A CIP-002-5.1a-ban határozza meg a NERC az amerikai villamosenergia-rendszer szereplői számára azokat a feltételeket, amelyek alapján azonosítaniuk és kategorizálniuk kell a nagyfeszültségű villamosenergia-rendszer működésében használt informatikai eszközöket. A CIP-002 ehhez három kategóriát azonosít:

- High Impact Rating (H)
- Medium Impact Rating (M)
- Low Impact Rating (L)

Mindegyik kategória esetén számos feltételt fogalmaz meg a CIP-002, amelyek közül az egyik teljesülése is elegendő, hogy az adott kategóriába tartozzon az adott informatikai eszköz, ilyen például az erőművek beépített termelési kapacitásai. A CIP-002 ezen túlmenően több nevesített szolgáltatást is ismertet a nagyfeszültségű villamosenergia-rendszer megbízható üzemeltetésével kapcsolatban:

- Dynamic Response to BES conditions
- Balancing Load and Generation
- Controlling Frequency (Real Power)
- Controlling Voltage (Reactive Power)
- Managing Constraints
- Monitoring & Control
- Restoration of BES
- Situational Awareness
- Inter-Entity Real-Time Coordination and Communication

A CIP-002 ismét megmutatja azt, hogy az ICS kiberbiztonság nem kizárólag egyféle szaktudást igényel. A CIP-002 értelmezése és alkalmazása is jelentős villamosmérnöki tudást igényel és tapasztalatokat az USA villamosenergia-rendszerét illetően, ezért kifejezetten indokoltnak látom, hogy ezt a tevékenységet a villamosmérnökök és ICS biztonsági mérnökök közösen végezzék.

A CIP-002 jelenleg (2022.02.02-án) hatályos változata itt érhető el: https://www.nerc.com/pa/Stand/Reliability%20Standards/CIP-002-5.pdf

William Thomas, a Curated Intelligence nevű cég kutatója (tisztán OSINT módszerek felhasználásával) egy legalább 2019 óta zajló, főként ICS rendszerek gyártói és egyes megújuló energia-szektorban működő cégek elleni célzott támadás-sorozat nyomaira bukkant.

Érdekes módon nem csak a "szokásos" célpontok, például a Honeywell, a Schneider Electric találhatóak a listán, hanem olyan kínai gyártók is, mint például a Huawei vagy a chipgyártó HiSilicon. Mellettük több egyetem (University of Wisconsin, California State University vagy a Utah State University) és amerikai, tajvani és európai környezetvédelmi és megújuló energia-szektorban tevékenykedő cégeket is kompromittálni próbáltak a támadók.

A támadások további részleteiről és egyes támadási nyomokat (Indicator of Compromise, IoC) William Thomas blogposztjában lehet olvasni.

Bejelentés dátuma: 2022.01.20.
Gyártó: ICONICS, Mitsubishi Electric
Érintett rendszer(ek):
- CONICS Suite, beleértve a GENESIS64, Hyper Historian, AnalytiX és MobileHMI termékek 10.97-est megelőző minden verziója;
- Mitsubishi Electric MC Works64 minden 4.04E-nél (10.95.210.01) korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-site Scripting (CVE-2022-23127)/közepes
- Incomplete List of Disallowed Inputs (CVE-2022-23128)/kritikus
- Plaintext Storage of a Password (CVE-2022-23129)/súlyos
- Buffer Over-read (CVE-2022-23130)/közepes
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-020-01

Bejelentés dátuma: 2022.01.18.
Gyártó: Advantech
Érintett rendszer(ek):
- Advantech DeviceOn/iService 1.1.7-es verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Incorrect Default Permissions (CVE-2021-40396 )/súlyos
Javítás: Jelenleg nincs információ
Link a publikációhoz: https://talosintelligence.com/vulnerability_reports/TALOS-2021-1408

