Оповещения о посторонних подключениях в сеть АСУ ТП

[denkov]

Здравствуйте. Подскажите пожалуйста, есть ли возможность, без использования стороннего ПО, получать оповещения о подключении в локальную сеть АСУ ТП новых устройств?

[Jackson]

Здравствуйте.

Есть.

[+]

Запасаемся попкорном.

[Serex]

локальную сеть АСУ ТП

Что за сеть?

[Valerich]

есть ли возможность, без использования стороннего ПО, получать оповещения о подключении в локальную сеть

Есть, например, у меня дома стоит роутер, который высылает уведомления о подключениях - отключениях (так я узнаю, кто из домашних пришел-ушел, уснул-проснулся)

[denkov]

локальную сеть АСУ ТП

Что за сеть?

по топологии "кольцо" на управляемых коммутаторах МОХА

[VADR]

Подскажите пожалуйста, есть ли возможность, без использования стороннего ПО, получать оповещения о подключении в локальную сеть АСУ ТП новых устройств?

Тут надо для начала знать, что Вы называете сторонним ПО и каким ПО располагаете. Пути решения есть как минимум три:
1. Нужно всё-таки ПО, умеющее читать с сетевых устройств данные по SNMP и умеющее ловить SNMP Trap. Про реализацию функции чтения SNMP непосредственно контроллером я у кого-то (не помню, у кого) в описаниях читал, про работу с Trap - нет. Хотя теоретически возможно, если есть доступ к программированию сетевого обмена на уровне пакетов UDP. Но лучше так не делать, ибо это не есть задача контроллера. Контроллер должен управлять технологией, а все сторонние функции надо по максимуму убирать в сторону: никто не должен мешать работе, каждый должен заниматься своим делом. Если делаете только чтение данных по SNMP - узнаете о подключении не сразу, а в следующий цикл чтения. Если ловите Trap - он прилетит сразу по факту подключения. Ну и, естественно, время на свитчах должно быть синхронизировано с каким-то единым источником. Так что желательно всё же здесь поставить какой-то серверок с мониторинговым ПО типа Zabbix или каким-то другим. И, естественно, понадобится настройка свитчей.
2. У некоторых промышленных управляемых коммутаторов есть доступ по различным протоколам типа Modbus TCP или Ethernet/IP. Какие данные доступны - не знаю. Практически не сталкивался, но в теории, если такая функция есть, свитч можно опрашивать из контроллера. Посмотрите на характеристики Ваших свитчей. Опять же (см. п.1) возлагать эту функцию на контроллер я бы не стал. Только если такая информация нужна непосредственно в системе управления. И то - лучше убрать куда-нибудь в операторские сервера.
3. А ещё можно поставить видеокамеру.

[Jackson]

3. А ещё можно поставить видеокамеру.

Или взвод автоматчиков. Возможно, это будет дешевле чем комплекс мероприятий по ИБ.

[VADR]

Или взвод автоматчиков.

[+] человеческий фактор в таких делах надо исключить

На одном из моих объектов (давно уже, 2001-й год) на время строительства приставили пост охраны. Именно этих охранников монтажники и прихватили на краже материалов. И сами же потом виноваты остались: плохо спрятали свои материалы от охраны. Охранникам сказали ай-ай-ай, а позже я видел в дежурке удлинитель, сделанный из двух жёлто-зелёных проводов на 16 квадратов...

[denkov]

Подскажите пожалуйста, есть ли возможность, без использования стороннего ПО, получать оповещения о подключении в локальную сеть АСУ ТП новых устройств?

Тут надо для начала знать, что Вы называете сторонним ПО и каким ПО располагаете. Пути решения есть как минимум три:
1. Нужно всё-таки ПО, умеющее читать с сетевых устройств данные по SNMP и умеющее ловить SNMP Trap. Про реализацию функции чтения SNMP непосредственно контроллером я у кого-то (не помню, у кого) в описаниях читал, про работу с Trap - нет. Хотя теоретически возможно, если есть доступ к программированию сетевого обмена на уровне пакетов UDP. Но лучше так не делать, ибо это не есть задача контроллера. Контроллер должен управлять технологией, а все сторонние функции надо по максимуму убирать в сторону: никто не должен мешать работе, каждый должен заниматься своим делом. Если делаете только чтение данных по SNMP - узнаете о подключении не сразу, а в следующий цикл чтения. Если ловите Trap - он прилетит сразу по факту подключения. Ну и, естественно, время на свитчах должно быть синхронизировано с каким-то единым источником. Так что желательно всё же здесь поставить какой-то серверок с мониторинговым ПО типа Zabbix или каким-то другим. И, естественно, понадобится настройка свитчей.
2. У некоторых промышленных управляемых коммутаторов есть доступ по различным протоколам типа Modbus TCP или Ethernet/IP. Какие данные доступны - не знаю. Практически не сталкивался, но в теории, если такая функция есть, свитч можно опрашивать из контроллера. Посмотрите на характеристики Ваших свитчей. Опять же (см. п.1) возлагать эту функцию на контроллер я бы не стал. Только если такая информация нужна непосредственно в системе управления. И то - лучше убрать куда-нибудь в операторские сервера.
3. А ещё можно поставить видеокамеру.

