Binnen de OT is er altijd een dillema t.a.v. het patchen van kwetsbaarheden. Dat komt omdat de afgegeven CVSS een bepaalde urgentie waarde vertegenwoordigd t.a.v.
het nemen van maatregelen maar die is gebaseerd op een IT omgeving. Voor de OT moeten we daarom de kwetsbaarheid in de juiste context plaatsen om te beoordelen wat de impact is voor de OT omgeving en hoe urgent
het is om maatregelen te nemen. Om de OT community hiermee te helpen hebben we onderstaande tool bedacht die kan helpen om de kwetsbaarheid in de juiste context te bepalen en
zo handelingsperspectief te bieden.
Hoe werkt het?
1. Zoek de kwetsbaarheid op o.b.v. de EU vulnerability Database ID.
2. Geef de waardes op bij de categorieen die passen bij jou situatie.
3. Bereken het handelingsperspectief.
NB. Deze tool is een hulpmiddel en is op geen enkele wijze bedoeld om je eigen due diligence en due care proces over te nemen. Je bent en blijft als asset owner altijd zelf aansprakelijk.
Scoor de categorieen op basis van het systeem in kwestie
Bij het kiezen van een impact level verschijnt meer info als je de muispointer op de betreffende keuze optie laat hangen
Categorie: mate van degradatie security van systeem
Vele, zo niet de meeste IACS cyber assets zijn al kwetsbaar vóórdat een security patch wordt beoordeeld. Dit kan te wijten zijn aan het onveilige karakter van een cyber asset of de toegepaste IACS-protocollen (insecure by design). Als het toepassen van de security patch het voor een aanvaller niet moeilijker maakt om zijn doel te bereiken, dan is de waarde van het toepassen ervan minimaal.
Categorie: online exposure
Als het voor een aanvaller erg moeilijk is om digitaal toegang te krijgen tot de asset, dan levert het toepassen van de security patch minder risicoreductie op. De risicoreductie is daarentegen veel groter als de kwetsbaarheid zich voordoet in een systeem dat op afstand benaderbaar is, zoals bijvoorbeeld remote toegang voor onderhoud.
Categorie: fysieke exposure
Indien een asset zeer makkelijk fysiek te benaderen is, is het van belang dat digitale kwetsbaarheden niet makkelijk kunnen worden uitgebuit.
Categorie: interne exposure
Bij een grote verwevenheid tussen IT en OT is het mogelijk dat de OT omgeving kan worden gecompromitteerd via de IT omgeving.
Categorie: safety impact
Veel processen die door IACS worden bestuurd en bewaakt, hebben ook enkele digitale componenten die schade aan of verlies van mensenlevens voorkomen. Dit is gebaseerd op de connectiviteit van of toegang tot de veiligheids gerelateerde cyber assets.
Categorie: eenvoud uitnutting kwetsbaarheid en beschikbaarheid automatische aanvalsmiddelen
Het uitbuiten van een kwetsbaarheid kan in voorkomende gevallen erg eenvoudig of juist erg complex zijn.
Categorie: technische impact
De technische impact kan worden gerelateerd aan de CVSS score. Indien er geen CVSS te bepalen is, dan zelf inschatting maken technische impact.
Categorie: impact uitbuiting object
Het beslispunt uitbuiting van de kwetsbaarheid op het individuele object is gerelateerd aan de functie van het object. Dit is gebaseerd op de impact op het proces als het object niet beschikbaar is of de integriteit is aangetast.
Categorie: impact uitbuiting hoofdfunctie
Dit punt hoofdfunctie is gerelateerd aan de hoofdfunctie waar het object onderdeel van uitmaakt. Hierbij wordt bepaald in welke mate het disfunctioneren van het object (as gevolg van uitbuiting van de kwetsbaarheid) invloed heeft op de hoofdfunctie of het hoofdproces.