Siemens SIMATIC HMI-ok sérülékenysége

A ZDI és DHS CISA egy sérülékenységről közölt információkat a Siemens-szel, ami a gyártó alábbi termékeit érinti:

- SIMATIC HMI Comfort panelek (ide értve a SIPLUS variánsokat is) minden, V16 Update 3a-nál korábbi változata;
- SIMATIC HMI KTP Mobile panelek (ide értve a SIPLUS variánsokat is) minden, V16 Update 3a-nál korábbi változata.

A gyártó a hibát az érintett termékek V16 Update 3a és újabb verzióiban javította. A sérülékenységgel kapcsolatban további információkat a Siemens ProductCERT publikációja tartalmaz.

Sérülékenységek Fuji Electric rendszerekben

Kimiya, Tran Van Khang, a VinCSS munkatársa és egy névtelenségbe burkolózó biztonsági kutató 5 sérülékenységet fedeztek fel a Fuji Electric alábbi rendszereiben:

- Tellus Lite V-Simulator v4.0.10.0-nál korábbi verziói;
- V-Server Lite v4.0.10.0-nál korábbi verziói.

A gyártó a hibákat a v4.0.10.0 verzióban javította. A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-026-01

Rockwell Automation FactoryTalk rendszerek sérülékenységei

A Tenable kutató 3 sérülékenységet találtak a Rockwell Automation alábbi megoldásaiban:

- FactoryTalk Linx szoftver 6.20 és korábbi verziói;
- FactoryTalkServices Platform 6.20 és korábbi verziói.

A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységek részleteit az ICS-CERT weboldalán lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-028-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Már több, mint egy hónapja, hogy a SolarWinds incidens valódi súlyával tisztában vagyunk. Sajnos ennyi idő a jelek szerint nem volt elég ahhoz, hogy a hazai kritikus infrastruktúra cégei és az illetékes állami szervek koordinált intézkedésekről kezdjenek egyeztetni, amik lehetőséget adnának a jövőbeli, hasonló jellegű és méretű fenyegetést jelentő, részben a beszállítói lánc, részben pedig a hálózatmenedzsment és monitoring megoldások elleni támadások esetére a védekezéshez.

Első lépésként minden szervezetnek, de szerintem különösképpen a kritikus infrastruktúrákhoz tartozó szervezeteknek és (természetesen) az államigazgatásban érintett szervezetek esetén el kéne végezni a beszállítók jelentette kockázatok elemzését. Ehhez meglehetősen jó iránymutatást ad az NIST Cyber Supply Chain Risk Management című publikációja. Emellett egyes vélemények szerint három területen lehet viszonylag gyorsan érezhető hatású intézkedésekkel csökkenteni a hasonló támadások kockázatait:

1. A szoftver-beszállítói lánc irányítása - A legtöbb szervezetnek nincs megfelelő rálátása arra, hogy a neki egyedi szoftvereket fejlesztő vagy dobozos szoftver-termékeket értékesítő/üzembe helyező vállalatok pontosan mit is adnak át nekik, de még ha a képességnek birtokában is vannak (1000 ügyfélből talán egy ilyen, ha lehet), a fejlesztők és integrátorok általában nem érdekeltek abban, hogy az ügyfeleknek minél transzparensebbé tegyék a saját folyamataikat. Pedig szükség lenne ahhoz, hogy a beszállítói lánc elleni támadásokat meg lehessen előzni vagy legalább csökkenteni lehessen a hatásaikat. Erre két esély kínálkozhat, egyrészt az ügyfélnek célszerű minden olyan befolyásolási eszközt megragadni a tárgyalások során, amivel rá tudja venni a szállítót az általa fontosnak tartott átláthatósági követelmények betartására, másrészt pedig az iparági jó gyakorlatok és (szerintem különösképpen a kritikus infrastruktúrák közé sorolt hazai szervezetek esetén) a 41/2015. BM rendeletben is előírt követelmény (a fejlesztési folyamat teljes körű és átlátható dokumentálása) alapján lehet megteremteni ezt a fajta transzparenciát.

2. Viselkedés-elemzésen alapuló fenyegetés-detektálás

Ha jól belegondolunk abban, hogy a támadók általában nem mozognak otthonosan a megtámadott rendszerekben, megérthetjük, miért lehet jó eszköz a viselkedés-elemzés a különböző támadások észlelésében. Egyes hírek szerint a SolarWinds-incidens első felfedezéséhez (a FireEye nyomozását kiváltó eseményhez) egy szokatlan távoli felhasználói bejelentkezés vezetett, ami egy ismeretlen eszközről és gyanús IP címről történt.

