1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Киберзащита АСУ ТП

Модератор: Глоб.модераторы

Ответить
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Киберзащита АСУ ТП

Сообщение CHANt »

Exactamente писал(а): А я ведь тоже работаю в энергетике, уже скоро как два года (недолго, да).
Мои извинения! ну хоть намекните где, коллега! )))
Exactamente писал(а): Простите, никакой конкретики в интернетах рассказывать не буду, но всё плохо - хотите верьте, хотите нет.
Я не люблю работу обсуждать, тем более организационные дела.)))
Exactamente писал(а): Там тоже чудесато.
Видимо это во всех местах, так как и в наших степях аутсорсингу приходят на обслугу системы на нефтяных месторождениях, да еще и на роквелле, на которые забыли написать программу. Просто взяли и сдали шкафы с контроллерами, армами заказчику, а прикладное по забыли написать..мелочь какая, аутсорсинг же есть, напишет))) Ну а у нас по электростанциям и сетям такого нет пока. Есть перегибы по эл.станциям, так как там Т Плюс, их заставляют одним годом и проектировать и вводить в строй, а вот у нас все удалось удержать - сначала проектные работы, не раньше чем через год строительство. Все получше, и время есть разобраться в деталях.
Exactamente писал(а): Нуок, гусям 61850 надо минимальные пинги, так что на десяток метров кидается оптика (но это как бы нижний уровень исполнительных устройств, он физически должен быть отделён и на самом деле отделён от остальных - и точка), а остальное?
Ээ, Вы тоже сленг уж совсем специфический применяете, вряд ли Михайло на уралвагонз-е требуется МЭК 61850. Хуже того, даже я его не видел вблизи и не увижу еще долго... Надо подстанции сначала довести до современности))) Да и терминалов РЗА у нас кот наплакал))) А вот обеспечить все ПС 110 кВ основными и резервными каналами передачи данных даже 2 мбит/с это технически безумно дорого...какой уж тут МЭК 61850...А тут ИБ еще...
--------------------------------------------------------------------------------------------

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Степа »

Serex писал(а): эти вопросы часто остаются на совести провайдера
И это неправильно.
Ибо задача провайдера - доставить трафик из пункта А в пункт Б, остальное - не его проблема. От провайдера можно ожидать разве что помощи, если внятно описать проблему и предполагаемые меры.
Защита инфраструктуры - проблема интегратора и/или эксплуатационщика /в случае зоопарка/. Поскольку никто лучше их самих не знает, что нужно от сети, а что - не нужно. Какую-то часть ненужного можно попросить убирать провайдера. Но надеяться только на провайдера...
Serex писал(а): Провайдеру это не интересно, на мой взгляд, потому что профит от таких услуг мизерный.
Некоторые предоставляют подобные услуги. Скажем, борьба с DOS иногда может стать коллективной - провайдер помогает абоненту.
Serex писал(а): Но в число атак также входит отключение канала связи.
Если для вас важно наличие гарантированной связи - вам и решать эту проблему: толку-то от того, что связь с провом может быть через одну из десяти БС - резервирование канала связи у прова, если у вас помер модем?
Exactamente писал(а): VPN
И VPN поломать можно...
Все, что один человек сделал, другой завсегда разобрать сможет. (с)
Было бы желание, время и соответствующие знания.
Exactamente писал(а): Чем так принципиально защита ЛВС АСУ ТП отличается от защит любой другой сети?
Разница - в приоритетах: в АСУ ТП важнее скорость доступа, шифрование/аутентификация - не так важны, в обычной сети - наоборот. Разница в количестве типов одновременно "гуляющих" по сети пакетов: в асушной сети "гуляет" пара-тройка протоколов максимум, структура пакетов, как правило, хорошо известна - т.е. сильно облегчена настройка МСЭ. В отличие от обычной сети, где десятки протоколов.
Exactamente писал(а): Почему обычные айтишные сервера админятся удалённо и никто не умер?
А там никто и не умрет. Ну подумаешь, какой-то форум "полежит" часок. Или даже мобильный банк.
Да и убытки больше виртуальные - может были, а может и нет.
А вот в случае системы управления газовой печью - тут даже секунда простоя может стоить вполне реальных человеческих жизней... И убытки вполне себе реальные будут: вчера тут здание было, а сегодня - яма.
TEB писал(а): АСУшникам просто некогда этой х.нёй заниматься
А заниматься - увы - надо. Никуда от этого не деться.
CHANt писал(а): Вы тоже сленг уж совсем специфический применяете
Для современного специалиста сленг вполне понятный, тем более всерьез интересующегося информзащитой в области АСУ ТП: одно из модных направлений. Станки, печки - это скучно, большинству непонятно и неинтересно. То ли дело - ГЭС. Или АЭС.

Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Киберзащита АСУ ТП

Сообщение Alex question »

Anton Shipulin писал(а): на ближайшем мероприятим в Москве, где будет много про безопасность АСУ ТП: День промышленного сектора на InfoSecurity Russia'2016
Не нашел там регистрации для посетителей - только докладчики и участники со стендами.
А так было бы интересно послушать какие продукты предлагают сейчас ведущие компании.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

Степа писал(а): А заниматься - увы - надо. Никуда от этого не деться.
Вы цитируете, вырывая из контекста, переворачивая смысл с ног на голову. Осторожнее.
По вопросам работы Форума можно обратиться по этим контактам.

Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Киберзащита АСУ ТП

Сообщение Alex question »

Степа писал(а): То ли дело - ГЭС. Или АЭС.
Я вообще не понимаю всей этой шумихи на счет безопасности и т.п.
У нас всю жизнь сеть асу тп на станциях была изолирована. Все под паролями которые знала только служба асу станционная. Везде свои права доступа. Все флешки запрещены. Стоит антивирус. Все. Полностью защищенная система. Попробуй взломай извне.

Другое дело что походу начинаются хотелки типа "а давайте наш главный инженер будет параметры из дома смотреть". "А давайте данные будут передаваться напрямую из сети асу тп по инету" и прочая ерунда в том же духе.

Раньше мы как поставщик системы и интегратор отвечали просто: "не вопрос. мы вам систему спроектировали, поставили и наладили. а дальше делайте что хотите под вашу ответственность. накосячите - все логи у нас ведутся. проблем с разбором не будет."

А теперь ответственность за эти хотелки (ну типа чтоб какой нить третий менеджер пятого отдела седьмого управления мог не отвлекаясь от просмотра порнухи в инете периодически посматривать и на параметры работы станции) хотят переложить на поставщиков системы. вроде того что "Мы будем творить что хотим, а вы сделайте так чтоб нам за это ничего не было..."

И устроили по этому поводу целую бурю в стакане.

Особенно смешно про атомные станции. Когда про иб там говорят люди, ни разу не видевшие, что там и как.

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 841 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Alex question писал(а): У нас всю жизнь сеть асу тп на станциях была изолирована. Все под паролями которые знала только служба асу станционная. Везде свои права доступа. Все флешки запрещены. Стоит антивирус.
Как последнее утверждение, про антивирус, соотносится с декларацией о изоляции системы? :ges_hmm:
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Киберзащита АСУ ТП

Сообщение Alex question »

Ryzhij писал(а): Как последнее утверждение, про антивирус, соотносится с декларацией о изоляции системы?
легко. выделенный сервер обновлений, откуда обновления переносились на флешке.
конечно можно дойти до совершенной паранойи типа хакер проникает на серв обновлений, там делает прогу которая копируется на флешку вместе с базами так чтобы никто не заметил, переносится дальше в систему и там что то делает. но у нас же тут не соревнование параноиков.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

Alex question писал(а): Я вообще не понимаю всей этой шумихи на счет безопасности и т.п.
Ещё раз. На ИБ можно заработать. Деньги, репутацию, рынок сбыта. Внесите определённый брандмауер в перечень обязательного ПО для всех АСУ - и продажи этого брандмауэра гарантированы. Теперь понимаете?
По вопросам работы Форума можно обратиться по этим контактам.

Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Киберзащита АСУ ТП

Сообщение Alex question »

TEB писал(а): Ещё раз. На ИБ можно заработать. Деньги, репутацию, рынок сбыта. Внесите определённый брандмауер в перечень обязательного ПО для всех АСУ - и продажи этого брандмауэра гарантированы. Теперь понимаете?
Это я понимаю.
Просто все проблемы что подняты в шумихе иб решаются просто: делается полностью изолированная система со своими принятыми в асу тп разграничениями прав доступа и т.п. А затем если нужно - выделяется отдельный канал, на который (только на этот канал) вешается полный пакет безопасности (всевозможные фильтры, шифрование трафика супер навороченным алгоритмом и т.п.). Защитить нужно только этот канал как потенциальную угрозу.

Но нет. Выходит приказ 31 в котором говорится, что начальные условия - "злоумышленник уже в сети, обладает всеми паролями и полным доступом. А теперь, ребятки, защититесь от такой угрозы."
Аватара пользователя

Anton Shipulin
read only
read only
Сообщения: 54
Зарегистрирован: 30 июл 2016, 22:00
Имя: Шипулин Антон Сергеевич
Страна: Россия
город/регион: Москва
Благодарил (а): 6 раз
Поблагодарили: 1 раз

Киберзащита АСУ ТП

Сообщение Anton Shipulin »

Alex question писал(а):
Anton Shipulin писал(а): на ближайшем мероприятим в Москве, где будет много про безопасность АСУ ТП: День промышленного сектора на InfoSecurity Russia'2016
Не нашел там регистрации для посетителей - только докладчики и участники со стендами.
А так было бы интересно послушать какие продукты предлагают сейчас ведущие компании.
Вот что пишут у нас в приглашении в facebook
Уважаемые коллеги!
20 сентября в рамках Дня промышленного сектора на InfoSecurity Russia'2016 состоится конференция: "Защита информации в промышленности. Целенаправленные атаки- защита промышленных систем и объектов"
Тон конференции зададут представители ФСТЭК России, модератор Андрей Кульпин (ПАО ГМК «Норникель»). Много интересных докладов и опыт коллег помогут сориентироваться в современном мире угроз.
Ваш бейдж будет маркирован названием конференции и обеспечит место в конференц-зале. Можно зарегистрироваться на сайте: http://www.infosecurityrussia.ru
или потратить несколько секунд на заполнение этой анкеты, мы сами интегрируем ее в систему: https://goo.gl/forms/e56W0Rp4ju3cYQ4D3
До встречи!
На остальные комментарии постараюсь ответить в ближайшее время :)
ICS Security Fan • Kaspersky Industrial Cybersecurity Business Development • RUSCADASEC Community Co-founder • Industrial Cybersecurity Center (CCI) Coordinator for Russia

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 841 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Alex question писал(а):
Ryzhij писал(а): Как последнее утверждение, про антивирус, соотносится с декларацией о изоляции системы?
легко. выделенный сервер обновлений, откуда обновления переносились на флешке.
конечно можно дойти до совершенной паранойи типа хакер проникает на серв обновлений, там делает прогу которая копируется на флешку вместе с базами так чтобы никто не заметил, переносится дальше в систему и там что то делает. но у нас же тут не соревнование параноиков.
ИМХО к упомянутому диагнозу ближе установивший антивирус на изолированную систему ;)
Кстати, я регулярно (где-то раз в три года) сталкиваюсь с тем, что тот или иной антивирус конфликтует с элементами ПО АСУТП.
То KAV, то NAV, то DrWeb отличатся своей утончённостью.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Киберзащита АСУ ТП

Сообщение Alex question »

Ryzhij писал(а): ИМХО к упомянутому диагнозу ближе установивший антивирус на изолированную систему ;)
Кстати, я регулярно (где-то раз в три года) сталкиваюсь с тем, что тот или иной антивирус конфликтует с элементами ПО АСУТП.
То KAV, то NAV, то DrWeb отличатся своей утончённостью.
Это стандартное требование, чтоб был антивирус. Да и совсем без него как то неспокойно пусть и система изолирована.
Что касается касперского - уже 9 лет наше по работает с антивирусом. Без проблем. А вообще можно просто в исключения антивируса добавлять по скады и т.п. и не мучаться что очередное обновление что нить напортит.

