Temaveileder: Øvelsesscenario for digitale hendelser i kraftforsyningen

Del denne sidenDel på e-post

Fullskalaøvelse

Det kan også lages en mer omfattende øvelse, ved å sette sammen flere av scenariene til en større øvelse. En større øvelse kan egne seg å gjennomføre også med reell infrastruktur.
  • Simulering av deler av infrastrukturen, for eksempel med bruk av en virtuell maskin (VM) som en server det skal utføres analyse av.
  • En mer komplett simulering av infrastrukturen med nettverk, OT-komponenter o.l, enten i et virtuelt miljø eller et fysisk labmiljø. Simulatorer kan brukes til å simulere respons fra fysiske systemer.
  • Øving på reell infrastruktur med tydelige rammer for tillatte handlinger.

Øvelsen kan utvides med at det genereres logiske bevis gjennom simulerte angrep, som deretter skal granskes og håndteres. Det er også mulig å sette opp en “cyber range”-øvelse med “live fire”-elementer, hvor et lag utfører angrep, og forsvarere skal i sanntid håndtere hendelsen. Dette blir den mest realistiske øvingen, men krever også betydelige ressurser for gjennomføring. Slike store øvelser egner seg godt for samarbeid mellom flere virksomheter.

Medvirkende i øvelsen

  • Øvingsstab
  • Rødt lag: I øvelsen vil disse være angriperne som gjennomfører handlingene dere skal øve på å unngå / rydde opp i. 
  • Beredskapsledelse: Beredskapsledelsen må være med, og består typisk av de rollene som er beskrevet i spill- og diskusjonsscenariene. 
  • Blått lag: Det blå laget er alle andre som skal øve på å respondere på en hendelse, som i spill- og diskusjonsøvelsene blir representert gjennom øvingsstaben. Det er de som skal gjennomføre teknisk respons i øvelsen. 

Overordnet scenario-eksempel

  • Spearphising mot en ansatt har ført til et kontoinnbrudd i Office365.
  • VPN-løsning i IT-nett, bruker samme brukerdatabase, men ikke 2FA.
  • Trusselaktøren bruker VPN-løsning, og åpner en RDP-kobling til Hans Petrus
    arbeidsstasjon i IT-nettet.
  • Det er en feilkonfigurasjon i interne brannmurer som tillater all SSH-trafikk fra IT-nett
    til OT-nett
  • Trusselaktøren kjører nmap og finner port 22 på en adresse i OT-nett.
  • På ingeniørens arbeidsstasjon ligger det ssh-nøkler uten passhphrase, trusselaktøren bruker disse for å koble til maskinen i OT-nettet.
  • Trusselaktøren laster ned ny firmware til ingeniørens arbeidsstasjon. Trusselaktøren kopierer fra ingeniørens arbeidsstasjon til linux-server i OT-nett med
    scp/rsync.
  • Trusselaktøren flasher ny firmware til embedded-system fra linux-boks i OT-nett.
  • Det blir mørkt.
{ "value": { "focalPoint": { "left": 0.5, "top": 0.5 }, "id": 6164, "udi": "umb://media/24067ede8ec74863a58965a818790696", "image": "/media/1b5amjgh/skjermbilde-2025-02-04-194556.png" }, "editor": { "name": "Image", "alias": "media", "view": "media", "render": null, "icon": "icon-picture", "config": {} }, "styles": null, "config": null }

I Figur 4 er det et eksempel på en fysisk arkitektur som kan brukes for å simulere et miljø som ligner på Figur 3. Dette kan gjøres med VM-er, kontainere, eller fysiske maskiner. Nettverksarkitekturen i Figur 3. er en enkel variant av det som finnes i mange virksomheter, men det beste vil alltid være å sette opp et miljø med en arkitektur som ligner på den reelle arkitekturen i din virksomhet.

Det bør lages en ny konto i AD/Entra for ingeniøren som blir spearphishet, som tydelig er del av øvelsen. Eventuelt kan det settes opp et nytt minimalt miljø for AD/Entra ID også. I så fall
kan det settes opp flere brukere, uten at det er tydelig hvilken som er kompromittert.

Ved gjennomføring av en “live fire”-øvelse bør det være mulig å bruke eksisterende planverk og playbooks for håndtering av hendelsene. Det er hensiktsmessig å bruke tilsvarende teknologier for sikring som man har i sine reelle nettverk, for eksempel EDR-løsninger, SIEM, SOAR-verktøy og andre operasjonelle løsninger.

For beslutningslaget vil det her også være hensiktsmessig å bruke de systemene man vanligvis gjør under hendelseshåndtering, for eksempel programvare til støtte i krisehåndtering.