Киберзащита АСУ ТП

Сообщение **Intacto** » 04 сен 2017, 14:43

defsergey писал(а):
Я так понимаю что сначала на федеральном уровне будет создай какой то орган, потом на региональном, потом только придёт понимание что относить к объектам критической инфрастуктуры, то есть пока можно расслабиться... Или нет?

Орган уже есть, ему теперь передадут функции и права/обязанности по новому ФЗ.
Но по категорированию будет выпущен подзаконник - Постановление Правительства, в котором будет указаны критерии и методика присвоения категорий. На основании документа категорировать будет само предприятие и передавать соответствующие акты в надзорный орган.
По "придёт понимание что относить к объектам критической инфрастуктуры", боюсь, ничего нового не будет - нужно будет вертеться с теми терминами, что уже введены в ФЗ. Можно будет только додумывать какие-то нюансы исходя из критериев категорирования.

В итоге это произошло. Обнаружена кибератака/вредоностное ПО TRITON/TRISIS направленное на последний рубеж защиты систему противоаварийной защиты (Schneider Electric Triconex SIS)

Источник 1
Источник 2

Schneider Electric выпустил оповещение

Сообщение **dtv** » 15 дек 2017, 06:40

В тему: после 17 лет дружбы «Транснефть» отказывается работать со Schneider Electric
Подробнее: http://www.cnews.ru/news/top/2017-12-14 ... _schneider

В «Транснефти» заявили, что анализ информационной безопасности автоматизированных систем управления технологическими процессами показал наличие серьезных рисков для компании. По этой причине госмонополия больше не будет сотрудничать с поставщиком этого оборудования — Schneider Electric.

Сообщение **Serex** » 27 дек 2017, 10:57

С просторов интернета

Такие контроллеры нужны для мониторинга различных процессов на фабриках и предприятиях и для безопасного восстановления или завершения работы оборудования в случае возникновения сбоев или потенциально опасных ситуаций. Как это происходит? Атакующий получает удаленный доступ к рабочим станциям под управлением Windows, отвечающим за работу с системами инструментальной безопасности. Triton маскируется под легитимное ПО для Triconex SIS, предназначенное для рабочих станций. Вредонос задействует проприетарный протокол TriStation. Если на зараженной машине имеются файлы конфигурации SIS, Triton пытается перепрограммировать контроллеры. В итоге вредонос либо останавливает весь производственный процесс, либо вынуждает оборудование работать в небезопасном состоянии, что может нанести физический ущерб оборудованию и работающим с ним людям.

Короче, если инфицировать инженерную станцию/ноутбук, то хана. Но так то это к любой системе применимо. Был бы доступ! Под сименсом наверное много больше всяких злых скриптов, которые можно на инженерной станции запустить.

Сообщение **Jackson** » 27 дек 2017, 16:42

Во-во. Кто б ещё ему этот доступ дал.

TEB писал(а): Во-во. Кто б ещё ему этот доступ дал.

А ведь находятся те кто дает доступ, примеры:

Сообщение **VADR** » 29 дек 2017, 09:34

Anton Shipulin писал(а): А ведь находятся те кто дает доступ, примеры:

Можно поподробнее об этом примере? Где тут инженерная станция и где доступ к ней?

PS: HIMA,конечно, порадовала девятью файрволами в системе

Сообщение **Jackson** » 29 дек 2017, 09:56

VADR писал(а): HIMA,конечно, порадовала девятью файрволами в системе

"А на этот случай у меня проездной!" (с) Ералаш.

Anton Shipulin писал(а): А ведь находятся те кто дает доступ

Это ж проблема не ИТ, а персонала, которому надо дать по рукам (иной раз и трудовой книжкой) за такие вещи.
А пытаться исправлять софтом кривой хард (как тут писали) - всё не исправишь.

