1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Киберзащита АСУ ТП

Модератор: Глоб.модераторы

Ответить

Intacto
здесь недавно
здесь недавно
Сообщения: 7
Зарегистрирован: 25 авг 2017, 17:30
Имя: Денис

Киберзащита АСУ ТП

Сообщение Intacto »

defsergey писал(а):
Я так понимаю что сначала на федеральном уровне будет создай какой то орган, потом на региональном, потом только придёт понимание что относить к объектам критической инфрастуктуры, то есть пока можно расслабиться... Или нет?
Орган уже есть, ему теперь передадут функции и права/обязанности по новому ФЗ.
Но по категорированию будет выпущен подзаконник - Постановление Правительства, в котором будет указаны критерии и методика присвоения категорий. На основании документа категорировать будет само предприятие и передавать соответствующие акты в надзорный орган.
По "придёт понимание что относить к объектам критической инфрастуктуры", боюсь, ничего нового не будет - нужно будет вертеться с теми терминами, что уже введены в ФЗ. Можно будет только додумывать какие-то нюансы исходя из критериев категорирования.
Аватара пользователя

Anton Shipulin
read only
read only
Сообщения: 54
Зарегистрирован: 30 июл 2016, 22:00
Имя: Шипулин Антон Сергеевич
Страна: Россия
город/регион: Москва
Благодарил (а): 6 раз
Поблагодарили: 1 раз

Киберзащита АСУ ТП

Сообщение Anton Shipulin »

В итоге это произошло. Обнаружена кибератака/вредоностное ПО TRITON/TRISIS направленное на последний рубеж защиты систему противоаварийной защиты (Schneider Electric Triconex SIS)

Изображение

Источник 1
Источник 2

Schneider Electric выпустил оповещение
ICS Security Fan • Kaspersky Industrial Cybersecurity Business Development • RUSCADASEC Community Co-founder • Industrial Cybersecurity Center (CCI) Coordinator for Russia
Аватара пользователя

dtv
завсегдатай
завсегдатай
Сообщения: 582
Зарегистрирован: 04 фев 2014, 08:41
Имя: Тарас Валерьевич
Страна: Россия
город/регион: Екатеринбург
Благодарил (а): 78 раз
Поблагодарили: 98 раз

Киберзащита АСУ ТП

Сообщение dtv »

В тему: после 17 лет дружбы «Транснефть» отказывается работать со Schneider Electric
Подробнее: http://www.cnews.ru/news/top/2017-12-14 ... _schneider

В «Транснефти» заявили, что анализ информационной безопасности автоматизированных систем управления технологическими процессами показал наличие серьезных рисков для компании. По этой причине госмонополия больше не будет сотрудничать с поставщиком этого оборудования — Schneider Electric.
Взгляд знатока намного уже кругозора неуча. Ю.Базылев
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП

Сообщение Serex »

С просторов интернета
Такие контроллеры нужны для мониторинга различных процессов на фабриках и предприятиях и для безопасного восстановления или завершения работы оборудования в случае возникновения сбоев или потенциально опасных ситуаций. Как это происходит? Атакующий получает удаленный доступ к рабочим станциям под управлением Windows, отвечающим за работу с системами инструментальной безопасности. Triton маскируется под легитимное ПО для Triconex SIS, предназначенное для рабочих станций. Вредонос задействует проприетарный протокол TriStation. Если на зараженной машине имеются файлы конфигурации SIS, Triton пытается перепрограммировать контроллеры. В итоге вредонос либо останавливает весь производственный процесс, либо вынуждает оборудование работать в небезопасном состоянии, что может нанести физический ущерб оборудованию и работающим с ним людям.
Короче, если инфицировать инженерную станцию/ноутбук, то хана. Но так то это к любой системе применимо. Был бы доступ! Под сименсом наверное много больше всяких злых скриптов, которые можно на инженерной станции запустить.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

Во-во. Кто б ещё ему этот доступ дал.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Anton Shipulin
read only
read only
Сообщения: 54
Зарегистрирован: 30 июл 2016, 22:00
Имя: Шипулин Антон Сергеевич
Страна: Россия
город/регион: Москва
Благодарил (а): 6 раз
Поблагодарили: 1 раз

Киберзащита АСУ ТП

Сообщение Anton Shipulin »

TEB писал(а): Во-во. Кто б ещё ему этот доступ дал.
А ведь находятся те кто дает доступ, примеры:
Изображение
ICS Security Fan • Kaspersky Industrial Cybersecurity Business Development • RUSCADASEC Community Co-founder • Industrial Cybersecurity Center (CCI) Coordinator for Russia
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Киберзащита АСУ ТП

Сообщение VADR »

Anton Shipulin писал(а): А ведь находятся те кто дает доступ, примеры:
Можно поподробнее об этом примере? Где тут инженерная станция и где доступ к ней?

