:32,180
är väl en lysande exempel på en bra
916 00:45:32,180 --> 00:45:33,500
hunt-strategi.
917 00:45:33,620 --> 00:45:36,060
Ja, alltså jag lär bara ut. När jag pratar
918 00:45:36,060 --> 00:45:38,660
om att analysera nätverkstrafik ur säkerhetssynpunkt
919 00:45:38,660 --> 00:45:40,220
då. Alltså jag visar ju
920 00:45:40,220 --> 00:45:42,240
jag har ju utbildat även polisen i den här typen
921 00:45:42,240 --> 00:45:44,020
av analys. Men om man tittar inför
922 00:45:44,020 --> 00:45:46,180
it-säkerhetssynpunkten så ser det ut som att
923 00:45:46,180 --> 00:45:47,600
när jag lär ut Network Forensics
924 00:45:47,600 --> 00:45:49,700
då handlar det aldrig om att jag
925 00:45:49,700 --> 00:45:51,840
använder alldeles svartlist. Alltså jag tittar inte på
926 00:45:51,840 --> 00:45:54,380
IDS-saker. Jag tittar inte på malware-alerts.
927 00:45:54,620 --> 00:45:55,980
Utan jag gör alltid bara att rätt.
928 00:45:56,040 --> 00:45:57,860
Det är det jag alltid har gjort. Och det är verkligen
929 00:45:57,860 --> 00:45:59,800
där det jag brinner för. För att det går
930 00:45:59,800 --> 00:46:01,660
och jag vänder på hela kakan.
931 00:46:01,920 --> 00:46:04,200
Titta skit i svartlisterna. Gå på vitlister
932 00:46:04,200 --> 00:46:05,620
istället. Vad är normalt för ditt nät?
933 00:46:06,500 --> 00:46:08,060
Plocka bort det. Och så håller man på
934 00:46:08,060 --> 00:46:10,060
att plocka bort allt som är normala
935 00:46:10,060 --> 00:46:11,880
tills man har kvar saker som är konstiga.
936 00:46:12,440 --> 00:46:14,200
Och det som är intressant med den metoden
937 00:46:14,200 --> 00:46:15,840
är att då
938 00:46:15,840 --> 00:46:18,000
kan man hitta intrång eller attacker
939 00:46:18,000 --> 00:46:19,960
som inte var tidigare kända överhuvudtaget.
940 00:46:20,080 --> 00:46:22,060
Det spelar ingen roll om, alltså det behöver inte finnas
941 00:46:22,060 --> 00:46:23,740
någon som upptäckte det här tidigare. Utan du kan
942 00:46:23,740 --> 00:46:25,100
bli den första som upptäcker det.
943 00:46:25,100 --> 00:46:26,900
Och jag kallar det för en
944 00:46:26,900 --> 00:46:28,880
rinse-repeat-threat. Alltså att man
945 00:46:28,880 --> 00:46:30,180
tar allt data man har
946 00:46:30,180 --> 00:46:32,560
och så gör man den här rinse-repeat-slopen när man
947 00:46:32,560 --> 00:46:34,360
plockar bort, plockar bort, plockar bort
948 00:46:34,360 --> 00:46:36,660
tills man har kvar det lilla konstiga.
949 00:46:36,960 --> 00:46:39,000
Sen är det så att många gånger ser du att det här är konstigt.
950 00:46:39,000 --> 00:46:40,620
Det här ser skitkonstigt ut. Varför överför du
951 00:46:40,620 --> 00:46:41,940
jättemycket data från den här
952 00:46:41,940 --> 00:46:44,780
maskinen till den här datorn i datacentret
953 00:46:44,780 --> 00:46:47,240
en gång per dag?
954 00:46:47,660 --> 00:46:49,120
Är det någon exfiltration här som pågår?
955 00:46:49,440 --> 00:46:50,860
Och då får man
956 00:46:50,860 --> 00:46:52,880
kontakta de som har hand om den server
957 00:46:52,880 --> 00:46:54,800
som data skickas till och så säger de att det är
958 00:46:55,100 --> 00:46:56,500
bara en backup-körning eller vad det kan vara.
959 00:46:57,020 --> 00:46:59,140
Men som en defender då, eller försvarare
960 00:46:59,140 --> 00:47:01,200
av nätet så har man ju lärt sig något om sitt nät varje gång
961 00:47:01,200 --> 00:47:03,380
man ställer den här frågan och får reda på att ja, ja men det är
962 00:47:03,380 --> 00:47:05,200
normalt. Då lägger man det till sin vitlista
963 00:47:05,200 --> 00:47:06,600
och så fortsätter man så.