Большое спасибо за подробный ответ! Я прочитал Ваши комментарии на хабре, в посте от Solar, очень познавательно. Пообщавшись непосредственно с человеком, эксплуатирующим АСУ ТП на наших объектах, планирую направить усилия на процессы. Такие как
1. повышение зарплаты персоналу, в связи с возложением на них дополнительных (не сильно обременительных на мой взгляд, функций по информационной безопасности АСУ ТП),
2 определения порядка обращения с паролями (где применимо), их выдачи, смены при необходимости (увольнение тех, кто их знает и тд),
3 поддержание в актуальном состоянии резервных копий прошивок ПЛК и копий управляющих программ, наличие ЗИП (ПЛК, носителей управляющих программ),
4 контроль целостности сети, оповещение инженера АСУ ТП о новых подключениях (попытках).
5 Контроль доступа в помещения с ШУПЛК (СКУД, видео)
6 Оценка любых систем с возможностью удалённого управления АСУ ТП с привлечением специалистов. Вот тут сложно, на всех компьютерах наладчиков, где установлен TIA Portal, видел также установленный Anydesk или Team Viewer...
7 Упорядочивание процесса внесения изменений в прошивки/управляющие программы
8 Создание полных резервных копий операционных систем, используемых в АСУ ТП

Как то так.
Никаких наложенных средств защиты (пока) для этого не требуется.

[Jackson]

человеческий фактор в таких делах надо исключить

Тогда ФСОшников

[+] не могу не вспомнить классику

Стоят полковники в отставке у стеклянных дверей,
Пора бы фотоэлементом заменить этих парней.
Чтоб было так: Заходит враг, и электрический кулак ему по роже.
(с) Секрет

[DUglev]

Подскажите пожалуйста, есть ли возможность, без использования стороннего ПО, получать оповещения о подключении в локальную сеть АСУ ТП новых устройств?

Тут надо для начала знать, что Вы называете сторонним ПО и каким ПО располагаете. Пути решения есть как минимум три:
1. Нужно всё-таки ПО, умеющее читать с сетевых устройств данные по SNMP и умеющее ловить SNMP Trap. Про реализацию функции чтения SNMP непосредственно контроллером я у кого-то (не помню, у кого) в описаниях читал, про работу с Trap - нет. Хотя теоретически возможно, если есть доступ к программированию сетевого обмена на уровне пакетов UDP. Но лучше так не делать, ибо это не есть задача контроллера. Контроллер должен управлять технологией, а все сторонние функции надо по максимуму убирать в сторону: никто не должен мешать работе, каждый должен заниматься своим делом. Если делаете только чтение данных по SNMP - узнаете о подключении не сразу, а в следующий цикл чтения. Если ловите Trap - он прилетит сразу по факту подключения. Ну и, естественно, время на свитчах должно быть синхронизировано с каким-то единым источником. Так что желательно всё же здесь поставить какой-то серверок с мониторинговым ПО типа Zabbix или каким-то другим. И, естественно, понадобится настройка свитчей.
2. У некоторых промышленных управляемых коммутаторов есть доступ по различным протоколам типа Modbus TCP или Ethernet/IP. Какие данные доступны - не знаю. Практически не сталкивался, но в теории, если такая функция есть, свитч можно опрашивать из контроллера. Посмотрите на характеристики Ваших свитчей. Опять же (см. п.1) возлагать эту функцию на контроллер я бы не стал. Только если такая информация нужна непосредственно в системе управления. И то - лучше убрать куда-нибудь в операторские сервера.
3. А ещё можно поставить видеокамеру.