3. Adatletöltés megelőzése és észlelése

Ha minden más biztonsági intézkedésünk elbukott, képesnek kell lennünk gyorsan azonosítani, amikor a szervezet értékes adatait éppen jogosulatlanul akarják a cég rendszerein kívülre juttatni. Ebben a témában (szigorúan műszaki szempontból) sok szervezet jól teljesít (a SolarWinds incidens kapcsán számos cégnél találtak olyan logokat, amik az adatok lopására utaló jeleket tartalmaztak), éppen csak a riasztások kezelése volt csapnivaló (gyakorlatilag nem foglalkoztak ezekkel). Ebből is látszik annak a régi, IT biztonsági műveleti körökben ismert megállapításnak az igazsága, ami szerint a különböző gyártók különböző csoda-megoldásai önmagukban nem fogják megvédeni a szervezeteket a biztonsági eseményektől és incidensektől, a jó megoldások mellé nagyon jó és tapasztalt biztonsági elemzőkre és jól megtervezett, jól begyakorolt és rendszeresen tesztelt (valamint szükség esetén finomhangolt) eljárásokra is legalább ugyanekkora (vagy inkább még nagyobb) szükség van.

Azt egyelőre még nem lehet tudni, hogy a SolarWinds incidens lesz-e ugyanolyan mérföldkő a supply-chain támadások terén, mint amilyen a Stuxnet az ICS kiberbiztonság témájában, de én személy szerint arra számítok, hogy a közeli jövőben látni fogunk még nagyszabású, a beszállító láncot is érintő kiberbiztonsági incidenseket.

Dnsmasq sérülékenységek

Moshe Kol és Shlomi Oberman, a JSOF munkatársai 7 sérülékenységet találtak a Simon Kelley által fejlesztett Dnsmasq DNS és DHCP szervereinek 2.8.2-es és korábbi verzióiban.

A Dnsmasq fejlesztői a 2.83-as vagy újabb verzióra történő frissítést és kockázatcsökkentő intézkedések alkalmazását javasolják. A sérülékenységekről bővebb információkat az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-019-01

Dnsmasq sérülékenységek Siemens SCALANCE és RUGGEDCOM eszközökben

A Siemens bejelentése szerint a JSOF munkatársai által felfedezett Dnsmasq sérülékenységek közül három érinti az alábbi Siemens termékeket is:

- RUGGEDCOM RM1224 minden verziója;
- SCALANCE M-800 minden verziója;
- SCALANCE S615 minden verziója;
- SCALANCE SC-600 minden verziója;
- SCALANCE W1750D minden verziója;

A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenységek részleteit a Siemens ProductCERT bejelentésében lehet megtalálni.

Reolink eszközök sérülékenységei

A Nozomi Networks két sérülékenységet talált a Reolink alábbi, P2P kommunikációt használó kameráiban:

- RLC-4XX sorozatú eszközök;
- RLC-5XX sorozatú eszközök;
- RLN-X10 sorozatú eszközök.

A gyártó jelenleg is egyeztet a DHS CISA-val a sérülékenységekkel kapcsolatos intézkedésekről. A sérülékenységekkel kapcsolatos bővebb információkat az ICS-CERT weboldalán lehet elolvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-019-02

Sérülékenység Philips orvostechnikai rendszerekben

A Philips egy sérülékenységről közölt információkat a DHS CISA-val, ami az alábbi termékeiket érinti:

- Interventional Workspot (1.3.2, 1.4.0, 1.4.1, 1.4.3 és 1.4.5-ös kiadások);
- Coronary Tools/Dynamic Coronary Roadmap/Stentboost Live (1.0 kiadás);
- ViewForum (6.3V1L10 kiadás).

A hibát javító patch-et a Philips már elérhetővé tette. A sérülékenység részleteivel kapcsolatban az ICS-CERT publikációját érdemes megnézni: https://us-cert.cisa.gov/ics/advisories/icsma-21-019-01

Sérülékenység M&M Software termékekben

Az Emerson munkatársai egy sérülékenységet találtak a WAGO Kontakttechnik leányvállalataként működő M&M Software GmbH alábbi termékeiben:

- fdtCONTAINER komponensek
   - 3.5.0-tól 3.5.20304.x-ig terjedő verziói;
   - 3.6.0-tól 3.6.20304.x-ig terjedő verziói;
   - 3.5-nél régebbi verziók;
- fdtCONTAINER alkalmazások
   - 4.5.0-tól 4.5.20304.x-ig terjedő verziói;
   - 4.6.0-tól 4.6.20304.x-ig terjedő verziói;
   - 4.5-nél régebbi verziók;
- dtmINSPECTOR 3 (az FDT 1.2.x-en alapuló verzió).