964 00:47:07,200 --> 00:47:09,060
Så att man bygger upp en erfarenhet av
965 00:47:09,060 --> 00:47:11,260
hur ens egen
966 00:47:11,260 --> 00:47:12,980
organisationsnätverk ska fungera.
967 00:47:13,260 --> 00:47:15,500
Så när det väl händer något, du får en incident
968 00:47:15,500 --> 00:47:17,060
du ska gå in och dyka in i det här
969 00:47:17,060 --> 00:47:18,660
då har du liksom koll på
970 00:47:18,660 --> 00:47:21,100
okej, så här, det här är det normala
971 00:47:21,100 --> 00:47:22,420
jag behöver inte bry mig om den här
972 00:47:22,420 --> 00:47:24,860
stora överföringen som sker på
973 00:47:25,100 --> 00:47:26,560
söndagskvällen, det är en backup
974 00:47:26,560 --> 00:47:28,980
den behöver vi inte ha med i vår analys
975 00:47:28,980 --> 00:47:30,620
om incidenten. Nej, precis
976 00:47:30,620 --> 00:47:32,580
så det är bra att kunna skala bort det där
977 00:47:32,580 --> 00:47:34,680
så mycket som möjligt. Men det är ibland svårt
978 00:47:34,680 --> 00:47:36,640
att göra en baseline om vad som är normalt
979 00:47:36,640 --> 00:47:38,840
och det tar ofta tid. Så att det är väl där
980 00:47:38,840 --> 00:47:40,680
jag försöker också ge lite tips och tricks
981 00:47:40,680 --> 00:47:42,920
hur, vad kan man, vilka metoder
982 00:47:42,920 --> 00:47:44,680
kan man använda för att filtrera bort så mycket
983 00:47:44,680 --> 00:47:46,660
som möjligt och med
984 00:47:46,660 --> 00:47:48,720
minimera risken för att man filtrerar bort något som är
985 00:47:48,720 --> 00:47:50,840
skadligt eller, ja, något
986 00:47:50,840 --> 00:47:52,720
att hakta. Vilka typer av människor var det som
987 00:47:52,720 --> 00:47:54,520
gick den här kursen nu då? Var det mest
988 00:47:55,100 --> 00:47:56,980
nätverksdykare eller operatörer
989 00:47:56,980 --> 00:47:59,240
eller vilken, hur såg
990 00:47:59,240 --> 00:48:01,280
publiken ut?
991 00:48:01,320 --> 00:48:03,000
Ja, men de var väldigt duktiga så att alla
992 00:48:03,000 --> 00:48:04,860
jobbade, alla har ju analyserat
993 00:48:04,860 --> 00:48:07,180
nätverkstrafik innan och jobbat lite
994 00:48:07,180 --> 00:48:09,060
med det. Sen, men det som jag tyckte var kul är att de kom ifrån
995 00:48:09,060 --> 00:48:11,200
väldigt olika branscher. Så att det var ju både
996 00:48:11,200 --> 00:48:13,140
leverantörer, alltså
997 00:48:13,140 --> 00:48:14,980
som bygger styrsystem, det var
998 00:48:14,980 --> 00:48:17,360
integratörer som integrerar styrsystem
999 00:48:17,360 --> 00:48:19,320
och sen
1000 00:48:19,320 --> 00:48:21,000
var det ju enskilda konsulter som gör med
1001 00:48:21,000 --> 00:48:22,360
säkerhetsaudits och
1002 00:48:22,360 --> 00:48:25,100
de som äger styrsystem. Och det är nästan där
1003 00:48:25,100 --> 00:48:27,200
jag tycker det är mest intressant, att det är de som faktiskt har
1004 00:48:27,200 --> 00:48:29,120
sina egna system och jobbar med
1005 00:48:29,120 --> 00:48:30,360
att skydda sina egna system. Det var
1006 00:48:30,360 --> 00:48:32,520
mer än hälften var faktiskt
1007 00:48:32,520 --> 00:48:35,200
ägare av system. Och en stor del
1008 00:48:35,200 --> 00:48:37,160
av dem var just från energibranschen
1009 00:48:37,160 --> 00:48:38,500
också, som jag brinner lite extra för.
1010 00:48:39,520 --> 00:48:41,200
Och det är också där jag tycker att man
1011 00:48:41,200 --> 00:48:43,260
ska, där är det nog en av de
1012 00:48:43,260 --> 00:48:45,040
mest kritiska verksamheterna i Sverige
1013 00:48:45,040 --> 00:48:46,420
att vi kan ha ström.