PS: HIMA,конечно, порадовала девятью файрволами в системе :lol:
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

VADR писал(а): HIMA,конечно, порадовала девятью файрволами в системе
"А на этот случай у меня проездной!" (с) Ералаш.
Anton Shipulin писал(а): А ведь находятся те кто дает доступ
Это ж проблема не ИТ, а персонала, которому надо дать по рукам (иной раз и трудовой книжкой) за такие вещи.
А пытаться исправлять софтом кривой хард (как тут писали) - всё не исправишь.
По вопросам работы Форума можно обратиться по этим контактам.

perfect_gentleman
не первый раз у нас
не первый раз у нас
Сообщения: 383
Зарегистрирован: 13 фев 2013, 12:47
Имя: Лавриненко Кирилл Олегович
Страна: Украина
город/регион: Киев
Благодарил (а): 51 раз
Поблагодарили: 22 раза

Киберзащита АСУ ТП

Сообщение perfect_gentleman »

Я, конечно, не ахти какой спец по промышленным сетям и их защите, но каким образом подобные девайсы используются в нефтегазовой промышленности и прочих приятных отраслях (так написано в сфере применения данной технологии)? Оно ж шарашит данные по открытым каналам интернета с помощью стандартных интернет-протоколов по облакам напрямую с контроллера
https://www.phoenixcontact.com/online/p ... tegory=ALL
Тут описание технологии:
https://www.phoenixcontact.com/online/p ... 6df36aaef0
И вообще, какое мнение почтенной публики об Индустрии 4.0 и, как говорят, "диджитализации" производств в свете именно ИБ?
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

perfect_gentleman писал(а): 05 апр 2018, 10:23 каким образом подобные девайсы используются в нефтегазовой промышленности
Можно как подставку для кружки. :)
По вопросам работы Форума можно обратиться по этим контактам.

perfect_gentleman
не первый раз у нас
не первый раз у нас
Сообщения: 383
Зарегистрирован: 13 фев 2013, 12:47
Имя: Лавриненко Кирилл Олегович
Страна: Украина
город/регион: Киев
Благодарил (а): 51 раз
Поблагодарили: 22 раза

Киберзащита АСУ ТП

Сообщение perfect_gentleman »

TEB писал(а): 05 апр 2018, 10:30 Можно как подставку для кружки. :)
Второй вопрос, который по поводу "мнения", уже отпал :crazy0to:
Я соглашусь, что на подвижном составе с определенными допущениями (где не присобачишь выделенных серверов) такие девайсы могут быть применимы, но уж точно не на очистных с хлорированием и не в нефтегазе.
Короче, к "диджитализации", как ее называют (типа ПЛК классический- это не цифровая система), надо относиться очень осторожно.
[+] Не помню, рассказывал или нет
Безобидная штука- надо было дома на освещение поставить WiFi-реле. Китай, чисто бытовое, данные хранит в облаке, ничего доставлять не надо- подключился со смартфона, да и работай. Ан нет!
В какой-то момент в приложении появилось объявление, типа в середине февраля у нас в Китае Новый Год, поэтому в саппорт не обращайтесь, не ответим, но поддержка серверов- в дежурном режиме. И правда- ровно на третий день Нового Года реле прекратило реагировать на команды и выдавать ошибки! Спасибо китайцам хотя бы на том, что собственные настройки оно хранит на устройстве, а не в облаке, и слава Богам, что я догадался их прописать логичные (при подаче питания- включение). А то пришлось бы опять провода перекидывать
Будет "час та натхнення", обязательно поговорю с Фениксами про сей девайс. Есть вероятность, конечно, что там порты как-то работают только в одном направлении, но это, как по мне, ненамного легче. Предоставлять злоумышленнику или конкуренту свою карту техрежима? Чтоб оптимизировать свой или сплести лапти процессу, воздействуя через уязвимости в соседней системе?
Последний раз редактировалось perfect_gentleman 05 апр 2018, 15:27, всего редактировалось 1 раз.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

Я примерно про то и толкую.

Сначала расшариваем данные в интернет, потом боремся за то чтобы их никто не видел. Сначала выложили фотов соцсеть - потом ругаемся что их кто-то присвоил.
Вопрос: зачем их туда выкладывать?
Ответ: чтобы специалисты по кибербезопасности не остались без работы.