A gyártó a hibával kapcsolatban a legújabb verziókra történő frissítést javasolja. A sérülékenység részleteit az ICS-CERT bejelentésében lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-021-05

Mitsubishi Electric berendezések sérülékenysége

A kínai Qi An Xin Group Inc. Industrial Control Security laborja egy sérülékenységet talált a Mitsubishi Electric alábbik, robotvezérlő berendezéseiben:

- MELFA FR sorozat;
- MELFA CR sorozat;
- MELFA ASSISTA.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT weboldalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-021-04

Sérülékenységek Matrikon rendszerekben

Uri Katz, a Claroty munkatársa négy sérülékenységet talált a Honeywell leányvállalat Matrikon OPC UA Tunneller termékének 6.3.0.8233-asnál korábbi verzióiban.

A gyártó a hibákat a 6.3.0.8233-as verziójában javította. A sérülékenységekről további információkat az ICS-CERT publikációjában lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-021-03

Sérülékenységek Delta Electronics TPEditor rendszerekben

kimiya, a ZDI-vel együttműködve két sérülékenységről közölt információkat a DHS CISA-val, amik a Delta Electronics TPEditor v1.98-as és korábbi verzióit érintik.

A gyártó a hibákat a v1.98.03-as és későbbi verziókban javította. A sérülékenységekkel kapcsolatban további információkat az ICS-CERT bejelentésében lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-021-02

Delta Electronics ISPSoft sérülékenység

Francis Provencher, a ZDI-vel közösen egy sérülékenységet jelentett a DHS CISA-nak a Delta Electronics ISPSoft v 3.12-es és korábbi verzióiban.

A hibát a gyártó a v.3.12.01-es verzióban javította. A sérülékenység részleteiről az ICS-CERT publikációjából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-21-021-01

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A különböző, termelésirányítási rendszereket használó cégek elleni ransomware-támadások 2020-ban soha nem látott mértékben szaporodtak el. Csak itt a blogon XX ilyen támadásról írtam én is, a TrendMicro 2020 végén megjelent cikke szerint pedig a szektor elleni zsarolóvírus-támadások száma majdnem másfélszer akkora volt, mint a második helyen álló kormányzati szervek elleni ugyanilyen támadásoké.

A cikk szerzője, Ryan Flores írásában röviden összefoglalja a folyamatvezérlő rendszereket korábban ért ransomware-támadások hatásait és arra a következtetésre jut, hogy egy ransomware-nek nem szükségszerűen kell a folyamatirányító rendszer elemeit céloznia ahhoz, hogy a felügyeleti (Loss of View), vezérlési (Loss of Control) vagy termelési (Loss of Productivity) képessége sérüljön az adott szervezetnek.

A különböző termékek gyártását a szervezet fő céljának tekintő cégek esetén ráadásul más megvilágításba kerül a Maze ransomware által megkezdett dupla-zsarolási módszer is, amikor nem csak titkosítják a szervezet számára fontos állományokat, de egy részüket el is lopják és az ellopott adatok publikálásával is fenyegetnek a támadók. Míg sok folyamatirányító rendszert használó szervezet (pl. közüzemi szolgáltatók) esetén egy ilyen fenyegetés ugyan jelenthet problémákat, de a cég működését alapjaiban nem képesek ezzel veszélyeztetni, a különböző termékek (pl. szabadalmaztatott gyógyszerek) pontos összetevőinek arányai olyan értéket képviselhetnek, ami, ha nyilvánosságra kerül, adott esetben már a szervezet létezését is veszélyeztetheti.

A TrendMicro cikkében szó esik még a leggyakoribb, gyártásautomatizálási rendszereket alkalmazó cégeket támadó ransomware-ek sajátosságairól és néhány javaslatot is összegyűjtött a szerző a zsarolóvírusok elleni védelemben használható hálózatbiztonsági intézkedésekről.

Sérülékenységek Siemens SCALANCE X termékekben

A Siemens három, az alábbi SCALANCE X termékcsaládba tartozó rendszereit érintő sérülékenységről közölt információkat a DHS CISA-val:

- SCALANCE X-200 switch család (beleértve a SIPLUS NET változatokat is) minden verziója;
- SCALANCE X-200IRT switch család (beleértve a SIPLUS NET változatokat is) minden verziója;
- SCALANCE X-300 switch család (beleértve az X408 és SIPLUS NET változatokat is) minden, v4.1.0-nál korábbi verziója.

A hibával kapcsolatban a gyártó a SCALANCE X-300-as switch-ekhez javítást, a többi érintett eszközhöz kockázatcsökkentő intézkedésekre vonatkozó javaslatokat adott ki. A sérülékenységekről bővebb információkat a Siemens ProductCERT és az ICS-CERT publikációiban lehet találni.

