«Nesten alle angrep vi har sett det siste året, begynte med tilgang til et IT-nettverk som ble benyttet av OT-nettverket.»
David Atch Microsoft trusselinformasjon, sjef for IoT/OT-sikkerhetsforskning
Ekspertprofil: David Atch
Sikkerhetskarrieren til David Atch og veien til Microsoft er ganske uvanlig. «Jeg begynte i det israelske forsvaret i en cybersikkerhetsrolle med å forsvare mot angrep og jakte på trusler. Jeg drev mye med svar på hendelser, tekniske bevis og samhandling med industrielle kontrollsystemer.»
Mens Atch tjente i det israelske forsvaret, møtte han to kolleger som senere skulle grunnlegge sikkerhetsfirmaet for industriell IoT og OT, CyberX. Han fikk senere jobb i CyberX da han var ferdig i det israelske forsvaret. «Jeg spøker at jeg aldri har vært på jobbintervju. Militæret intervjuer deg ikke, de bare rekrutterer deg. CyberX rekrutterte meg, og deretter kjøpte Microsoft selskapet, så jeg har aldri hatt et formelt jobbintervju. Jeg har ingen CV engang.»
«Nesten alle angrep vi har sett det siste året, begynte med tilgang til et IT-nettverk som ble benyttet av OT-nettverket. Sikkerheten til kritisk infrastruktur er en global utfordring som er vanskelig å løse. Vi må tenke nytt når vi utvikler verktøy og forsker på disse typene angrep.
I Microsoft jobber Atch med saker som har med IoT- og OT-sikkerhet å gjøre. Det omfatter å studere protokoller, analysere skadelig programvare, forske på sårbarheter, jakte på trusler fra nasjonalstater, profilere enheter for å forstå hvordan de virker i et nettverk, og utvikle systemer som beriker Microsofts produkter med kunnskap om IoT.
«Vi lever i en tilkoblet tid. Det er en forventning om at alt skal være tilkoblet for å gi opplevelser i sanntid, med IT-programvare som kobles til et nettverk som gjør at OT-data kan overføres til skyen. Jeg tror det er der Microsoft ser fremtiden, hvor alt er skytilkoblet. Dette gir en mer verdifull dataanalyse, automatisering og effektivitet som virksomheter tidligere ikke kunne oppnådd. Den overveldende farten i utviklingen av tilkoblingen til disse enhetene og organisasjoners ufullstendige innholdslister og synlighet i dem, skaper ofte fordeler for angriperne,» forklarer Atch.
Når det er sagt, er nulltillit og enhetssynlighet den beste tilnærmingen til å bekjempe angrep mot IT og OT. Det er avgjørende at du vet hva du har i nettverket, og hva det er koblet til. Kan enheten kobles til Internett? Kommuniserer den med skyen, eller kan noen få tilgang utenfra? I så fall, har du ressursene til å oppdage om en angriper får tilgang? Hvordan administrerer du ansattes eller leverandørers tilgang for å oppdage avvik?
Siden administrasjon av sikkerhetsoppdateringer kan være umulig i enkelte organisasjoner, eller utrolig tidkrevende, og en del programvare i operatørfellesskapet ikke støttes, må du redusere sårbarhetene på andre måter. En produsent kan for eksempel ikke bare stenge ned en fabrikk for å teste og sikkerhetsoppdatere noe.
Jeg må legge til at jeg ikke gjør dette arbeidet alene. Det talentfulle teamet med forskere, trusseljegere og forsvarere gjør det mulig for meg å fortsette å lære hver dag.»