Кстати именно для этого - проверки совместимости обновлений антивируса с асу тп и делается двухступенчатая установка обновлений. сначала тестируется на внешней машине. а затем обновления переносятся в систему.
Аватара пользователя

Автор темы
Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 13:45
Имя: :.О.N.Ф
Страна: Россия
Благодарил (а): 3 раза
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Exactamente »

Ryzhij писал(а): Просто потому, что это не ОПО, Карл!

Кроме того, я слабо себе представляю бэкап турбокомпрессора водородосодержащего газа или реактора установки каталитического крекинга, а вот восстановление сервера, даже на другом железе - вполне ;)
Exactamente писал(а): Не последствия взлома, а именно технически.
Не принимается. Это уже последствия.
CHANt писал(а): ну хоть намекните где
В Питере.
Степа писал(а): И VPN поломать можно...
Все, что один человек сделал, другой завсегда разобрать сможет. (с)
Было бы желание, время и соответствующие знания.
Вы хотите чтоб в ответ на одну банальность, я сказал другую? "Борьба со взломом состоит не в том, чтобы сделать взлом невозможным, а в том, чтобы сделать его невыгодным".
Степа писал(а): Разница - в приоритетах
То есть технически - никакой, философски - огромная. Тогда почему нельзя обеспечивать всё миллионом существующих техническим средств по контролю траффика? Грамотная маршрутизация, подсети, VLAN'ы, позакрывать левые порты, этц.
Степа писал(а): А там никто и не умрет. Ну подумаешь, какой-то форум "полежит" часок. Или даже мобильный банк.
Или база какая совсем неважная уплывёт к кому не надо, или биржа встанет, или ваш банковский счёт станет таким же со знаком минус, или вы не успеете на тендер подать заявку, или кто-то на опреацию летит, а его билет аннулируют, или , или, или... Вы совсем-совсем не знаете, зачем нужен интернет? Это уже давно не только порно)
Степа писал(а): А вот в случае системы управления газовой печью - тут даже секунда простоя может стоить вполне реальных человеческих жизней...
Ну не надо передёргивать. ПЛК никто не увозит на соседний материк. Он так и останется подключенным через параллельный порт на скорости 9600 кбод и обновлением регистров раз в 5 секунд ;)
Alex question писал(а): Другое дело что походу начинаются хотелки типа "а давайте наш главный инженер будет параметры из дома смотреть". "А давайте данные будут передаваться напрямую из сети асу тп по инету" и прочая ерунда в том же духе.
Вообще, я так мысленно для себя могу даже оправдать это. Чисто с точки зрения движения в технологическую сингулярность, дело должно двигаться к тому, чтобы системы были как можно более связанными (не в смысле зависящими друг от друга, а в смысле достпными для обмена информацией). Смасштабируйте какую-нибудь РСУ до размеров страны. Терминалы РЗА, например, на ПС между собой болтают. Следующий крупный шаг - обеспечить то же между самими ПС, ЭС. Где-то излишки энергии, где-то недостаток - автоматически распределение и выработка подстраиваются оптимальным образом. Это же прекрасно, но пока недостижимо.
Последний раз редактировалось Exactamente 11 сен 2016, 23:40, всего редактировалось 2 раза.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

Alex question писал(а): Это я понимаю.
Просто все проблемы что подняты в шумихе иб решаются просто:
Ну не все, но многие, и не на всех объектах, но опять же на многих.
Alex question писал(а): Но нет. Выходит приказ 31
Всё верно. Но ведь простое Ваше решение никому не принесет денег. К тому же Вы понимаете всю простоту решений, а человек в правлении например ГазПрома - нет. А поставки "специализированных" ОС, СКАД и брандмауэров - это вполне конкретный доход не менее конкретных людей. Осталось придумать какую-нибудь апокалиптическую картинку пострашнее (достаточно старинного фильма "хакеры") и подробно её разъяснить человеку в правлении - и дело пойдёт. Вот оно и пошло уже потихоньку, пока мы тут обсуждаем.