Siemens JT2Go és Teamcenter Visualization rendszerek sérülékenységei

rgod, a ZDI-vel együttműködve és Carsten Eiram, a Risk Based Security munkatársa összesen 18 sérülékenységet találtak a Siemens alábbi rendszereiben:

- JT2Go minden, v13.1.0 és korábbi verziója;
- Teamcenter Visualization V13.1.0 és korábbi verziói.

A gyártó a hibákat javító újabb verziókat már elérhetővé tették. A sérülékenységekről további részleteket a Siemens ProductCERT és az ICS-CERT bejelentéseiből lehet tájékozódni.

Sérülékenységek Siemens Solid Edge rendszerekben

rgod, a ZDI-vel közösen 6 sérülékenységet jelentett a DHS CISA-nak a Siemens Solid Edge minden, SE2021MP2-nél korábbi verziójával kapcsolatban.

A gyártó a hibákat az SE2021MP2 és újabb verziókban javította. A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Siemens SCALANCE X switch-ek sérülékenységei

A Siemens ProductCERT részleteket közölt a DHS CISA-val az alábbi termékeikben talált sérülékenységről:

- SCALANCE X-200 switch család (beleértve a SIPLUS NET változatokat is) minden verziója;
- SCALANCE X-200IRT switch család (beleértve a SIPLUS NET változatokat is) minden verziója;
- SCALANCE X-300 switch család (beleértve az X408 és SIPLUS NET változatokat is) minden, v4.1.0-nál korábbi verziója.

A hibával kapcsolatban a gyártó a SCALANCE X-300-as switch-ekhez javítást tartalmazó újabb verziókat, az X-200-as és X-200IRT eszközökhöz pedig kockázatcsökkentő intézkedésekre vonatkozó ajánlásokat adott ki. A sérülékenységekről további részleteket a Siemens ProductCERT és az ICS-CERT publikációi tartalmaznak.

Sérülékenységek SOOIL orvostechnikai rendszerekben

Julian Suleder, Birk Kauer, Raphael Pavlidis és Nils Emmerich, az ERNW Research GmbH munkatársai 9 sérülékenységet találtak a SOOIL alábbi orvostechnikai rendszereiben:

- Dana Diabecare RS minden, 3.0-nál korábbi verziója;
- AnyDana-i minden, 3.0-nál korábbi verziója;
- AnyDana-A minden, 3.0-nál korábbi verziója.

A gyártó a hibákat javító újabb verziókat már elérhetővé tette. A sérülékenységekkel kapcsolatban részletes információkat az ICS-CERT bejelentésében lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsma-21-012-01

Schneider Electric EcoStruxure Power sérülékenység

rgod - szokása szerint a ZDI-vel együttműködve - egy sérülékenységet jelentett a DHS CISA-nak a Schneider Electric EcoStruxure Power Build - Rapsody nevű termékének 2.1.13-as és korábbi verzióival kapcsolatban.

A gyártó a hibát a tervek szerint 2021. első félévében fogja javítani. A sérülékenység részleteivel kapcsolatos további információkat az ICS-CERT weboldalán lehet megtalálni: https://us-cert.cisa.gov/ics/advisories/icsa-21-012-01

Treck HTTP Server sérülékenység Schneider Electric Sepam ACE850 védelmekben

A Schneider Electric publikációja szerint a Treck HTTP Server sérülékenység megtalálható a Sepam ACE850 védelmek kommunikációs interfészeinek minden verziójában.

A sérülékenységgel kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenység részleteiről a Schneider Electric publikációjában lehet tájékozódni.

Sérülékenység Schneider Electric HMI rendszerekben

A Schneider Electric bejelentése egy sérülékenység részleteit tartalmazza, ami az alábbi rendszereket érinti:

- Az alábbi Harmony HMI-okon futó EcoStruxure™ Operator Terminal Expert 3.1 Service Pack 1A és korábbi verziói:
- HMIST6 sorozat;
- HMIG3U a HMIGTU sorozatból;
- HMISTO sorozat;
- Pro-face BLUE 3.1 Service Pack 1A and prior running on Pro-face HMIs:
- ST6000 sorozat;
- SP-5B41 a SP5000 sorozatból;
- GP4100 sorozat.

A gyártó a hibát javító újabb verziókat már elérhetővé tette. A sérülékenységről további információkat a Schneider Electric weboldalán lehet találni.