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Manapság gyakran lehet hallani, hogy a 2000-es évek végétől (ismét) megváltozott a világ. Nagyjából egyszerre azzal, hogy az Aurora teszttel, majd Stuxnet-tel örökre megváltozott az ICS kiberbiztonság világa, a világűr is újra a tisztán tudományos kíváncsiság helyett a nagyhatalmi vetélkedés színterévé kezdett válni. Ez (ahogyan az már az 1950-es és 1960-as években) egyrészt inkább az adott hatalom felsőbbrendűségének bizonygatásában jelent meg, ugyanakkor ma már a modern információs társadalmakban egyre kevésbé lehet a különböző műholdak biztosította szolgáltatások nélkül elképzelni a mindennapi életet, legyen szó katonai vagy civil tevékenységekről.

Bár a különböző egymással rivalizáló országok mindezidáig nem "vitték ki" a világűrbe a konfliktusaikat, nem lehet megfeledkezni arról, hogy a világűrbe telepített kritikus infrastruktúra sem sebezhetetlen. Nemrég egy nagyon érdekes tanulmányt találtam a Cornell University-n dolgozó kutatók (Rafal Graczyk, Paulo Esteves-Verissimo és Marcus Voelp) tollából, ami ezt a témát vizsgálja.

A tanulmány itt érhető el.

Bejelentés dátuma: 2022.01.11.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- ideoEdge 5.4.1-től 5.7.1-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Handling of Syntactically Invalid Structure (CVE-2021-36199)/közepes
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-011-01

Bejelentés dátuma: 2022.01.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon M340 CPUs: BMXP34* minden verziója;
- Modicon Quantum 140CPU65* CPU-k integrált Ethernet interfésszel (Copro) minden verziója;
- Modicon Premium TSXP57* CPU-k integrált Ethernet interfésszel (Copro) minden verziója;
- BMXNOC0401, BMXNOE01* és BMXNOR0200H Modicon M340 ethernet modulok minden verziója;
- 140NOE77111, 140NOC78*00, TSXETY5103 és TSXETY4103 Modicon Quantum és Premium factory cast kommunikációs modulok minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2022-22724)/súlyos
- Cross-Site Request Forgery (CSRF) (CVE-2020-7534)/közepes
Javítás: Részben elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-01

Bejelentés dátuma: 2022.01.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy T300 V2.7.1 és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy without Checking Size of Input (CVE-2020-8597)/közepes
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-02

Bejelentés dátuma: 2022.01.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy P5 minden, V01.401.101-nél korábbi firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2022-22722)/súlyos
- Buffer Copy without Checking Size of Input (CVE-2022-22723)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-03

Bejelentés dátuma: 2022.01.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Easergy P3 minden, V30.205-nél korábbi firmware-verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Buffer Copy without Checking Size of Input vulnerability (CVE-2022-22725)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-04

Bejelentés dátuma: 2022.01.11.
Gyártók: Belden-Hirschmann és Schneider Electric
Érintett rendszer(ek):
- Hirschmann Tofino Xenon TSA 03.2.02 és korábbi verziói;
- Hirschmann Tofino Argon minden verziója;
- Hirschmann EAGLE EAGLE 20 Tofino minden verziója;
- Schneider Electric ConneXium Tofino Firewall (TCSEFEA23F3F22-es sorozatszámú modellek) minden, v03.23-nál korábbi verziói;
- Schneider Electric ConneXium Tofino OPC-LSM (TCSEFM0000-ás sorozatszámú modellek) minden, v03.23-nál korábbi verziói;
- Schneider Electric ConneXium Tofino Firewall (TCSEFEA23F3F20/21-es sorozatszámú modellek) minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Remote Code Execution (CVE-2021-30061)/közepes
- Authorization bypass (CVE-2021-30062)/közepes
- Denial-of-Service (CVE-2021-30063)/közepes
- Hard-coded Credentials (CVE-2021-30064)/súlyos
- Authorization bypass (CVE-2021-30065)/súlyos
- Signature verification bypass (CVE-2021-30066)/közepes
Javítás: Elérhető
Link a publikációhoz: Belden, Schneider Electric