1014 00:48:47,080 --> 00:48:49,280
Ja, det är en bra förutsättning för att kunna göra
1015 00:48:49,280 --> 00:48:51,120
sina analyser sen. Ja, precis.
1016 00:48:52,160 --> 00:48:53,140
Vad skulle du säga att de
1017 00:48:53,140 --> 00:48:54,880
tog med sig från kursen? Vad var liksom
1018 00:48:55,100 --> 00:48:57,580
om du lyssnar på frågorna
1019 00:48:57,580 --> 00:48:59,220
och kommentarerna efteråt, vad var det
1020 00:48:59,220 --> 00:49:00,720
liksom som var det som
1021 00:49:00,720 --> 00:49:03,080
tog, det som fick
1022 00:49:03,080 --> 00:49:05,600
gummit att sätta sig i asfalt
1023 00:49:05,600 --> 00:49:07,740
där för dem? Jag tror det är lite olika från gång till gång.
1024 00:49:07,840 --> 00:49:09,420
Den här gången, det jag tyckte var riktigt bra
1025 00:49:09,420 --> 00:49:11,380
är att vi fick en skön
1026 00:49:11,380 --> 00:49:13,540
stämning i gruppen. Generellt brukar
1027 00:49:13,540 --> 00:49:15,640
jag säga så att ju mindre grupp det är som man har
1028 00:49:15,640 --> 00:49:17,580
desto lättare är det att få
1029 00:49:17,580 --> 00:49:19,440
folk att börja prata med varandra och dela idéer
1030 00:49:19,440 --> 00:49:20,680
och man kan ha lite diskussioner.
1031 00:49:22,020 --> 00:49:22,560
Nu har vi ändå,
1032 00:49:23,520 --> 00:49:25,080
alltså vi var tretton pers och
1033 00:49:25,100 --> 00:49:27,300
men det var ändå så att vi fick en bra stämning
1034 00:49:27,300 --> 00:49:29,520
och vi kunde få igång lite dialoger
1035 00:49:29,520 --> 00:49:30,900
och jag tror just det där är bra att
1036 00:49:30,900 --> 00:49:33,220
om någon har en fråga
1037 00:49:33,220 --> 00:49:35,340
så är det inte säkert att det är jag som är läraren som har det rätta
1038 00:49:35,340 --> 00:49:36,500
eller som har det bästa svaret
1039 00:49:36,500 --> 00:49:39,480
utan han sitter med ett gäng med tretton smarta
1040 00:49:39,480 --> 00:49:41,360
personer så är det alltid någon som kan mer
1041 00:49:41,360 --> 00:49:43,220
än mig om de flesta
1042 00:49:43,220 --> 00:49:45,300
frågorna och det är just det här
1043 00:49:45,300 --> 00:49:47,300
att vi kunde lyfta lite saker och få lite diskussioner
1044 00:49:47,820 --> 00:49:49,260
så att dels gav vi dem
1045 00:49:49,260 --> 00:49:51,240
väldigt mycket hänsyn om vad man kan göra, vilken typ
1046 00:49:51,240 --> 00:49:53,300
av analys man kan göra, men ofta är det så att
1047 00:49:53,960 --> 00:49:55,060
det är bra för här kan man
1048 00:49:55,100 --> 00:49:57,060
öppna upp då för leverantörer och få prata med
1049 00:49:57,060 --> 00:49:59,360
anläggningsägare eller att olika företag
1050 00:49:59,360 --> 00:50:01,200
kan lära sig av varandra hur ni har ni löst
1051 00:50:01,200 --> 00:50:03,000
den här frågan för den här har vi så att
1052 00:50:03,000 --> 00:50:05,320
jag tror att även det
1053 00:50:05,320 --> 00:50:07,720
att informationsutbyte
1054 00:50:07,720 --> 00:50:08,860
även mellan
1055 00:50:08,860 --> 00:50:09,700
deltagarna.
1056 00:50:10,800 --> 00:50:13,220
Två dagar, är det en lagom nivå för att
1057 00:50:13,220 --> 00:50:15,120
lära sig att djupdyka i sina p-caps
1058 00:50:15,120 --> 00:50:17,340
på industriella kontrollsystem, nätverk?