Я, конечно, не ахти какой спец по промышленным сетям и их защите, но каким образом подобные девайсы используются в нефтегазовой промышленности и прочих приятных отраслях (так написано в сфере применения данной технологии)? Оно ж шарашит данные по открытым каналам интернета с помощью стандартных интернет-протоколов по облакам напрямую с контроллера
https://www.phoenixcontact.com/online/p ... tegory=ALL
Тут описание технологии:
https://www.phoenixcontact.com/online/p ... 6df36aaef0
И вообще, какое мнение почтенной публики об Индустрии 4.0 и, как говорят, "диджитализации" производств в свете именно ИБ?

Сообщение **Jackson** » 05 апр 2018, 10:30

perfect_gentleman писал(а): ↑05 апр 2018, 10:23 каким образом подобные девайсы используются в нефтегазовой промышленности

Можно как подставку для кружки. :)

TEB писал(а): ↑05 апр 2018, 10:30 Можно как подставку для кружки. :)

Второй вопрос, который по поводу "мнения", уже отпал

Я соглашусь, что на подвижном составе с определенными допущениями (где не присобачишь выделенных серверов) такие девайсы могут быть применимы, но уж точно не на очистных с хлорированием и не в нефтегазе.
Короче, к "диджитализации", как ее называют (типа ПЛК классический- это не цифровая система), надо относиться очень осторожно.

[+] Не помню, рассказывал или нет: Безобидная штука- надо было дома на освещение поставить WiFi-реле. Китай, чисто бытовое, данные хранит в облаке, ничего доставлять не надо- подключился со смартфона, да и работай. Ан нет!
В какой-то момент в приложении появилось объявление, типа в середине февраля у нас в Китае Новый Год, поэтому в саппорт не обращайтесь, не ответим, но поддержка серверов- в дежурном режиме. И правда- ровно на третий день Нового Года реле прекратило реагировать на команды и выдавать ошибки! Спасибо китайцам хотя бы на том, что собственные настройки оно хранит на устройстве, а не в облаке, и слава Богам, что я догадался их прописать логичные (при подаче питания- включение). А то пришлось бы опять провода перекидывать

Будет "час та натхнення", обязательно поговорю с Фениксами про сей девайс. Есть вероятность, конечно, что там порты как-то работают только в одном направлении, но это, как по мне, ненамного легче. Предоставлять злоумышленнику или конкуренту свою карту техрежима? Чтоб оптимизировать свой или сплести лапти процессу, воздействуя через уязвимости в соседней системе?

Сообщение **Jackson** » 05 апр 2018, 13:56

Я примерно про то и толкую.

Сначала расшариваем данные в интернет, потом боремся за то чтобы их никто не видел. Сначала выложили фотов соцсеть - потом ругаемся что их кто-то присвоил.
Вопрос: зачем их туда выкладывать?
Ответ: чтобы специалисты по кибербезопасности не остались без работы.

То есть со станцией очистки с хлорированием - это ещё и подарок террористам, им даже не придется через забор станции перелезать чтобы отравить всю округу - из дома всё сделают.

Сообщение **Serex** » 05 апр 2018, 22:14

Упомяну всеми любимую виндоус, да и просто тенденцию софта к постоянному обновлению по интернету. Желательно отходить от SCADA на базе виндоус. Так как современное железо уже не поддерживает более старые виндоусы, а новые виндоусы очень любят быть онлайн.

Цены на серьезные SCADA продукты с большим количеством точек достаточно велики, так почему бы их сразу не продавать с пром.компьютером на базе какого-то линукса, где все уже предустановлено и настроено от производителя. Так сказать коробочное решение. Я бы например обязательно рассмотрел такие варианты. Плюсы такого решения, что ты не думаешь о том, как бы скрестить программное обеспечение разных производителей и уж тем более не заботишься об обновлениях софта - если что-то не работает - виноват производитель SCADA продукта.

Сообщение **Jackson** » 05 апр 2018, 22:27

Win10 без интернета прекрасно может жить. Проблема не в ОС.