Bejelentés dátuma: 2022.01.11.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- M241/M251 minden verziója;
- EcoStruxure Machine Expert minden verziója;
- Harmony/Magelis HMISTU, HMIGTO, HMIGTU, HMIGTUX, HMIGK, HMISCU sorozatú rendszerekhez használható Vijeo Designer V6.2 SP11 Hotfix 3 és korábbi verziói;
- Eurotherm E+PLC100 minden verziója;
- Eurotherm E+PLC400 minden verziója;
- Eurotherm E+PLC tools minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Heap-based Buffer Overflow (CVE-2021-33485)/kritikus
- Denial-of-Service (CVE-2021-29241)/súlyos
- Missing validation of packages before installation (CVE-2021-29240)/súlyos
- 3rd party component (Java) vulnerability (CVE-2021-2163 )/közepes
- 3rd party component (MySQL) vulnerability (CVE-2021-2164)/közepes
- CVE-2021-2165/nem ismert
- 3rd party component (MySQL) vulnerability (CVE-2021-2166)/közepes
- 3rd party component (Solaris) vulnerability (CVE-2021-2167)/súlyos
- CVE-2021-2168/nem ismert
- 3rd party component (MySQL) vulnerability (CVE-2021-2169)/közepes
Javítás: A gyártó jelenleg dolgozik a hibák javításán
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-06

Bejelentés dátuma: 2022.01.11.
Gyártó Schneider Electric
Érintett rendszer(ek):
- EcoStruxure Power Monitoring Expert 2020-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2022-22726)/közepes
- Denial of Service (CVE-2019-8963)/súlyos
- Improper Input Validation (CVE-2022-22727)/súlyos
- Cross-site Scripting (CVE-2022-22804)/közepes
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-07

Bejelentés dátuma: 2022.01.13.
Gyártó: Moxa
Érintett rendszer(ek):
- VPort 06EC-2V sorozatú eszközök 1.1-es és korábbi verziói;
- VPort 461A sorozatú eszközök 1.4-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- NULL Pointer Dereference/nem ismert;
- Integer Underflow/nem ismert;
- Out-of-Bounds Read/nem ismert;
- Memory Leak/nem ismert;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/vport-06ec-2v-vport-461a-ip-cameras-video-servers-vulnerabilities

Bejelentés dátuma: 2022.01.13.
Gyártó: Siemens
Érintett rendszer(ek):
- COMOS web minden, v10.4.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Basic XSS (CVE-2021-37195)/súlyos
- Relative Path Traversal (CVE-2021-37196)/közepes
- SQL Injection (CVE-2021-37197)/súlyos
- Cross-site Request Forgery (CVE-2021-37198)/közepes
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.01.13.
Gyártó: Siemens Energy
Érintett rendszer(ek):
- PLUSCONTROL 1st Gen minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Type Confusion (CVE-2021-31344)/közepes
- Improper Validation of Specified Quantity in Input (CVE-2021-31345)/súlyos
- Improper Validation of Specified Quantity in Input (CVE-2021-31346)/súlyos
- Buffer Access with Incorrect Length Value (CVE-2021-31885)/súlyos
- Integer Underflow (CVE-2021-31889)/súlyos
- Improper Handling of Inconsistent Structural Elements (CVE-2021-31890)/súlyos
Javítás: Nincs információ
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.01.13.
Gyártó: Siemens
Érintett rendszer(ek):
- CP050, CP100 és CP300 hardver-változatú SIPROTEC 5 típusú eszközök;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-41769)/közepes
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.01.13.
Gyártó: Siemens
Érintett rendszer(ek): SICAM A8000 típusú RTU-k alábbi változatai
- CP-8000 MASTER MODULE WITH I/O - 25/+70°C (6MF2101-0AB10-0AA0) minden, v16.20-nál korábbi verziója;
- CP-8000 MASTER MODULE WITH I/O - 40/+70°C (6MF2101-1AB10-0AA0) minden, v16.20-nál korábbi verziója;
- CP-8021 MASTER MODULE (6MF2802-1AA00) minden, v16.20-nál korábbi verziója;
- CP-8022 MASTER MODULE WITH GPRS (6MF2802-2AA00) minden, v16.20-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Use of Hard-coded Credentials (CVE-2021-45033)/kritikus
- Improper Access Control (CVE-2021-45034)/súlyos
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.01.13.
Gyártó: Siemens
Érintett rendszer(ek):
- SICAM PQ Analyzer minden, v3.18-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Unquoted Search Path or Element (CVE-2021-45460)
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2022.01.13.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC-F sorozatú eszközök FX3U-ENET Ethernet-Internet blokkjának 1.14-es és korábbi firmware-verziói;
- MELSEC-F sorozatú eszközök FX3U-ENET-L Ethernet-Internet blokkjának 1.14-es és korábbi firmware-verziói;
- MELSEC-F sorozatú eszközök FX3U-ENET-P502 Ethernet-Internet blokkjának 1.14-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Lack of Administrator Control Over Security (CVE-2021-20612)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-013-01