1059 00:50:17,920 --> 00:50:18,800
Alltså jag skulle ju kunna
1060 00:50:18,800 --> 00:50:21,220
ägna mycket tid som helst åt det här men jag tror det
1061 00:50:21,220 --> 00:50:21,980
jag tror inte att
1062 00:50:21,980 --> 00:50:25,040
på en dag, det hinner man inte, det känner jag
1063 00:50:25,100 --> 00:50:27,200
då hinner man skrapa lite
1064 00:50:27,200 --> 00:50:29,440
på ytan, men dag två ska man verkligen dyka på djupet
1065 00:50:29,440 --> 00:50:33,100
men om man inte är lika intresserad av
1066 00:50:33,100 --> 00:50:34,760
p-caps, alltså jag kan ju stå och prata p-cap
1067 00:50:34,760 --> 00:50:36,620
hur länge som helst, men
1068 00:50:36,620 --> 00:50:38,800
jag tror att det är lagom faktiskt
1069 00:50:38,800 --> 00:50:40,680
och många brukar säga efteråt att
1070 00:50:40,680 --> 00:50:43,200
det är ju skitkul för de kanske inte jobbar med det dagligdags
1071 00:50:43,200 --> 00:50:45,260
man tittar, man tittar frik ibland
1072 00:50:45,260 --> 00:50:47,040
och sen går det några veckor så kanske man kollar
1073 00:50:47,040 --> 00:50:48,920
någonting till, men det är väldigt sällan man får sitta
1074 00:50:48,920 --> 00:50:50,980
sammanhängande två dagar och bara
1075 00:50:50,980 --> 00:50:53,080
titta p-cap-data. Man hinner
1076 00:50:53,080 --> 00:50:55,020
komma ganska långt, man hinner lära sig mycket
1077 00:50:55,100 --> 00:50:56,360
och man får känsla för det
1078 00:50:56,360 --> 00:50:58,820
så jag tror att det är värt att
1079 00:50:58,820 --> 00:51:01,220
djupdyka ner i det här hålet i två dagar
1080 00:51:01,220 --> 00:51:03,120
så hinner man få en ordentlig känsla för
1081 00:51:03,120 --> 00:51:04,940
hur det brukar se ut och hur man kan tänka
1082 00:51:04,940 --> 00:51:06,080
och vilka metoder man kan ta
1083 00:51:06,080 --> 00:51:09,160
men jag tror att skulle man öta på så mycket längre
1084 00:51:09,160 --> 00:51:11,280
då undrar jag inte om man blir lite less på det
1085 00:51:11,280 --> 00:51:13,040
faktiskt, det kan jag tänka mig. Men de kommer ändå
1086 00:51:13,040 --> 00:51:14,980
gå därifrån så pass nyfikna så att de
1087 00:51:14,980 --> 00:51:17,120
kommer sätta lite verktyg i sina
1088 00:51:17,120 --> 00:51:18,480
egna p-caps när de kommer hem, tror du?
1089 00:51:18,840 --> 00:51:21,300
Absolut, och det tror jag har motiverat många också att börja spela in
1090 00:51:21,300 --> 00:51:22,680
för att det är
1091 00:51:22,680 --> 00:51:24,600
speciellt de som har egna anläggningar då att
1092 00:51:25,100 --> 00:51:27,480
jag tror att det är flera som
1093 00:51:27,480 --> 00:51:29,240
börjar titta på hur tusan ska vi börja spela in
1094 00:51:29,240 --> 00:51:31,660
och var ska vi spela in, för det är inte så jättelätt att veta heller
1095 00:51:31,660 --> 00:51:33,700
och sen
1096 00:51:33,700 --> 00:51:35,440
går det lätt att man börjar tänka
1097 00:51:35,440 --> 00:51:36,900
okej, men hur ska vi analysera det?