Причём все стороны этой шумихи, включая и авторов 31 приказа, и тех кто его подписывал, преследуют благие цели, но средства они предписывают применять те, о которых им доложили, а Вы ведь им не докладывали, верно? "И тот кто первый доползёт - тот и расскажет кто был прав...."
По вопросам работы Форума можно обратиться по этим контактам.

Romcheg
SCADA+
SCADA+
Сообщения: 597
Зарегистрирован: 05 ноя 2009, 11:18
Имя: Бузинов Роман Анатольевич
Страна: Россия
город/регион: Москва
Благодарил (а): 8 раз
Поблагодарили: 36 раз

Киберзащита АСУ ТП

Сообщение Romcheg »

Как в известной старой комедии: - у вас на производстве несчастные случаи бывали? - нет. - будут...
Они уже взялись за эту тему и она пахнет добычей и несметными прибылями, расслабьтесь.
Как сказал один сатирик: бесполезно спорить о вкусе устриц с теми, кто их ел...
Вы никогда не добьетесь вразумительного ответа от специалистов тих самых "устриц", они на них делают деньги и свой бизнес, все остальное очень сильно вторично. Нам, как непосредственным участникам рынка, придется либо молча наблюдать как в нашу деятельность приходят их решения, которые вовсе не тянут на адекватность. Либо стать чудаками, которые идут против системы. Кстати, Касперский упорно не желает видеть в своих рядах подразделения кибербезопасности систем АСУ ТП специалистов именно АСУ ТП, мой недавний опыт общения на эту тему по поводу их вакансии в это подразделение тому пример: ребятам нужен больше программист и ИТ-специалист,для разработки конкретных решений, нежели специалист от отрасли, который может составить им грамотный роад-мэп этого направления именно для этой отрасли. Зачем думать, надо прыгать...
SCADA+
Аватара пользователя

Anton Shipulin
read only
read only
Сообщения: 54
Зарегистрирован: 30 июл 2016, 22:00
Имя: Шипулин Антон Сергеевич
Страна: Россия
город/регион: Москва
Благодарил (а): 6 раз
Поблагодарили: 1 раз

Киберзащита АСУ ТП

Сообщение Anton Shipulin »

Romcheg писал(а):...Кстати, Касперский упорно не желает видеть в своих рядах подразделения кибербезопасности систем АСУ ТП специалистов именно АСУ ТП, мой недавний опыт общения на эту тему по поводу их вакансии в это подразделение тому пример: ребятам нужен больше программист и ИТ-специалист,для разработки конкретных решений, нежели специалист от отрасли, который может составить им грамотный роад-мэп этого направления именно для этой отрасли. Зачем думать, надо прыгать...
Это не так
Вот пример вакансии где явно написано что требуется специалист "именно АСУ ТП"
https://serpukhov.hh.ru/vacancy/17722731
...
- Опыт программирования оборудования электроэнергетики (РЗА, RTU) и АСУТП (ПЛК).

- Опыт реализации промышленных сетевых и коммуникационных протоколов (Modbus, OPC, DNP3, IEC61850, IEC-104 и т.д.), понимание принципов и специфики их работы.

- Опыт работы с промышленными контроллерами, РЗА, RTU и SCADA, понимание отличительных особенностей представленных на текущий момент решений
...
И такие специалисты в Лаборатории Касперского есть, и они принимают участие в разработке и внедрении решений с полным знанимем предметной области.
ICS Security Fan • Kaspersky Industrial Cybersecurity Business Development • RUSCADASEC Community Co-founder • Industrial Cybersecurity Center (CCI) Coordinator for Russia
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

Anton Shipulin писал(а): Вот пример вакансии где явно написано что требуется специалист "именно АСУ ТП"
Одно дело написано, другое дело по факту. Роман не стал бы такие вещи говорить на пустом месте или исходя из собственных догадок.
"Давно здесь сидим" (с)
Есть подозрения что Вы не тех людей можете считать специалистами в АСУТП. Впрочем, мы их не видели.