Bejelentés dátuma: 2022.01.13.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSEC-F sorozatú eszközök FX3U-ENET Ethernet-Internet blokkjának 1.16-os és korábbi firmware-verziói;
- MELSEC-F sorozatú eszközök FX3U-ENET-L Ethernet-Internet blokkjának 1.16-os és korábbi firmware-verziói;
- MELSEC-F sorozatú eszközök FX3U-ENET-P502 Ethernet-Internet blokkjának 1.16-os és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Initialization (CVE-2021-20613)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-013-07

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A 2021-es év az ipari szervezeket és kritikus infrastruktúrák elleni ransomware-támadások éve volt. Ezek az incidensek kiválóan rámutattak az egyes nemzeti kritikus infrastruktúrákra leselkedő új fenyegetésekre, amik ellen új védekezési megközelítésekre is szükség lehet.

A Cisco Talos kutatólaborjának nemrég megtalált podcast-jében Joe Marshall és Jon Munshaw a kritikus infrastruktúrák védelmében az állami és privát szervezetek együttműködési lehetőségeit vitatják meg - a podcast az Apple oldalán érhető el.

Bejelentés dátuma: 2021.12.28.
Gyártó: Moxa
Érintett rendszer(ek):
- MGate 5109 sorozatú Protocol Gateway-ek 2.2-es és korábbi firmware-verziói;
- MGate 5101-PBM-MN sorozatú Protocol Gateway-ek 2.1-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Memory Leak/nem ismert
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/mgate-5109-5101-protocol-gateways-vulnerability

Bejelentés dátuma: 2021.12.28.
Gyártó: Moxa
Érintett rendszer(ek):
- TN-5900 sorozatú eszközök 3.1-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Firmware has weak algorithm to protect the integrity of the device/nem ismert;
- Command injection/nem ismert;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/tn-5900-secure-routers-vulnerabilities

Bejelentés dátuma: 2021.12.30.
Gyártó: Moxa
Érintett rendszer(ek):
- AWK-3131A sorozatú eszközök 1.16-os és korábbi firmware-verziói;
- AWK-4131A sorozatú eszközök 1.16-os és korábbi firmware-verziói;
- AWK-1131A sorozatú eszközök 1.22-es és korábbi firmware-verziói;
- AWK-1137C sorozatú eszközök 1.6-os és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection for Authentication (CVE-2021-37752)/nem ismert;
- Authentication Bypass (CVE-2021-37753)/nem ismert
- Unencrypted Credentials (CVE-2021-37755)/nem ismert
- Improper Restriction That Causes Buffer Overflow (CVE-2021-37757)/nem ismert;
- Reveals Sensitive Information to an Unauthorized Actor (CVE-2021-37751)/nem ismert;
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-37754)/nem ismert;
- Cross-site scripting (CVE-2021-37756)/nem ismert;
- Improper Verification of Firmware (CVE-2021-37758)/nem ismert;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/awk-3131a-4131a-1131a-1137c-wireless-ap-bridge-client-vulnerabilities