Большое спасибо за подробный ответ! Я прочитал Ваши комментарии на хабре, в посте от Solar, очень познавательно. Пообщавшись непосредственно с человеком, эксплуатирующим АСУ ТП на наших объектах, планирую направить усилия на процессы. Такие как
1. повышение зарплаты персоналу, в связи с возложением на них дополнительных (не сильно обременительных на мой взгляд, функций по информационной безопасности АСУ ТП),
2 определения порядка обращения с паролями (где применимо), их выдачи, смены при необходимости (увольнение тех, кто их знает и тд),
3 поддержание в актуальном состоянии резервных копий прошивок ПЛК и копий управляющих программ, наличие ЗИП (ПЛК, носителей управляющих программ),
4 контроль целостности сети, оповещение инженера АСУ ТП о новых подключениях (попытках).
5 Контроль доступа в помещения с ШУПЛК (СКУД, видео)
6 Оценка любых систем с возможностью удалённого управления АСУ ТП с привлечением специалистов. Вот тут сложно, на всех компьютерах наладчиков, где установлен TIA Portal, видел также установленный Anydesk или Team Viewer...
7 Упорядочивание процесса внесения изменений в прошивки/управляющие программы
8 Создание полных резервных копий операционных систем, используемых в АСУ ТП

Как то так.
Никаких наложенных средств защиты (пока) для этого не требуется.

А почему бы не "разжиться" полноценным проектом СОИБ, учитывающим п. 2-8?

[Jackson]

А почему бы не "разжиться" полноценным проектом СОИБ, учитывающим п. 2-8?

Появились лишние деньги? :) На зависть.

А по сути, озвученные пункты с 1 по 8 ничего принципиально нового в себе не несут. Это обычная эксплуатация, такая какой она должна быть.

[+]

У меня в ВУЗе был прекрасный предмет: основы тех.эксплуатации промышленных и бортовых установок. Это всё оттуда и по сути действительно ничего нового - просто тщательное исполнение уже необходимого и так.

Только по пунктам такие комментарии. Тут геополитика вмешивается, как ни удивительно. Во-первых п.1. может не дать совершенно никакого результата, а может даже дать и обратный.
А п.6. я бы переименовал из "оценки" в "недопущение использования с примением средств контроля". Почему "геополитика"? - может я неточно выражаюсь, имею в виду т.н."менталитет" персонала как действующего, так и потенциального, и общую социально-экономическую обстановку в регионе. Короче говоря, будут ли работать в должной мере взыскания и будут ли они кого-то останавливать.
Например в инструкциях фиксируется запрет на использование средств удалённого доступа. По факту в ноутбуки заглядывать мало кто будет, разве что поначалу. А потом на буке может быть что угодно, не уследишь. Но вот факт появления характерного трафика может фиксироваться и тогда будет всё равно, что там за софт у тебя на компе: с твоего компа ушёл трафик - ты и виноват. Чтобы за буками следили как за личным оружием и отмазки типа "это не я - кто-то другой воспользовался" не прокатывали: с твоего компа ушло - ты и виноват.

Воспитывает не размер наказания, а его неотвратимость.

И всё это - однозначно лучше в рамках простого наведения порядка в эксплуатации, чем в качестве объявления этого всего мерами направленными на повышение информационной безопасности. Само словосочетание "информационая безопасность" можетт стать для кого-то красной тряпкой, триггером для начала развёртывания полноценно службы ИБ - если этого можно избежать, то лучше избежать, а функции раскидать по имеющимся подразделениям.

[DUglev]

Появились лишние деньги? :

Как минимум появились лишние риски. Не оценивая отрасль, в которой работает автор темы, объективно с ИБ стало напряженнее. Об этом говорят абсолютно все отечественные специалисты в этой сфере, которых я имел удовольствие слушать/читать/смотреть.
И указанная Вами геополитика играет не последнюю роль.

Любой набор мероприятий/действий/телодвижений только тогда имеет положительный и долгоиграющий эффект, когда имеет место быть скоординированность. Так не реализацией ли единого проекта по СОИБ обеспечить эту пресловутую ИБ.

[Serex]

Но вот факт появления характерного трафика может фиксироваться и тогда будет всё равно, что там за софт у тебя на компе:

Сейчас трафик почти весь шифрованный. Это только специализированные промышленные протоколы до сих пор открытые используют.
Хорошо помогают "права пользователя" и "хардварный отключатель интернета" - все остальное дыры, через которые можно диверсию устроить.