То есть со станцией очистки с хлорированием - это ещё и подарок террористам, им даже не придется через забор станции перелезать чтобы отравить всю округу - из дома всё сделают.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП

Сообщение Serex »

Упомяну всеми любимую виндоус, да и просто тенденцию софта к постоянному обновлению по интернету. Желательно отходить от SCADA на базе виндоус. Так как современное железо уже не поддерживает более старые виндоусы, а новые виндоусы очень любят быть онлайн.

Цены на серьезные SCADA продукты с большим количеством точек достаточно велики, так почему бы их сразу не продавать с пром.компьютером на базе какого-то линукса, где все уже предустановлено и настроено от производителя. Так сказать коробочное решение. Я бы например обязательно рассмотрел такие варианты. Плюсы такого решения, что ты не думаешь о том, как бы скрестить программное обеспечение разных производителей и уж тем более не заботишься об обновлениях софта - если что-то не работает - виноват производитель SCADA продукта.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

Win10 без интернета прекрасно может жить. Проблема не в ОС.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП

Сообщение Serex »

TEB писал(а): 05 апр 2018, 22:27 Win10 без интернета прекрасно может жить. Проблема не в ОС.
Можно квадрат катить, а круг переворачивать. Каждый инструмент должен быть к своему месту.

perfect_gentleman
не первый раз у нас
не первый раз у нас
Сообщения: 383
Зарегистрирован: 13 фев 2013, 12:47
Имя: Лавриненко Кирилл Олегович
Страна: Украина
город/регион: Киев
Благодарил (а): 51 раз
Поблагодарили: 22 раза

Киберзащита АСУ ТП

Сообщение perfect_gentleman »

Serex писал(а): 05 апр 2018, 22:14 Цены на серьезные SCADA продукты с большим количеством точек достаточно велики, так почему бы их сразу не продавать с пром.компьютером на базе какого-то линукса, где все уже предустановлено и настроено от производителя
Беда в том, что меньшая уязвимость Линукса связана только с тем, что он менее распространен, соответственно, его меньше ломали. Да и офисные сети все- на Винде, соответственно, злоумышленнику проще искать точку их стыковки с сетями АСУТП и двигаться оттуда, как мне кажется. Опять же, от флэшек не застрахована ни одна ОС. А так, будет задача- будут и Линукс ломать.
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП

Сообщение Serex »

Линукс я упомянул только в том ключе, что это ОС, от которой можно откромсать все лишнее и получиться простая, заточенная под SCADA система с низкими требованиями к железу. С точки зрения безопасности она ни хуже, ни лучше виндоус.

Dotarev
знаток Eplan
знаток Eplan
Сообщения: 260
Зарегистрирован: 12 июн 2014, 06:17
Имя: Мишкин Иван
Страна: Россия
город/регион: Самара
Благодарил (а): 16 раз
Поблагодарили: 71 раз

Киберзащита АСУ ТП

Сообщение Dotarev »

Serex писал(а): 06 апр 2018, 09:49 откромсать все лишнее и получиться простая, заточенная под SCADA система с низкими требованиями к железу
типа Windows Embedded/Windows 10 IoT ?
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

Dotarev писал(а): 06 апр 2018, 11:15 типа Windows Embedded/Windows 10 IoT ?
Ещё компактнее.

Если почитаете выше, то там я предлагал включать в ОС для АСУТП только те службы, которые реально используются на объекте - это и обеспечит безопасность (к АРМу физически будет не подключиться со стороны потому что нечем и некуда). В Win Embedded тоже всего предостаточно, что ни на черта не нужно для работы, но очень пригодится для взлома.

Отправлено спустя 6 минут 52 секунды:
Я изначально придерживаюсь идеи вместо двери с крутым замком и спецназом (которому надо платить) проще иметь глухую стену без проёма вообще - экономим на двери, замке и спецназе с заведомо гарантированным результатом.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Киберзащита АСУ ТП

Сообщение CHANt »

Anton Shipulin писал(а): 15 дек 2017, 02:56 В итоге это произошло. Обнаружена кибератака/вредоностное ПО TRITON/TRISIS направленное на последний рубеж защиты систему противоаварийной защиты (Schneider Electric Triconex SIS)
Прошел большой промежуток времени, все успокоились и спокойно рассмотрели произошедшее событие с "тритоном". Судя по статьям, новостям и прочему складывается следующая картина:
1. Кто-то получил исходный код протокола и описание функций этого протокола у производителя.
2. Этот кто-то провел одну атаку и на этом ограничился.
3. Этот кто-то хорошо финансируется и обеспечивается неограниченными ресурсами.
Верно?
--------------------------------------------------------------------------------------------
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