Bejelentés dátuma: 2021.12.30.
Gyártó: Moxa
Érintett rendszer(ek):
- TAP-213 sorozatú eszközök 1.2-es és korábbi firmware-verziói;
- TAP-323 sorozatú eszközök 1.3-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection for Authentication (CVE-2021-37752)/nem ismert;
- Authentication Bypass (CVE-2021-37753)/nem ismert;
- Unencrypted Credentials (CVE-2021-37755)/nem ismert;
- Improper Restriction That Causes Buffer Overflow (CVE-2021-37757)/nem ismert;
- Reveals Sensitive Information to an Unauthorized Actor (CVE-2021-37751)/nem ismert;
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-37754)/nem ismert;
- Cross-site scripting (CVE-2021-37756)/nem ismert;
- Improper Verification of Firmware (CVE-2021-37758)/nem ismert;
- Improper Restriction That Causes Buffer Overflow (CVE-2021-37757)/nem ismert;
- Reveals Sensitive Information to an Unauthorized Actor (CVE-2021-37751)/nem ismert;
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-37754)/nem ismert;
- Improper Verification of Firmware (CVE-2021-37758)/nem ismert;
Javítás: Részben elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/tap-213-tap-323-series-wireless-ap-bridge-client-vulnerabilities

Bejelentés dátuma: 2021.12.30.
Gyártó: Moxa
Érintett rendszer(ek):
- OnCell G3150A sorozatú eszközök 1.5-ös és korábbi firmware-veziói;
- OnCell G3470A sorozatú eszközök 1.7-es és korábbi firmware-veziói;
- WDR-3124A sorozatú eszközök 1.3-as és korábbi firmware-veziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command Injection for Authentication (CVE-2021-37752)/nem ismert;
- Authentication Bypass (CVE-2021-37753)/nem ismert;
- Unencrypted Credentials (CVE-2021-37755)/nem ismert;
- Improper Restriction That Causes Buffer Overflow (CVE-2021-37757)/nem ismert;
- Reveals Sensitive Information to an Unauthorized Actor (CVE-2021-37751)/nem ismert;
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-37754)/nem ismert;
- Improper Verification of Firmware (CVE-2021-37758)/nem ismert;
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/oncell-g3150a-g3470-wdr-3124a-cellular-gateways-router-vulnerabilities

Bejelentés dátuma: 2022.01.06.
Gyártó: Moxa
Érintett rendszer(ek):
- EDR-G903 sorozatú eszközök 5.6-os és korábbi firmware-verziói;
- EDR-G902 sorozatú eszközök 5.6-os és korábbi firmware-verziói;
- EDR-810 sorozatú eszközök 5.8-as és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Memory Leak/nem ismert
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/edr-g903-g902-810-secure-routers-vulnerability