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Már a blog valamivel több, mint 5 évvel ezelőtti elindulása után röviddel megfogalmazódott a kérdés, hogy adok-e lehetőséget vendégposztoknak is? Nekem tetszett az ötlet, mégis, különböző okok miatt egészen a mai napig kellett várni az első olyan bejegyzésre, amit nem én írtam. Nem is húznám tovább a bevezetőt, íme az első vendégposzt, GéPé tollából:

Az elmúlt hónapok történéseit helikopter-nézetből szemlélve két egymástól távoli – első ránézésre tényleges összefüggés nélküli – fejleményt emelnék ki: egyrészt a múlt év május 1-jén kiadott elnöki rendeletet (energetikai vészhelyzet kihirdetéséréről az USA-ban, E.O. 13920), másrészt a decemberi SolarWinds/Orion esetet.

Az elnöki rendelet az USA átviteli hálózatát akár beszállítói, akár tulajdonosi, akár üzemeltetői pozícióban, akár már beépített, akár a jövőben beépítésre kerülő egyes villamos berendezések esetében állapít meg nemzetbiztonsági kockázatot egyes külföldi szereplők vonatkozásában. Bár konkrét publikus bizonyíték nem érhető el, de a szelek olyan híreket fújdogálnak, melyek szerint a 2019-ben, a Houston-i kikötőben lefoglalt, majd Albuquerque-be, a Sandia National Laboratories-ba beszállított kínai gyártmányú transzformátor elektronikájában tényleg találhattak valamiféle „gyárilag beépített” sérülékenységet, hardware backdoor-t. Erősíti a „valami van” érzetet, hogy az elnökválasztás körüli botrányok közepette, nem kivárva az új elnök beiktatását, decemberben a DoE sürgőséggel formálisan is megtiltotta az USA nemzetbiztonságilag kockázatos objektumait betápláló villamosenergetikai létesítményekbe meghatározott kínai gyártmányok (közte transzformátok!) beépítését.

A SolarWinds esetnél pedig nem is feltételezés, hanem bizonyított tény, hogy valamely külföldi hatalom képes még kiadás előtt hozzáférni az Orion alkalmazás új verziójához. Képes volt backdoor-t elhelyezni, amely frissítéskor az új verzióval észrevétlenül és akadálytalanul feltelepült a frissítést gyanútlanul – és amúgy helyesen! – végrehajtó cégek rendszereibe. Mint ismeretes az USA számos szenzitív kormányzati szervezetének informatikai rendszerei érintettek. A támadás részleteinek elemzése, a kárfelmérés, a teendők meghatározása jelenleg is zajlik és vélhetően még számos információ csak a jövőben lesz elérhető, már ha egyáltalán...

És mi köti össze a két eseményt? Nos az, hogy mindkét eset a supply chain, azaz az ellátási lánc intaktságát érinti. Ráadásul mindkét esetben kifejezetten innovatív, a meglévő védelmi vonalakat „könnyedén” kikerülő támadásokról lehet szó. Mert ki gondolna arra, hogy a villamosenergia-ellátás folyamatossága pl. a transzformátor ún. hűtésautomatikájába esetleg „gyárilag” beépített hardware backdoor-on keresztül fenyegethető?! Avagy ki gondolna arra, hogy egy eddig elképzelhetetlen módon, egy éppen a megbízhatóságot növelni hivatott szoftver frissítés „eredményeként” válhat „ajtó-ablak nyitva” a támadó számára?!

Mindeddig egyik eset sem volt reálisan elképzelhető. És lám, mára mindkettő immár talán maga a valóság.

Mintha az élet igazolni kezdené Joe Weiss elsőre meredeknek tűnő figyelmeztetését az informatikai – hangsúllyal OT – rendszerek „Maginot vonalait” megkerülő backdoor-okra. Hiszen mindkét említett esetben hatástalanok a védelem jelenlegi eszközei.

Úgyhogy helyzet van! Nem árt, ha akiknek ez dolga, azok mostantól erősebb paranoiával végzik a dolgukat. Mert mint tudjuk az, hogy üldözési mániád van, messze nem jelenti azt, hogy tényleg ne üldöznének…

Utóirat: a Solarwinds/Orion eset következményei azért is beláthatatlanok, mert érvet adnak az OT rendszerek eddig sem a gyakori frissítéseikről híres üzemeltetőinek kezébe. Azaz tovább nő annak esélye, hogy ismertté váló sérülékenységek megszüntetése még inkább gyatra tempóban történjen. Ha egyáltalán… Szóval úgy hiányzott ez az eset, mint üveges tótnak a hanyatt esés...

Delta Electronics CNCSoft ScreenEditor sérülékenység

A Kimiya néven ismert biztonsági kutató, a ZDI-vel együttműködésben egy sérülékenységet jelentett a DHS CISA-nak, ami a Delta Electronics CNCSoft ScreenEditor nevű termékének 1.01.26-os és korábbi verzióit érinti.