Отправлено спустя 2 минуты 21 секунду:
Romcheg писал(а): Вы никогда не добьетесь вразумительного ответа от специалистов тих самых "устриц", они на них делают деньги и свой бизнес, все остальное очень сильно вторично.
Порой отсутствие ответов лучше каких-нибудь бредовых ответов.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

den_vish
освоился
освоился
Сообщения: 233
Зарегистрирован: 11 апр 2013, 13:22
Имя: Вишневский Денис
Благодарил (а): 11 раз
Поблагодарили: 13 раз

Киберзащита АСУ ТП

Сообщение den_vish »

мне вот что интресено, ну ок, накрутили некий протокол безопасности поверх того же модбас, но ведь обработку всех протоколов должно вести железо, так ведь? а значит это затраты на какие то вычислительные мощности, а что бы их компенсировать, то:
а- либо откусить от имеющихся ресурсов железяки,
б - либо что то туда воткнуть,
и как все эти протоколы и модернизации, потом скажутся на работе и цене железки? а совместимость и надежность?
"- Знаешь, дружище, в чем истинный смысл второго закона термодинамики?
Как ни упирайся, а бардака все больше. И чем серьезнее ты упираешься, тем страшнее неразбериха."(с)
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Киберзащита АСУ ТП

Сообщение CHANt »

Коллеги, а у кого есть примеры (или хоть перечень) эксплуатационной ( и/или проектной) документации по ИБ для систем, ну хотя бы класса 3? Интересно было посмотреть, а то наш инженер по ИБ считает что это наша обязанность ее разработать и вести, его задача -контролировать))) Кто бы сомневался...
[+] Текст поправлен
в оригинале было "инженер поиб" :)
Админ.
--------------------------------------------------------------------------------------------

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Степа »

TEB писал(а): Вы цитируете, вырывая из контекста, переворачивая смысл с ног на голову.
Понял так, что вы согласны с мнением "предыдущего докладчика"...
Alex question писал(а): У нас всю жизнь сеть асу тп на станциях была изолирована. Все под паролями которые знала только служба асу станционная. Везде свои права доступа. Все флешки запрещены. Стоит антивирус. Все. Полностью защищенная система. Попробуй взломай извне.
Зачем в таких условиях антивирус?
Alex question писал(а): выделенный сервер обновлений, откуда обновления переносились на флешке
Только антивирус-то все равно лишний: если полезут к вам через эту "калиточку", то уж совершенно точно позаботятся, чтобы используемое ПО никоим образом не возбуждало антивирусы.
Alex question писал(а): Но нет.
Увы и ах. Правильно в свое время сказали Ховард с Лебланом - "исходите из того, что все механизмы защиты уже уничтожены, осталось только ваше ПО" /за точность цитаты не ручаюсь - лень сейчас перелистывать книгу, но суть примерно такая/. МСЭ, VPN и прочие защитные методы создавались людьми и точно так же могут оказаться небезгрешными... Почему бы не создать еще один пояс безопасности? Пусть он будет хлипким, но, говорят, и соломинка может сломать спину верблюду. Что-то грандиозное - это лишнее: на разработку/отладку уйдет слишком много времени, без соответствующих знаний все равно получится плохо. Но какие-то несложные элементы - вполне себе. Например, самоконтроль целостности кода: наличие хоть какого лучше, чем всякое отсутствие. И функция-то несложная...
Какие-то элементы - так вообще должны входить в список обязательных вне зависимости, планируется ли работа устройства в сети. Такие, как тотальный контроль всего, что приходит из неконтролируемой зоны: в модуль, в функцию... Например, простой контроль длины пакета в стеке TCP/IP - всего одна конструкция IF - могла бы сделать невозможной атаку "Ping of Death"... Это просто пример - эту проблему обнаружили и устранили в середине 90-х прошлого века, но проблем, имеющих в своей основе переполнение буфера, с каждым годом не становится меньше.
Exactamente писал(а): "Борьба со взломом состоит не в том, чтобы сделать взлом невозможным, а в том, чтобы сделать его невыгодным".
Кто бы спорил...
Это я просто к тому, что не бывает серебряных пуль. Просто комментарий...
Exactamente писал(а): Тогда почему нельзя обеспечивать всё миллионом существующих техническим средств по контролю траффика?
В среднем так и происходит. Подавляющее большинство решений "ИБ в области АСУ ТП" это либо вариации на те самые миллионы технических средств по контролю трафика /только более продвинутые - скажем, не просто прием-отклонение пакетов только определенных протоколов, но и контроль этих протоколов и отклонение пакетов, не прошедших контроль "на стандартность"/ либо полная ерунда.
Exactamente писал(а): Или база какая совсем неважная уплывёт к кому не надо
Так регулярно уплывают разные базы...
Exactamente писал(а): ПЛК никто не увозит на соседний материк. Он так и останется подключенным через параллельный порт на скорости 9600 кбод и обновлением регистров раз в 5 секунд ;)
Удаленность ПЛК от атакующего роли не играет, была бы возможность удаленно добраться до этого порта. Скорость ни разу не помеха: даже 110 бит/сек не помешает записать порт нечто совершенно непотребное и... Скажем, для остановки ПЛК S7-200 не надо передавать мегабайты, там весь пакет - что-то в районе десятка байт /насколько помнится, для этого даже двусторонний обмен не нужен, достаточно, чтобы до порта добралась нужная последовательность/. Для остановки даже пароль не нужен. Стереть программу - чутка сложнее, но тоже не запредельно /разве что самые современные S7-200 с включенным четвертым уровнем защиты очистить не удастся не зная пароля/.
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП

Сообщение Serex »

Из своей практики.
Пароли это просто беда: повсеместно распространены "123", "444", "321". Как только я ввел пароли чуть по-сложнее. На мой взгляд среднего уровня сложности, так все стали ходить с бумажками и блокнотиками, где эти пароли записаны, а на вход в инженерную станцию, пароль клали под клавиатуру.
Хоть специально учебную тревогу устраивай с импровизированной атакой.

Обновления ПО - это жесткий, сильный головняк. Конкретно про Microsoft - они сделали так, что эти обновления просто не реально отслеживать и контролировать. от 2 до 10 обновлений в день и у всех замысловатые обобщенные названия - "обновление безопасности...", назначение которых нужно искать где то глубоко в библиотеке MSDN. Это же самая большая угроза для работы оборудования. Или как с Windows 10... воображаю картинку: вечером ушел с работы оставив рабочий терминал на Windows 7, а утром у тебя Windows 10 и все стоит....
За два года обслуживания терминалов, мне потребовалось только одно!! обновление для местного времени, в связи с отменой зимнего летнего времени.

С антивирусами и их обновлениями я придерживаюсь аналогичной позиции. Все что просит обновиться - ЗЛО!

Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Киберзащита АСУ ТП

Сообщение Alex question »

Степа писал(а): Только антивирус-то все равно лишний: если полезут к вам через эту "калиточку", то уж совершенно точно позаботятся, чтобы используемое ПО никоим образом не возбуждало антивирусы.
Еще раз. С удовольствием обошлись бы без антивируса (точнее с антивирусом, но с базами на момент установки системы. дальше все - система закрыта), но местные обычно хотят обновлять. Ну ок.

А про полезет через эту калитку:
Alex question писал(а): конечно можно дойти до совершенной паранойи типа хакер проникает на серв обновлений, там делает прогу которая копируется на флешку вместе с базами так чтобы никто не заметил, переносится дальше в систему и там что то делает. но у нас же тут не соревнование параноиков.
Степа писал(а): Почему бы не создать еще один пояс безопасности?
Извиняюсь, а вы приказ 31 читали и требования к системам иб на объекте? Если нет, то о чем вообще разговор, а если да, то зачем писать мягко выражаясь ерунду про еще один пояс безопасности. Это блин не пояс, это железобетонный саркофаг, который поместили в сверхзащищенный бункер, который зарыли на глубину в 500 метров скальных пород, единственный вход в который охраняет пять дивизий элитных войск и по дороге нужно пройти пятнадцать уровней аутентификации включая голос, отпечатки, глаза, тест днк и т.д. и т.п. Это вам так для аналогии чтобы было понятно что там понимается под иб.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

Степа писал(а): Понял так, что вы согласны с мнением "предыдущего докладчика"
Не вполне правильно поняли. Ну да ладно. :ext_dont_ment:

Отправлено спустя 2 минуты 57 секунд:
Alex question писал(а): но местные обычно хотят обновлять
Вот пусть это делает не каждый кому не лень местный, а специально обученный человек под роспись в оперативном журнале.