Bejelentés dátuma: 2022.01.06.
Gyártó: IDEC
Érintett rendszer(ek):
- FC6A MICROSmart All-in-One CPU Modulok v2.32-es és korábbi verziói;
- FC6B MICROSmart All-in-One CPU Modulok v2.31-es és korábbi verziói;
- FC6A MICROSmart Plus CPU Modulok v1.91-es és korábbi verziói;
- FC6B MICROSmart Plus CPU Modulok v2.31-es és korábbi verziói;
- FT1A Controller SmartAXIS Pro/Lite v2.31-es és korábbi verziói;
- WindLDR v8.19.1-es és korábbi verziói;
- WindEDIT Lite v1.3.1-es és korábbi verziói;
- Data File Manager v2.12.1-es és korábbi verziói;
- FC6A MICROSmart All-in-One CPU Modulok v2.32-es és korábbi verziói;
- FC6A MICROSmart Plus CPU Modulok v1.91-es és korábbi verziói;
- WindLDR v8.19.1-es és korábbi verziói;
- WindEDIT Lite v1.3.1-es és korábbi verziói;
- Data File Manager v2.12.1-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Unprotected Transport of Credentials (CVE-2021-37400)/súlyos
- Plaintext Storage of a Password (CVE-2021-37401)/súlyos
- Unprotected Transport of Credentials (CVE-2021-20826)/súlyos
- Plaintext Storage of a Password (CVE-2021-20827)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-006-03

Bejelentés dátuma: 2022.01.06.
Gyártó: Omron
Érintett rendszer(ek):
- CX-One 4.60-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2022-21137)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-22-006-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Épp csak egy hete indítottam végre útjára az ICS biztonsági szabványokat áttekintő sorozatomat, csütörtökön pedig a blogon már több posztájaval is vendégeskedő GéPé kolléga írása jelent meg a SeConSys blogján a 62443 aktualitásairól.

Én is tervezem, hogy erről (az egyre fontosabbá váló) szabványról is írjak majd egy sorozatot, de előtte mindenképp szeretném befejezni az éppen csak elkezdett NERC CIP bemutatását. Addig is, olvasható a mostani írás.

Az ICS biztonsági területen elérhető szabványok feldolgozása régóta szerepelt a terveim között, de valahogy soha nem jutottam odáig, hogy legyen elég időm megírni ezt a sorozatot. Most hozzákezdek és remélem, hogy nem csak időt fogok találni a sorozat legalább elfogadható színvonalú feldolgozásához, de a kitartásom is meg fog maradni. A sorozatban először a NERC CIP-t fogom feldolgozni.

A NERC CIP egy szabványcsomag, amit a North American Electric Reliability Corporation (innen a NERC) állított össze a kritikus infrastruktúrák védelme (Critical Infrastructure Protection, CIP) céljából. Ugyan a kritikus infrastruktúrák gyűjtőfogalom sokkal tágabb lehet, mint a villamosenergia-rendszer (bár vannak források, pl. ilyen a SeConSys által készített, Villamosenergetikai ipari felügyeleti rendszerek kiberbiztonsági kézikönyve című kiadvány is, amik a villamosenergia-rendszereket a legkritikusabb kritikus infrastruktúrának nevezik), a NERC CIP kifejezetten a villamosenergia-rendszerek kiberbiztonságával foglalkozik.

A NERC CIP-nek jelenleg 12 hatályos és egy, valamikor a jövőben hatályossá váló fejezete van, amik az alábbi témaköröket fedik le:

CIP-002-5.1a - Kiberbiztonság - A nagyfeszültségű villamosenergia-rendszer (Bulk Electricity System, BES) számítógépes rendszereinek kategorizálása
CIP-003-8 - Kiberbiztonság - Biztonsági menedzsment kontrollok
CIP-004-6 - Kiberbiztonság - Személyzet és képzés
CIP-005-6 - Kiberbiztonság - Elektronikus határvédelem
CIP-006-6 - Kiberbiztonság - A nagyfeszültségű villamosenergia-rendszer számítógépes rendszereinek fizikai biztonsága
CIP-007-6 - Kiberbiztonság - Rendszerek biztonságának menedzsmentje
CIP-008-6 - Kiberbiztonság - Incidensek jelentési rendje és incidenskezelés
CIP-009-6 - Kiberbiztonság - Helyreállítási tervek a nagyfeszültségű villamosenergia-rendszer (Bulk Electricity System, BES) számítógépes rendszereire vonatkozóan
CIP-010-3 - Kiberbiztonság - Konfigurációs változáskezelés és sérülékenység-elemzés
CIP-011-2 - Kiberbiztonság - Információvédelem
CIP-013-1 - Kiberbiztonság - A beszállítói lánc kockázatkezelése
CIP-014-2 - Fizikai biztonság

