”Nästan alla angrepp vi har sett det senaste året har börjat med åtkomst till ett IT-nätverk som sedan användes i OT-miljön.”
David Atch Microsoft Threat Intelligence, Head of IoT/OT Security Research
Expertprofil: David Atch
David Atchs säkerhetskarriär och väg till Microsoft skiljer sig från de flestas. ”Jag började i Israels försvarsmakt (IDF) i en cybersäkerhetsroll som omfattade försvar mot angrepp och jakt på hot. Arbetet bestod till stor del av svar på incidenter, forensisk bevisning och interagerande med industriella kontrollsystem.”
Under sin tiden inom IDF träffade Atch två kollegor som sedan grundade säkerhetsföretaget CyberX för industriell IoT och OT. När tjänsten inom IDF var slut rekryterades han till CyberX. ”Jag brukar skämta om att jag aldrig har varit på en jobbintervju. Inom militären gör man inga intervjuer, man blir bara rekryterad. Jag blev rekryterad V CyberX och sedan köptes företaget av Microsoft så jag kallades aldrig till någon formell anställningsintervju. Jag har inte ens ett cv.”
”Nästan alla angrepp vi har sett det senaste året har börjat med åtkomst till ett IT-nätverk som sedan användes i OT-miljön. Säkerheten för viktig infrastruktur är en global utmaning och svår att tackla. Vi måste tänka nytt inom verktyg och forskning för att lära oss mer om den här typen av attacker.
Atchs arbete på Microsoft handlar framförallt om frågor kopplade till IoT- och OT-säkerhet. Här ingår undersökning av protokoll, analys av skadlig kod, sökning efter sårbarheter, jakt på hot från statsaktörer, profilering av enheter för att förstå hur de fungerar i ett nätverk och utveckling av system som tillför Microsofts produkter kunskap om IoT.
”Vi lever i en uppkopplad värld, det finns en förväntan på att allt ska vara uppkopplat för att ge en realtidsupplevelse där IT-programvara ansluter till en nätverk som gör det möjligt för OT-data att flöda ut mot molnet. Jag tror att det är så Microsoft ser på framtiden, där allting är anslutet till molnet. Det här öppnar nya möjligheter för dataanalys, automatisering och effektivitet för företag. Utvecklingen mot uppkopplade enheter går med rasade fart och i kombination med bristen på inventering och insyn från organisationers sida, tippar det ofta över till angriparnas fördel”, förklarar Atch.
Med det sagt är nolltillit och insyn i enheter det bästa sättet att bekämpa angrepp mot IT och OT. Det allra viktigaste är att förstå vad som finns i nätverket och vad det är anslutet till. Är enheten exponerad mot Internet? Kommunicerar den med molnet, eller kan någon få åtkomst till den? I så fall, har du medel att upptäcka en angripares intrång? Hur hanterar du anställdas eller entreprenörers åtkomst för att upptäcka avvikelser?
Eftersom hantering av korrigeringar kan vara omöjligt i vissa organisationer – eller otroligt tidskrävande – och vissa programvaror inte stöds i operatörens miljö, måste du använda andra sätt för att minimera sårbarheter. Det är till exempel inte så lätt för en tillverkare att stänga ner en fabrik för att testa och korrigera något.
Jag måste tillägga att jag inte gör det här jobbet på egen hand. Tack vare ett kompetent team av forskare, hotjägare och försvarare lär jag mig något nytt varje dag.”