CHANt писал(а): 02 авг 2018, 13:34Верно?
Откуда ж нам знать, как оно на самом деле. Это один из возможных вариантов. Да и какая нам-то разница?
CHANt писал(а): 02 авг 2018, 13:34 1. Кто-то получил исходный код протокола и описание функций этого протокола у производителя.
Достаточно полного описания протокола включая все сервисные функции - если это не лежит в открытом доступе, то можно втереться в доверие производителю, представившись каким-нибудь интегратором, или сделать это через знакомых у этого интегратора совершенно официально.
CHANt писал(а): 02 авг 2018, 13:34 Этот кто-то хорошо финансируется и обеспечивается неограниченными ресурсами.
Совсем необязательно. Всё это может проделать и 14-летний школьник, который увлечён вопросом и у которого просто чешутся руки.

Абсолютно любой замок можно открыть так или иначе - это вопрос времени и приложенных усилий. Нельзя открыть только тот замок, которого нет физически, особенно если нет и двери которую он мог бы запирать.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Киберзащита АСУ ТП

Сообщение CHANt »

А Вы работали с продукцией Triconex?
Я нет и мне интересно услышать мнение тех к то с ними работал. Слышал что это специфичные контроллеры для систем ПАЗ, и поддерживающие вплоть до мажоритарных систем резервирования себя... Ну т.е. достаточно определенное количество применений этой продукции, все на перечет включая объекты где стоят и не каждому школьнику удастся получить исходные коды проприетарного протокола с описанием функций, саму систему для тренировки и шарахнуть прицельно по объекту на Аравийском полуострове... Как то так. Может я не правильно понимаю, но мне кажется что это тот же случай что и Стукснет. )))
--------------------------------------------------------------------------------------------
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

CHANt писал(а): 02 авг 2018, 17:22 Может я не правильно понимаю, но мне кажется что это тот же случай что и Стукснет. )))
Может. Но правды мы не узнаем, и любая из версий имеет ненулевую вероятность быть достоверной.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Никита
почётный участник форума
почётный участник форума
Сообщения: 3971
Зарегистрирован: 20 янв 2010, 22:23
Имя: Никита
Страна: РФ
город/регион: Мурманск
Благодарил (а): 21 раз
Поблагодарили: 229 раз

Киберзащита АСУ ТП

Сообщение Никита »

CHANt писал(а): 02 авг 2018, 17:22 и не каждому школьнику удастся получить исходные коды проприетарного протокола с описанием функций
Я вот тут слышал историю совсем наоборот - что по сегодняшним законам все исходные коды должны быть раскрыты "кому надо".
А риск что эта инфа оттуда попадет "куда не надо", в т.ч. по примеру различных баз с паспортами, телефонами и т.п., увы, ненулевой.
Опыт - это когда на смену вопросам: "Что? Где? Когда? Как? Почему?" приходит единственный вопрос: "Нахрена? "
Аватара пользователя

dtv
завсегдатай
завсегдатай
Сообщения: 582
Зарегистрирован: 04 фев 2014, 08:41
Имя: Тарас Валерьевич
Страна: Россия
город/регион: Екатеринбург
Благодарил (а): 78 раз
Поблагодарили: 98 раз

Киберзащита АСУ ТП

Сообщение dtv »

Российская компания Positive Technologies создала, по собственному заверению, первую в мире бесплатную систему мониторинга безопасности для автоматизированных систем управления технологическим процессом (АСУ ТП). Она представляет собой свободную для использования версию коммерческого продукта компании — Industrial Security Incident Manager (ISIM), выпущенного на рынок в 2016 г.

Новое бесплатное решение получило название PT ISIM freeView Sensor. Разработчики указывают, что оно предназначено для решения базовых задач мониторинга информбезопасности АСУ ТП — без сложной настройки и специфической экспертизы при использовании. Общее время, необходимое для его скачивания с официального сайта и запуска, измеряется минутами.

PT ISIM freeView Sensor предоставляется в виде виртуальной машины, которая подключается к порту зеркалирования (Mirror, SPAN) коммутатора сети АСУ ТП. Система обрабатывает копию трафика сети АСУ ТП (в том числе протоколов CIP, IEC-104, MMS, Modbus TCP, OPC DA, Profinet DCP, S7, Spabus, ARP, DHCP, DNS, FTP, HTTP, ICMP, SNMP, SSH, Telnet, TFTP), не оказывая влияния на ее компоненты.

Подробнее: http://safe.cnews.ru/news/top/2018-09-1 ... e_reshenie
Взгляд знатока намного уже кругозора неуча. Ю.Базылев
Ответить

Вернуться в «Информационная безопасность»