A gyártó a hibát az 1.01.28-as verzióban javította. A sérülékenység részleteit az ICS-CERT publikációja tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-21-005-06

Sérülékenységek Delta Electronics DOPSoft szoftverekben

Kimiya, a ZDI-vel együttműködve két sérülékenységről közölt információkat a DHS CISA-val, amik a Delta Electronics DOPSoft, egy, a Delta Electronics DOP-100-as sorozatú HMI-aihoz használható szoftver 4.0.8.21 és korábbi verzióit érintik.

A gyártó már elérhetővé tette a hibát javító újabb verziókat. A sérülékenységről további információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-005-05

Sérülékenységek Red Lion rendszerekben

Marco Balduzzi, Ryan Flores, Philippe Lin, Charles Perine, Ryan Flores és Rainer Vosseler, a ZDI-vel közösen három sérülékenységet jelentettek a DHS CISA-nak. A sérülépkenységek a Red Lion DA10D protokoll konverterhez használható Crimson 3.1-es verziójának 3119.001-nél korábbi build-jeit érintik.

A gyártó a hibákat a 3119.001-es build-ben és későbbi verziókban javította. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT weboldalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-005-04

Sérülékenységek GE rendszerekben

Tom Westenberg, a Thales UK munkatársa két sérülékenységet jelentett a GE-nek a gyártó Reason RT430-as, RT431-es és RT434-es GNSS óráinak minden, 08A06-osnál korábbi firmware-verziójával kapcsolatban.

A gyártó a hibákkal kapcsolatban minden, Reason RT43X sorozatú berendezéseket használó ügyfelének a 08A06 vagy újabb firmware-verzióra történő frissítést javasolja. A sérülékenységek részletesebb információit az ICS-CERT publikációjában lehet elérni: https://us-cert.cisa.gov/ics/advisories/icsa-21-005-03

Panasonic FPWIN Pro sérülékenység

Francis Provencher a ZDI-vel közösen egy sérülékenységet jelentett a DHS CISA-nak, ami a Panasonic FPWIN Pro, egy az FP sorozatú PLC-k programozásához használható szoftver 7.5.0.0 és korábbi verzióiban.

A gyártó a hibát az FPWIN Pro 7.5.1.0 verzióban javította. A sérülékenységgel kapcsolatban bővebb információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-005-02

Sérülékenységek Delta Electronics szoftver menedzsment megoldásban

Kimiya, a ZDI-vel együttműködve összesen négy sérülékenységet talált a Delta Electronics CNCSoft-B nevű szoftver menedzsment megoldásának 1.0.0.2-es és korábbi verzióiban.

A gyártó a hibákat a CNCSoft-B 1.0.0.3-as verziójában javította. A sérülékenységekről további részleteket az ICS-CERT weboldalán lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-21-007-04

Eaton EASYsoft sérülékenységek

Francis Provencher a ZDI-vel együttműködésben két sérülékenységet talált az Eaton EASYsoft 7.20-as és korábbi verzióiban.

A gyártó a jelentések szerint várhatóan január végén fogja kiadni a hibákat javító újabb verziót. A sérülékenységekről bővebb információkat az ICS-CERT publikációjában lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-21-007-03

Sérülékenységek Omron rendszerekben

rgod, a ZDI-vel közösen három sérülékenységet talált az Omron alábbi rendszereiben:

CX-One 4.60 és korábbi verziói, beleértve az alábbi alkalmazásokat:
- CX-Protocol 2.02 és korábbi verziói;
- CX-Server 5.0.28 és korábbi verziói;
- CX-Position 2.52 és korábbi verziói.

A gyártó a hibákat az elérhető legújabb verziókban javította. A sérülékenységekről részletesebb információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-21-007-02

Innokas Yhtymä rendszerek sérülékenységek

Julian Suleder, Nils Emmerich és Birk Kauer, az ERNW Research GmbH, valamint Dr. Oliver Matula, ERNW Enno Rey Netzwerke GmbH munkatársai két sérülékenységet találtak a finn Innokas Yhtymä Oy által gyártott alábbi orvosi rendszerekben:

- Vital Signs Monitors VC150 1.7.15-nél korábbi verziói.

A gyártó a hibákat az 1.7.15b és későbbi verziókban javította. A sérülékenységekkel kapcsolatban bővebb információkat az ICS-CERT weoldalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsma-21-007-01

Sérülékenység Hitachi ABB Power Grids rendszerekben

A Hitachi ABB Power Grids egy sérülékenységről közölt információkat a DHS CISA-val, ami az alábbi termékeiket érinti:

- CESM1/CESM2-t használó FOX61x R1 berendezések cesne_r1h07_12.esw-nél korábbi verziói;
- CESM1/CESM2-t használó FOX61x R2 berendezések cesne_r2d14_03.esw-nél korábbi verziói.

