Кибербезопасность АСУ ТП

Сообщение **hypernom** » 09 сен 2019, 12:49

Всем доброго дня. Где-то случайно прочёл статью, и вдруг заинтересовался этим. Кто сможет покидать годных статей или материала на данную тему? Откуда нужно начать обучение и с чего.

Этот вопрос лучше задать на форуме хакеров, антихакеров.

Сообщение **keysansa** » 10 сен 2019, 10:16

Начать нужно с того, что взять ножницы и принудительно отключить хакеров от своей сети )

Сообщение **VADR** » 10 сен 2019, 11:17

keysansa писал(а): ↑10 сен 2019, 10:16 Начать нужно с того, что взять ножницы и принудительно отключить хакеров от своей сети )

Да всё бы хорошо было и просто, если имеем маленькую системку, которую можно без гемора эксплуатировать отдельно от "внешнего мира". А сейчас с развитием врякоразных систем имеем такую хрень:
1. Практически наверняка нужен какой-то интерфейс для общей диспетчерской системы предприятия (АСОДУ): предприятия нынче не маленькие, наверняка существует общая диспетчерская служба, которой нужна оперативная информация со всех объектов. А также - технологам на местах нужна информация со смежных объектов. Как делать? По телефону?
2. А ещё всякоразные системы ТОиР - им тоже нужна информация с объектов: рассчитать износ, распланировать техобслуживание на базе информации об использовании. И тут тоже нужен какой-то интерфейс, который ножницами не очень-то отрежешь.
3. А ещё всякоразные Сименсы, закладывающие, к примеру, OPC UA серверы в свои контроллеры и панели... штука хорошая, слов нет, но нельзя забывать, что тот, кто получает доступ к такому встроенному серверу, получает также доступ ко всей железяке, в которую этот сервер встроен. То есть - если получил доступ OPC UA серверу, встроенному в панель - получаешь возможность делать всё, что может делать оператор. Если к серверу в контроллере - всё, что можно сделать модификацией данных в контроллере. То есть - кулхацкер, завладевший системой сбора данных предприятия, может на этом предприятии сделать всё (потому, собственно, я везде требую выделять OPC UA на отдельную железяку, не имеющую возможности влиять на процесс; взломать можно и её, но взломать сотню компов по предприятию несколько сложнее, чем один).
Вот тут как бы и вспоминается вся эта ИБ...

Сообщение **keysansa** » 10 сен 2019, 11:24

VADR писал(а): ↑10 сен 2019, 11:17 Да всё бы хорошо было и просто

Это не просто, а начало. Выделить оборудование в отдельный физический сегмент.
Потом начать работу со шлюзами в него.

ЗЫ. Была такая байка (интервью с Бэтменом):
- А правда, что вы взломали все разведки мира?
- Да, только с КГБ не получилось. И не потому, что я плохой хакер, или у них там защита хорошая. Просто нет такой программы, которая бы ящики из стола выдвигала.

hypernom писал(а): ↑09 сен 2019, 12:49 Всем доброго дня. Где-то случайно прочёл статью, и вдруг заинтересовался этим. Кто сможет покидать годных статей или материала на данную тему? Откуда нужно начать обучение и с чего.

https://www.us-cert.gov/ics/Secure-Architecture-Design - кликабельно, с доками и описанием угроз
https://www.us-cert.gov/resources/cyber ... -framework
https://www.nist.gov/publications/guide ... s-security
62443 в РФ на уровне ГОСТ принят

Сообщение **keysansa** » 10 сен 2019, 16:19

perfect_gentleman писал(а): ↑10 сен 2019, 16:14 кликабельно, с доками и описанием угроз

А разве бэкап, конфиг и девелоп сервера не за маршрутизатором должны быть? Все прям в одну lan?

keysansa писал(а): ↑10 сен 2019, 16:19 А разве бэкап, конфиг и девелоп сервера не за маршрутизатором должны быть? Все прям в одну lan?

Control System LAN
The local area network that connects all of the vendor and add-on networked equipment that comprises the control system applications. This includes the network equipment such as switches, routers, IDS, firewalls and other equipment used to complete the control system LAN.

Что мешает им в разных сегментах висеть?
Девелопа я, кстати, там и не вижу. Да и бэкапирование они удаленное рассматривают.
Удаленный бэкап, кстати- та штука, к которой я бы лично критично относился. Что будет, если тот ресурс скомпрометирован?

Сообщение **keysansa** » 10 сен 2019, 17:08

perfect_gentleman писал(а): ↑10 сен 2019, 16:53 Что мешает им в разных сегментах висеть?

Просто на схеме много ненужных вещей выделено, а эта часть как-то просто отображена...
Причем админы бэкапа - пущены через файервол опять же в эту общую сеть. А им бы отдельный интерфейс - и на vpn на общедоступном vlan

ЗЫ. Чем больше разбираюсь, тем больше понимаю, что схема - годов 80-х. У них Удаленные офисы по проводам подключены по выделенной ADSL линии...

perfect_gentleman писал(а): ↑10 сен 2019, 16:53 Девелопа я, кстати, там и не вижу.

