Még mindig S4x25 - ugyan Sarah Fluchs előadását nem láttam Tampában, de ott jelentette be, hogy az Admerita nevű német cég (ahol Sarah a CTO) egy új, Cyber Decision Diagrams (CDD) nevű, ingyenesen elérhető, webes eszközt tett elérhetővé.

Az eszköz (az Admerita publikációja szerint) nem tárol semmilyen adatot, amit a felhasználók a weboldalon megadnak, az elkészült diagrammokat pedig PDF-formátumban lehet letölteni későbbi felhasználásra.

Az új eszköz 5 lépésen vezeti végig a felhasználót, meg kell határozni egy nagy hatású eseményt (high-consequence event, HCE), ami a legrosszabb forgatókönyvet feltételezi. Következő lépésként meg kell adni azt a valós világban megfogható rendszert, ami a lehet legközelebb van a HCE-hez és ami lehet egy kliens számítógép, egy mezőgép, SCADA vagy DCS rendszer, egy vezérlő vagy más eszköz.

A következő lépésben további kapcsolódó elemeket kell hozzáadni (más rendszerek, szerepkörök, mint üzemeltető, külső szolgáltató, felhasználó, folyamatirányítási mérnök, stb.), majd a negyedik lépésben definiálni kell azokat a támadási vektorokat, amikkel a leghatékonyabban lehet támadni a korábban hozzáadott elemeket annak érdekében, hogy ki lehessen váltani a HCE-t. Az ötödik lépésben meg kell adni azokat a biztonsági követelményeket (az öt legfontosabbat), amikkel meg lehet előzni a HCE-t vagy csökkenteni lehet a hatását.

A CDD hátteréről bővebben lehet olvasni Sarah medium.com-on megjelent tanulmányában.

A végére egy szolgálati közlemény: megjelentek az S4x YouTube csatornáján az első idei videók, amiket a múlt pénteki posztba elkezdtem belinkelni, szóval érdemes lesz néha visszanézni oda is, ha valakit nem csak az általam (hevenyészett jegyzeteimből készített) összefoglalóm érdekelt, hanem megnézne néhány előadást is.