A hibákat javító verziókat a gyártó már elérhetővé tette. A sérülékenység részleteit az ICS-CERT publikációja tartalmazza: https://us-cert.cisa.gov/ics/advisories/icsa-21-007-01

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az IBM biztonsági kutatóit már a Proventia nevű cég 2000-es évek derekán történt felvásárlás óta az X-Force néven emlegetett csapat adja. Az elmúlt közel másfél évtizedben számos fontos felfedezést tettek a kiberbiztonság területén, most pedig ennek a csapatnak egy tagja, Camille Singleton és a Dragos kutatója, Selena Larson közösen vizsgálták az ICS rendszereket érő ransomware-támadásokat.

A kutatók legfontosabb következtetései az alábbiak:

- 2020-ban az ipari szervezetek elleni ransomware-támadások száma több, mint 500%-kal(!) nőtt, elsősorban a gyártásautomatizálási (az összes incidens harmada tartozott ide) és közüzemi ICS rendszereket használó szervezetek (az esetek 10%-ában) estek ilyen támadások áldozataiul (én is legalább 13 esetben írtam ilyen incidensekről a blogon csak az elmúlt egy évben)

- Az újabb zsarolóvírusok akár már az ipari folyamatok vezérlésébe is képesek beavatkozni, akár le is tudják állítani a vezérelt fizikai folyamatokat!
- A ransomware-eket fejlesztő csoportok egyre inkább építenek a fontos adatok titkosítása mellett a bizalmas adatok ellopására, majd ezeknek az adatoknak a nyilvánosságra hozatalával történő zsarolásra is.
- Az ipari szervezetektől ilyen módon ellopott és az Interneten vagy a Dark weben publikált adatokat később fel lehet használni az érintett szervezetek elleni további támadások során.
- Az ICS rendszerek elleni célzott támadások ellen a mélységi védelem (defense-in-depth) és a biztonsági megfontolásokat megfelelő szinten beépítő hálózat- és rendszertervezési tevékenység nyújthat elfogadható szintű biztonságot, ha a megelőzés az elsődleges szempont.

A kutatók teljes, 13 oldalas publikációját (regisztráció után) a Dragos weboldalán lehet elérni.

2020 sem volt eseménytelen év az ICS biztonság és az ipari szektorokban tevékenykedő vállalatok világában. Nemrég egy cikket találtam a Kaspersky oldalán, amiben már a 2021-re vonatkozó ICS biztonsági várakozásaikat foglalja össze Evgeny Goncharow. A fontosabb előrejelzések:

- Az ICS rendszerek elleni malware-támadások egyre kevésbé lesznek véletlenszerűek, ahogy a kiberbűnözők egyre inkább kiismerik az ipari szervezetek IT (és OT) rendszereit és felismerik, hogy mekkora bevételük lehet ezeknek a szervezeteknek és rendszereknek a támadásából;
- Az ICS rendszerek elleni ransomware-támadások terén is egyre növekvő számokkal és súlyossággal számolnak, miután a kiberbűnözők rájöttek, hogy az ipari szervezetek hajlamosak lehetnek fizetni egy zsarolóvírus-támadás esetén;
- A kibertérben történő kémkedés fokozódása is növeli az ICS rendszerek fenygetettségeit, miután évről-évre egyre több ipari szervezetet ér támadás azért, hogy a bizalmas adataikat (know-how és egyéb intellektuális tulajdonok) szerezzék meg;
- A különböző nemzetállami háttérrel rendelkező APT-csoportok is egyre komolyabb figyelmet fordítanak az ICS rendszerekre, mivel az ötödik hadszíntér (a kibertér) egyre fontosabbá válik a különböző (régiós és világszinten) hatalmi tényezőnek számító vagy ilyen pozícióra törő országok számára.

Mindezeken felül a COViD-19 alaposan megváltoztatta a különböző méretű szervezetek mindennapjait, nem képeznek kivételt ez alól a különböző ipari szektorokban működő vállalatok sem, aminek egyenes következménye, hogy az általuk használt és üzemeltetett ICS rendszerek biztonságára is hatással van a jelenlegi járvány.

A fentieken túl még jó néhány gondolatot fogalmaztak meg a Kaspersky publikációjában, amit itt lehet elolvasni: https://securelist.com/ics-threat-predictions-for-2021/99613/

Emerson rendszerek sérülékenysége

Maxim Rupp egy sérülékenységet jelentett a DHS CISA-nak az Emerson Rosemount X-STREAM gáz elemző szoftvereinek alábbi verzióival kapcsolatban:

- X-STREAM enhanced XEGP minden verziója;
- X-STREAM enhanced XEGK minden verziója;
- X-STREAM enhanced XEFD minden verziója;
- X-STREAM enhanced XEXF minden verziója.