Engeneering

perfect_gentleman писал(а): ↑10 сен 2019, 16:53 Удаленный бэкап, кстати- та штука, к которой я бы лично критично относился. Что будет, если тот ресурс скомпрометирован?

А я не про удаленный говорил. Просто за маршрутизатором, который принимает соединения только ОТ бэкап сервера. При компрометации любого сервера в сети - бэкап остается недоступным.

ЗЫЫ. DMZ у них тоже интересно организовано. Как раз в духе 80-х

ЗЫЫЫ. Ну и вишенка на торте - корпоративная сеть - через firewall к серверам. Скорость доступа - Exp от цены firewall.

keysansa писал(а): ↑10 сен 2019, 17:08Engeneering

Что не совсем девелопмент. Скорее maintenance

keysansa писал(а): ↑10 сен 2019, 17:08ЗЫ. Чем больше разбираюсь, тем больше понимаю, что схема - годов 80-х. У них Удаленные офисы по проводам подключены по выделенной ADSL линии...

Присмотрелся. Выделенка там только к Backup Control Centre, и то не факт, что ADSL. Модемы- как параллельный вариант коммуникации, они так и изображены, и именно с той инфраструктурой, которая для их использования необходима. ADSL в Штатах, к слову, не редкость. Американские мануалы для ИТ-аудита вполне рассматривают ADSL.
И модем там:

A control system modem pool allows information to be transferred between the centralized part of a control system the field located controllers and input/output devices

- для связи с полями. Я, кстати, такое встречал.

keysansa писал(а): ↑10 сен 2019, 17:08ЗЫЫЫ. Ну и вишенка на торте - корпоративная сеть - через firewall к серверам. Скорость доступа - Exp от цены firewall.

И что в этом ненормального? Вполне рабочая схема. Встречается много где в крупных компаниях, жалоб на скорость как раз меньше всего.

keysansa писал(а): ↑10 сен 2019, 17:08 При компрометации любого сервера в сети - бэкап остается недоступным

Присмотрелся. Как раз бэкап-то и сохранится, так как вне сети. И понадобится он- когда? Только после восстановления скомпрометированных внутренних ресурсов

Сообщение **hypernom** » 11 сен 2019, 10:36

в россии есть такие институты, где можно обучиться на данную тему? заполучить диплом и прочее? было бы идеально,если удаленно.

hypernom писал(а): ↑11 сен 2019, 10:36 в россии есть такие институты, где можно обучиться на данную тему? заполучить диплом и прочее? было бы идеально,если удаленно.

Гуглите специальность "Защита информации". Сто процентов есть, и много где

Сообщение **keysansa** » 11 сен 2019, 21:04

perfect_gentleman писал(а): ↑10 сен 2019, 20:06 Присмотрелся. Выделенка там только к Backup Control Centre

Я тоже присмотрелся - согласен с вами, прошу прощения.

perfect_gentleman писал(а): ↑10 сен 2019, 20:06 Что не совсем девелопмент. Скорее maintenance

Maintenance - это Config у них.

perfect_gentleman писал(а): ↑10 сен 2019, 20:06 ADSL в Штатах, к слову, не редкость. Американские мануалы для ИТ-аудита вполне рассматривают ADSL.

Тут согласен, но мы же нашу реальность рассматриваем. У нас тоже ADSL все еще есть, в качестве резервного канала, канала для связи с подразделениями.

Сообщение **Jackson** » 20 сен 2019, 12:42

Михайло писал(а): ↑09 сен 2019, 13:36 Этот вопрос лучше задать на форуме хакеров, антихакеров.

этот вопрос тут очень активно обсуждался. Нужно просто внимательно почитать. Работает поиск.

Jackson писал(а): ↑20 сен 2019, 12:42 этот вопрос тут очень активно обсуждался.

Это та тема, в которой дообсуждались до взаимных посылов? Причем на двух форумах?

Сообщение **Jackson** » 20 сен 2019, 13:58

Возможно, но она не единственная, и ссылок уйма.

hypernom писал(а): ↑09 сен 2019, 12:49 Всем доброго дня. Где-то случайно прочёл статью, и вдруг заинтересовался этим. Кто сможет покидать годных статей или материала на данную тему? Откуда нужно начать обучение и с чего.

Можете так же присоединиться и спросить в группах открытого профессионального сообщества специалистов по промышленной кибербезопасности: RUSCADASEC в Telegram и Facebook

Отправлено спустя 10 минут 24 секунды:

hypernom писал(а): ↑09 сен 2019, 12:49 Всем доброго дня. Где-то случайно прочёл статью, и вдруг заинтересовался этим. Кто сможет покидать годных статей или материала на данную тему? Откуда нужно начать обучение и с чего.

https://github.com/zlonov/ICS-Security/wiki