[Jackson]

Так не реализацией ли единого проекта по СОИБ обеспечить эту пресловутую ИБ.

Вовсе не факт. Не надо за уши тащить сюда СОИБ. Принцип разумности: если без чего-то можно обойтись, то без этого нужно обойтись. Вот и не надо ИБ пристёгивать туда где и без неё всё хорошо.

Хорошо помогают "права пользователя" и "хардварный отключатель интернета"

Да, это работает.

все остальное дыры, через которые можно диверсию устроить.

А вот тут надо грамотно поставить задачу. Навести дисциплину и защититься от диверсий - не одно и то же. Это совершенно разные задачи и решать их следует по отдельности. К тому же, от диверсий защиты не существует, потому что диверсия - это целенаправленное действие человека, а человек в состоянии обойти то, что создал другой человек. Всегда. А дисциплина - это состояние, а не действие. Наличие дисциплины не защитит от диверсии, но позволит её значительно быстрее обнаружить.

Это совсем разные вещи и не надо их смешивать. Тогда чего-то можно будет добиться.

[DUglev]

овсе не факт. Не надо за уши тащить сюда СОИБ. Принцип разумности: если без чего-то можно обойтись, то без этого нужно обойтись. Вот и не надо ИБ пристёгивать туда где и без неё всё хорошо.

Надо, надо, это реалии сегодняшнего дня в части большого количества предприятий крупного и отчасти среднего промышленного бизнеса. СОИБ - это не что-то страшное, затратное и непонятное. Грамотный проект и его последующая реализация избавят от множества проблем, в первую очередь, от ненужного внимания регулятора.

[Jackson]

Надо, надо, это реалии сегодняшнего дня

Вы это кому говорите? Мне не надо. Многим тут не надо. Вы считаете - надо? А я считаю что нет. Реалии эти в основном придуманы, притащены отсутствием дисциплины, а иногда и просто обоснованы невежеством. По большей части именно так. Это опыт. И спорить на эту тему лично я не собираюсь. Тут много об этом уже написано и мнения не изменились, нет смысла повторяться. Кто хочет - на здоровье, но не в той теме пожалуйста. Тут был конкретный вопрос и не надо его замыливать. А про ИБ вообще - отдельно давайте.

[+] моё мнение неизменно

Я не вижу смысла создавать отдельную структуру и кормить её, когда вся суть её деятельности сводится к устранению бардака. Проще просто не создавать бардак, это бесплатно.
Как с Виндовсом: сначала тратим ресурсы программистов на создание неимоверного количества функций, из которых конкретному пользователю нужна хорошо если 1/10, а потом привлекаем других программистов для того, чтобы они ломали голову и думали, как пользователю выкинуть оставшиеся 9/10 ненужного функционала. В итоге платим и тем и другим, получаем непомерно тяжёлый и дорогой продукт, который на 9/10 нам просто не нужен. И это только техническая часть. Бред сивой кобылы, участвовать в котором нет никакого желания, тем более за свои кровные и притом немалые. Есть другие способы решить проблему.
А ещё есть без преувеличения упыри, которые способны раздуть воображаемую проблему до космического масштаба и выбить под это дело космические же деньги. Поэтому минимум на половину предприятий таких упырей вообще подпускать нельзя ближе километра, они как клопы и тараканы: один раз пустишь - потом черта с два выведешь.
Красивых слов поменьше, "крупный и отчасти средний промышленный бизнес" - это очень по-газетному, грандиозно и неконкретно. То есть ни о чём, а затрат потребует вполне конкретных и немалых.

Грамотный проект и его последующая реализация избавят от множества проблем, в первую очередь, от ненужного внимания регулятора.

Хорошая фраза для рекламного проспекта. Расскажите это например VADR, или другим кто уже внедрял или оценивал конкретно.

[DUglev]

Да пожалуйста! Раз Вы такой опытливый, то и останетесь при своё мнении. Каждый видит прежде всего со своей колокольни.

[Jackson]

Но вот факт появления характерного трафика может фиксироваться и тогда будет всё равно, что там за софт у тебя на компе:

Сейчас трафик почти весь шифрованный. Это только специализированные промышленные протоколы до сих пор открытые используют.

То есть факт использования, скажем, AnyDesk по трафику не возможно распознать - я правильно Вас понял?