A gyártó a hibát az érintett termékekhez kiadott legújabb firmware-verzióban javította. A sérülékenységről bővebben az ICS-CERT publikácójában lehet olvasni: https://us-cert.cisa.gov/ics/advisories/icsa-20-352-01

Sérülékenységek PTC Kepware KEPServerEX komponensekben

Uri Katz, a Claroty munkatársa 3 sérülékenységet fedezett fel a PTC Kepware KEPServerEX platformjának alábbi termékeiben:

- KEPServerEX v6.0-tól v6.9-ig terjedő verziói;
- ThingWorx Kepware Server v6.8-tól v6.9-ig terjedő verziói;
- ThingWorx Industrial Connectivity minden verziója;
- OPC-Aggregator minden verziója;

Az alábbi termékek esetében lehetséges, hogy érintettek a most publikált sérülékenységek által:

- Rockwell Automation KEPServer Enterprise;
- GE Digital Industrial Gateway Server v7.68.804-től v7.66-ig terjedő verziói;
- Software Toolbox TOP Server minden 6.x verziója.

A gyártó a hibákat az érintett termékei legújabb verzióiban javította. A sérülékenységekkel kapcsolatban bővebb információkat az ICS-CERT bejelentése tartalmaz: https://us-cert.cisa.gov/ics/advisories/icsa-20-352-02

PTC Kepware LinkMaster sérülékenység

Yuri Kramarz, a Cisco Talos munkatársa egy sérülékenységet talált a PTC Kepware LinkMaster nevű rendszerének 3.0.94.0 és korábbi verzióiban.

A gyártó a hibával kapcsolatban a 3.0.99-es verzióra történő frissítést javasolja. A sérülékenységről további információkat az ICS-CERT weboldalán lehet találni: https://us-cert.cisa.gov/ics/advisories/icsa-20-352-03

Sérülékenységek Treck TCP/IP Stack implementációkban

Az Intel munkatársai 4 sérülékenységet találtak a Treck TCP/IP stack 6.0.1.67-es és korábbi verzióiban az alábbi komponensekben:

- HTTP Server;
- IPv6;
- DHCPv6.

A Treck a hibákat a TCP/IP Stack 6.0.1.68-as és későbbi verzióiban javította. A sérülékenységek részleteiről az ICS-CERT publikácójából lehet tájékozódni: https://us-cert.cisa.gov/ics/advisories/icsa-20-353-01

Treck TCP/IP stack sérülékenységek Schneider Electric termékekben

Az előzőekben ismertetett Treck TCP/IP stack sérülékenységek a Schneider Electric egyes termékeit is érintik.

Az IPv6 komponens sérülékenysége az alábbi termékeket érinti:

- ATV340E Altivar Machine Drives minden, V3.2IE25-nél korábbi verziója;
- ATV630/650/660/680/6A0/6B0 Altivar Process Drives minden, V3.3IE33-nál korábbi verziója;
- ATV930/950/960/980/9A0/9B0 Altivar Process Drives minden, V3.3IE26-nál korábbi verziója;
- 6VW3A3720, VW3A3721 Altivar Process Communication Modules minden, V1.15IE25-nél korábbi verziója;
- APC Network Management Card 2 (NMC2) - AP9630/30CH/30J, AP9631/31CH/31J, AP9635/35CH, AP9537SUM minden, AOS V6.9.6-nál korábbi verziója;
- APC Network Management Card 3 (NMC3) - AP9640, AP9641 minden, AOS V1.4.0-nál korábbi verziója;
- TM3 Bus Coupler EIP Firmware V2.1.50.2 és korábbi verziói;
- ATV6000 Medium Voltage Altivar Process Drives minden verziója;
- eIFE Ethernet Interface for MasterPact MTZ drawout circuit breakers minden verziója;
- IFE Ethernet Interface for ComPact, PowerPact, and MasterPact circuit breakers minden verziója;
- IFE Gateway minden verziója;
- Acti9 Smartlink IP minden verziója;
- Acti9 PowerTag Link/HD minden verziója;
- Acti9 Smartlink SI D minden verziója;
- Acti9 Smartlink SI B minden verziója;
- EGX150/Link150 Ethernet Gateway minden verziója.

A HTTP Server komponens sérülékenységei az alábbi termékekben található meg:

- TM3 Bus Coupler – EIP 2.1.50.2 és korábbi firmware-verziók;
- TM3 Bus Coupler – SL 2.0.50.2 és korábbi firmware-verziók;
- TM3 Bus Coupler – CANOpen 2.0.50.2 és korábbi firmware-verziók.

A hibákra kiadott javításokról és a sérülékenységek további információiról a Schneider Electric által kiadott dokumentációkból lehet tájékozódni.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.