Scenario 8 - Nettverkssegmenteringsfeil

I brannmuren mellom IT og OT-nettverkene hos en kraftprodusent er det en feilkonfigurasjon som tillater uhindret trafikk for enkelte protokoller, inkludert RPC og SMB. En angriper har fått fotfeste i IT-nettet og beveger seg lateral over til OT ved hjelp av PsExec og får et cmd.exe-shell på en SCADA-server. Dette oppdages når angriperen kjører flere rekognoseringskommandoer fra SCADA-serveren, og dette trigger en antivirus-alert som sendes på e-post til IT Helpdesk. Helpdesk varsler varsler driftskontroll 3 timer etter ticket ble laget.