И потом, зачем держать антивирус в системе постоянно, когда внешние носители втыкаются в неё не постоянно? Почему не проверить внешний носитель на другом ПК при этом, перед тем как пихать в систему?
По вопросам работы Форума можно обратиться по этим контактам.

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Степа »

Serex писал(а): Как только я ввел пароли чуть по-сложнее. На мой взгляд среднего уровня сложности, так все стали ходить с бумажками и блокнотиками, где эти пароли записаны, а на вход в инженерную станцию, пароль клали под клавиатуру.
Это уже классикой стало...
Не надо брать пароли из разряда "Q,n#1*" - их запомнить среднему человеку сложно. Пароль "12-543" сам по себе не то, чтобы сильно проще /если не кричать в мегафон "у нас не используются буквы"/, запоминается намного проще, набирается гораздо быстрее - сложнее подсмотреть. Главное, чтобы принцип формирования пароля был прост, но известен только тем, кому надо и чтобы эти "кому надо" не рассказывали о принципе всем встречным и поперечным.
Скажем, давным-давно в одной конторке был очень простой принцип: брались первые несколько символов из каждого слова из одного из лозунгов, что у них на стене висели и набирались в английской раскладке. И запоминать надо было только лозунг и число символов, думать не надо - лозунги на стене висят, метровыми белыми буквами по красному фону /изначально кто-то из конторки вообще-то поглумиться хотел и при разгроме красного уголка забрал лозунги, бюст Ленина, вымпелы и т.п., но очень быстро сообразили; теперь глум - это для посторонних, а для своих - хранилище паролей/. Пароли иногда были весьма впечатляющей длины, но их никто никогда не записывал.
Alex question писал(а): Извиняюсь, а вы приказ 31 читали и требования к системам иб на объекте?
Читал и регулярно перечитываю. Весьма увлекательно.
Саркофаг нужен просто потому, что обычно больше нихрена нет. От слова "совсем". Оно, знаете, как-то очень неуютно жить, зная что под ногами есть объект, который может просто бумкнуть из-за десятка байтов, пришедших неизвестно откуда. И именно информационной защиты просто нет, останавливать эти байты некому и нечем.
Частенько и технологических блокировок в программе тоже нет - дебилы-"проектировщики" лучше умными словами пожонглируют, чем обтыкают программу проверками: из четырех датчиков должен работать один или ни одного, если почему-то сработали два - остановка процесса /или, если можно, переход на алгоритмы работы при части отказавшего оборудования/, индикация отказа, но нет, у них же "теория рисков" - "а какая вероятность отказа? Я думаю, 0,0001 /как вычислять эту вероятность - много лет ни один дебил внятно рассказать не может/, это не страшно".
Если написано где-то в нормативке "обеспечить двуручное включение" - сделают. Не написано - хоть напополам разорвись, только и будут талдычить "теория рисков", "вероятность"... Вот для таких и писан 31 приказ: не думай /все равно нечем/, делай.

Михайло
эксперт
эксперт
Сообщения: 3643
Зарегистрирован: 10 ноя 2009, 04:58
Имя: Толмачев Михаил Алексеевич
город/регион: г. Чехов, МО
Благодарил (а): 8 раз
Поблагодарили: 286 раз

Киберзащита АСУ ТП

Сообщение Михайло »

Степа писал(а): теория рисков
Чтобы понятнее было остальным, расшифрую: это не теория рисков, а управление рисками, сугубо практика управления рисками. :-P
Ответить

Вернуться в «Информационная безопасность»