1098 00:51:37,320 --> 00:51:39,680
Men jag säger att det är sekundärt, det viktiga är att få igång inspelningen
1099 00:51:39,680 --> 00:51:40,880
för att
1100 00:51:40,880 --> 00:51:42,780
det finns ju styrskränsprotokoll som
1101 00:51:42,780 --> 00:51:45,460
finns någon parser för idag, de är helt proprietära
1102 00:51:45,460 --> 00:51:47,380
och då tänker man att det är ingen idé att spela in det
1103 00:51:47,380 --> 00:51:48,580
för jag kan ju inte analysera det
1104 00:51:48,580 --> 00:51:50,600
men sen är det ju så att
1105 00:51:50,600 --> 00:51:53,080
sker det en så pass viktig incident
1106 00:51:53,080 --> 00:51:54,820
då kan det faktiskt vara värt att skriva en parser
1107 00:51:54,820 --> 00:51:55,880
det behöver inte vara svårare än så
1108 00:51:55,880 --> 00:51:59,060
har man bara datat så kan man se vad som har hänt
1109 00:51:59,060 --> 00:52:00,500
och se hur de kom in
1110 00:52:00,500 --> 00:52:01,640
och vem som skickade kommandot
1111 00:52:01,640 --> 00:52:03,900
eller var det någon som gick sönder någonstans
1112 00:52:03,900 --> 00:52:06,800
man måste kunna ha, så länge datat finns
1113 00:52:06,800 --> 00:52:08,500
så går det att göra analysen
1114 00:52:08,500 --> 00:52:11,360
så det viktigaste är egentligen bara att få igång en inspelning
1115 00:52:11,360 --> 00:52:12,680
sen kan man börja fundera på
1116 00:52:12,680 --> 00:52:14,140
vad ska vi använda det här till
1117 00:52:14,140 --> 00:52:17,020
man kan ju använda det till att ha en realtids
1118 00:52:17,020 --> 00:52:18,780
lista på
1119 00:52:18,780 --> 00:52:20,680
allting som finns på nätverket
1120 00:52:20,680 --> 00:52:22,960
så kan man skapa en alarm så fort någonting nytt
1121 00:52:22,960 --> 00:52:24,160
dyker upp på nätet
1122 00:52:24,160 --> 00:52:26,520
bara en sån enkel grej kan vara ganska mycket värt
1123 00:52:26,520 --> 00:52:29,320
sen kan man ha någon som bara verifierar
1124 00:52:29,320 --> 00:52:30,920
att jo men det var vi som körde igång
1125 00:52:30,920 --> 00:52:31,400
den här nya
1126 00:52:31,400 --> 00:52:34,220
en ny operativ workstation
1127 00:52:34,220 --> 00:52:36,040
då är det okej
1128 00:52:36,040 --> 00:52:38,880
men väldigt sådana enkla saker
1129 00:52:38,880 --> 00:52:40,860
kan göra jättemycket värde
1130 00:52:40,860 --> 00:52:43,220
så 13 stycken apostlar
1131 00:52:43,220 --> 00:52:45,460
nu som är ute och ska grabba i pickups
1132 00:52:45,460 --> 00:52:47,400
CS3 2018
1133 00:52:47,400 --> 00:52:49,080
har uppfyllt sitt syfte där
1134 00:52:49,080 --> 00:52:51,300
och jag hoppas att det blir uppföljning då
1135 00:52:51,300 --> 00:52:53,220
kanske CS3 2019
1136 00:52:53,220 --> 00:52:54,140
nya kurser
1137 00:52:54,160 --> 00:52:56,720
nya apostlar som ska ut och grabba i pickups
1138 00:52:56,720 --> 00:52:57,220
ja absolut
1139 00:52:57,220 --> 00:52:58,800
jag åker ju iväg till konferenser lite nu och då
1140 00:52:58,800 --> 00:53:01,400
jag brukar köra kurs kanske tre gånger per år
1141 00:53:01,400 --> 00:53:04,060
men det här är det jag tycker är så roligt
1142 00:53:04,060 --> 00:53:06,340
för att det här är ju verkligen
1143 00:53:06,340 --> 00:53:08,660
det är ju
1144 00:53:08,660 --> 00:53:10,500
it-säkerhet möter styrsystem
1145 00:53:10,500 --> 00:53:12,940
och det är ju verkligen två branscher som jag brinner för
1146 00:53:12,940 --> 00:53:13,820
så att det är
1147 00:53:13,820 --> 00:53:16,580
den här konferensen kommer jag försöka vara på
1148 00:53:16,580 --> 00:53:18,540
om jag håller kurs eller inte
1149 00:53:18,540 --> 00:53:20,920
det vet jag inte men jag tycker det är jättekul att hålla kurs
1150 00:53:20,920 --> 00:53:22,460
jag ska väl försöka göra det nästa år igen
1151 00:53:22,460 --> 00:53:24,080
ja jag hoppas vi träffas igen här
1152 00:53:24,160 --> 00:53:26,480
tusen tack för att du tog dig tid att
1153 00:53:26,480 --> 00:53:29,860
dela med dig av din erfarenhet från kursverksamheten här på CS3
1154 00:53:29,860 --> 00:53:32,540
och nu ska vi smitta ner och lyssna på
1155 00:53:32,540 --> 00:53:34,260
Joe Slowit som ska prata om
1156 00:53:34,260 --> 00:53:37,580
indicators, anomalies och behaviors
1157 00:53:37,580 --> 00:53:38,860
ja det får vi inte missa
1158 00:53:38,860 --> 00:53:39,820
det får vi inte missa
1159 00:53:39,820 --> 00:53:40,440
tack så mycket