A jövőben hatályba lépő fejezet:

CIP-012-1 - Kiberbiztonság - Kommunikáció vezérlőközpontok között

A terv jelenleg az, hogy a következő hónapok során egy-egy fejezetet fogok (valamilyen részletességgel) ennek a sorozatnak a posztjaiban bemutatni, utána pedig más szabványok is következhetnek majd.

Bejelentés dátuma: 2021.12.20.
Gyártó: Siemens
Érintett rendszer(ek):
- TraceAlertServerPLUS minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44228)/kritikus
- Improper Input Validation (CVE-2021-45046)/kritikus
Javítás: Nincs információ
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-397453.pdf

Bejelentés dátuma: 2021.12.21.
Gyártó: Siemens
Érintett rendszer(ek):
- Sensformer / Sensgear Platform (6BK1602-0AA12-0TP0): All versions < V2.7.0
- Sensformer / Sensgear Platform (6BK1602-0AA22-0TP0): All versions < V2.7.0
- Sensformer / Sensgear Platform (6BK1602-0AA32-0TP0): All versions < V2.7.0
- Sensformer / Sensgear Platform (6BK1602-0AA42-0TP0): All versions < V2.7.0
- Sensformer / Sensgear Platform (6BK1602-0AA52-0TP0): All versions < V2.7.0
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44228)/kritikus
- Improper Input Validation (CVE-2021-45046)/kritikus
- Uncontrolled Recursion (CVE-2021-45105/kritikus
Javítás: Elérhető
Link a publikációhoz: https://cert-portal.siemens.com/productcert/pdf/ssa-479842.pdf

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- IGSS Data Collector (dc.exe) V15.0.0.21320 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function/közepes
- Buffer Copy without Checking Size of Input/közepes
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-01

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EVlink City EVC1S22P4/EVC1S7P4 minden, R8 V3.4.0.2-nál korábbi verziója;
- EVlink Parking EVW2/EVF2/EVP2PE minden, R8 V3.4.0.2-nál korábbi verziója;
- EVlink Smart Wallbox EVB1A minden, R8 V3.4.0.2-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cross-Site Request Forgery (CVE-2021-22724)/súlyos
- Cross-Site Request Forgery (CVE-2021-22725)/súlyos
- Improper Restriction of Excessive Authentication Attempts (CVE-2021-22818)/súlyos
- Improper Restriction of Rendered UI Layers or Frames (CVE-2021-22819)/közepes
- Insufficient Session Expiration (CVE-2021-22820)/súlyos
- Server-Side Request Forgery (CVE-2021-22821)/kritikus
- Cross-Site Scripting (CVE-2021-22822)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- EcoStruxure™ Power Monitoring Expert 9.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-22826)/közepes
- Improper Input Validation (CVE-2021-22827)/közepes
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-03

Bejelentés dátuma: 2021.12.14.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- AP7xxxx és AP8xxx típusú APC-k NMC2 moduljainak V6.9.6 és korábbi verziói;
- AP7xxx és AP8xxx típusú APC-k NMC3 moduljainak V1.1.0.3 és korábbi verziói;
- APDU9xxx típusú APC-k NMC3 moduljainak V1.0.0.28 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2021-22825)/közepes
Javítás: Elérhető
Link a publikációhoz: https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-04

Bejelentés dátuma: 2021.12.23.
Gyártó: Moxa
Érintett rendszer(ek):
- MGate MB3180-as sorozatú eszközök 2.2-es és korábbi firmware-verziói;
- MGate MB3280-as sorozatú eszközök 4.1-es és korábbi firmware-verziói;
- MGate MB3480-as sorozatú eszközök 3.2-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Cleartext Transmission of Sensitive Information (CVE-2021-4161)/kritikus
Javítás: Nincs elérhető információ, a gyártó kockázatcsökkentő intézkedés alkalmazását javasolja
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-357-01

Bejelentés dátuma: 2021.12.23.
Gyártó: Exacq Technologies (Johnson Controls leányvállalat)
Érintett rendszer(ek):
- xacq Enterprise Manager 21.12-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44228)/kritikus
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-357-02

Bejelentés dátuma: 2021.12.23.
Gyártó:
Érintett rendszer(ek):
- A vD25-ös és korábbi verziójú infúziós pumpák Agilia Connect WiFi moduljai;
- Agilia Link+ v3.0 D15 és korábbi verziói;
- Vigilant Software Suite v1.0: Vigilant Centerium, Vigilant MasterMed és Vigilant Insight
- Agilia Partner karbantartó szoftver v3.3.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Uncontrolled Resource Consumption (CVE-2021-23236)/súlyos
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2021-31562)/közepes
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2021-41835)/súlyos
- Insufficiently Protected Credentials (CVE-2021-23196)/súlyos
- Improper Access Control (CVE-2021-23233)/súlyos
- Plaintext Storage of a Password (CVE-2021-23207)/közepes
- Files or Directories Accessible to External Parties (CVE-2021-33843)/közepes
- Exposure of Information Through Directory Listing (CVE-2021-23195)/közepes
- Cross-site Scripting (CVE-2021-33848)/közepes
- Use of Hard-coded Credentials (CVE-2021-44464)/közepes
- Use of a Broken or Risky Cryptographic Algorithm (CVE-2021-33846)/közepes
- Use of Client-side Authentication (CVE-2021-43355)/súlyos
- Use of Unmaintained Third-party Components (CVE-2020-35340)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsma-21-355-01

Bejelentés dátuma: 2021.12.21.
Gyártó: mySCADA
Érintett rendszer(ek):
- myPRO 8.20.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2021-43985)/kritikus
- Use of Password Hash with Insufficient Computational Effort (CVE-2021-43989)/súlyos
- Hidden Functionality (CVE-2021-43987)/kritikus
- OS Command Injection (CVE-2021-44453)/kritikus
- OS Command Injection (CVE-2021-22657)/kritikus
- OS Command Injection (CVE-2021-2319)/kritikus
- OS Command Injection (CVE-2021-43981)/kritikus
- OS Command Injection (CVE-2021-43984)/kritikus
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-01

Bejelentés dátuma: 2021.12.21.
Gyártó: Emerson
Érintett rendszer(ek):
- DeltaV Distributed Control System vezérlők és munkaállomások minden verziója;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Missing Authentication for Critical Function (CVE-2021-26264)/közepes
- Uncontrolled Search Path Element (CVE-2021-44463)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-04

Bejelentés dátuma: 2021.12.21.
Gyártó: WECON
Érintett rendszer(ek):
- LeviStudioU 2019-09-21-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2021-23138)/súlyos
- Heap-based Buffer Overflow (CVE-2021-23157)/súlyos
Javítás: Nincs információ
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-03

Bejelentés dátuma: 2021.12.21.
Gyártó: Horner Automation
Érintett rendszer(ek):
- Cscape EnvisionRV v4.50.3.1-es és korábbi verziók;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Improper Input Validation (CVE-2021-44462)/súlyos
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/uscert/ics/advisories/icsa-21-355-02

Bejelentés dátuma: 2021.12.14.
Gyártó: Moxa
Érintett rendszer(ek):
- NPort W2150A/W2250A sorozatú berendezések 1.11-es és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3 szerinti besorolása:
- Command injection
Javítás: Elérhető
Link a publikációhoz: https://www.moxa.com/en/support/product-support/security-advisory/nport-w2150a-w2250a-serial-device-servers-vulnerability

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.