Сообщение **Serex** » 06 апр 2018, 06:30

TEB писал(а): ↑05 апр 2018, 22:27 Win10 без интернета прекрасно может жить. Проблема не в ОС.

Можно квадрат катить, а круг переворачивать. Каждый инструмент должен быть к своему месту.

Serex писал(а): ↑05 апр 2018, 22:14 Цены на серьезные SCADA продукты с большим количеством точек достаточно велики, так почему бы их сразу не продавать с пром.компьютером на базе какого-то линукса, где все уже предустановлено и настроено от производителя

Беда в том, что меньшая уязвимость Линукса связана только с тем, что он менее распространен, соответственно, его меньше ломали. Да и офисные сети все- на Винде, соответственно, злоумышленнику проще искать точку их стыковки с сетями АСУТП и двигаться оттуда, как мне кажется. Опять же, от флэшек не застрахована ни одна ОС. А так, будет задача- будут и Линукс ломать.

Сообщение **Serex** » 06 апр 2018, 09:49

Линукс я упомянул только в том ключе, что это ОС, от которой можно откромсать все лишнее и получиться простая, заточенная под SCADA система с низкими требованиями к железу. С точки зрения безопасности она ни хуже, ни лучше виндоус.

Сообщение **Dotarev** » 06 апр 2018, 11:15

Serex писал(а): ↑06 апр 2018, 09:49 откромсать все лишнее и получиться простая, заточенная под SCADA система с низкими требованиями к железу

типа Windows Embedded/Windows 10 IoT ?

Сообщение **Jackson** » 06 апр 2018, 12:35

Dotarev писал(а): ↑06 апр 2018, 11:15 типа Windows Embedded/Windows 10 IoT ?

Ещё компактнее.

Если почитаете выше, то там я предлагал включать в ОС для АСУТП только те службы, которые реально используются на объекте - это и обеспечит безопасность (к АРМу физически будет не подключиться со стороны потому что нечем и некуда). В Win Embedded тоже всего предостаточно, что ни на черта не нужно для работы, но очень пригодится для взлома.

Отправлено спустя 6 минут 52 секунды:
Я изначально придерживаюсь идеи вместо двери с крутым замком и спецназом (которому надо платить) проще иметь глухую стену без проёма вообще - экономим на двери, замке и спецназе с заведомо гарантированным результатом.

Сообщение **CHANt** » 02 авг 2018, 13:34

Anton Shipulin писал(а): ↑15 дек 2017, 02:56 В итоге это произошло. Обнаружена кибератака/вредоностное ПО TRITON/TRISIS направленное на последний рубеж защиты систему противоаварийной защиты (Schneider Electric Triconex SIS)

Прошел большой промежуток времени, все успокоились и спокойно рассмотрели произошедшее событие с "тритоном". Судя по статьям, новостям и прочему складывается следующая картина:
1. Кто-то получил исходный код протокола и описание функций этого протокола у производителя.
2. Этот кто-то провел одну атаку и на этом ограничился.
3. Этот кто-то хорошо финансируется и обеспечивается неограниченными ресурсами.
Верно?

Сообщение **Jackson** » 02 авг 2018, 15:52

CHANt писал(а): ↑02 авг 2018, 13:34Верно?

Откуда ж нам знать, как оно на самом деле. Это один из возможных вариантов. Да и какая нам-то разница?

CHANt писал(а): ↑02 авг 2018, 13:34 1. Кто-то получил исходный код протокола и описание функций этого протокола у производителя.

Достаточно полного описания протокола включая все сервисные функции - если это не лежит в открытом доступе, то можно втереться в доверие производителю, представившись каким-нибудь интегратором, или сделать это через знакомых у этого интегратора совершенно официально.

CHANt писал(а): ↑02 авг 2018, 13:34 Этот кто-то хорошо финансируется и обеспечивается неограниченными ресурсами.

Совсем необязательно. Всё это может проделать и 14-летний школьник, который увлечён вопросом и у которого просто чешутся руки.

Абсолютно любой замок можно открыть так или иначе - это вопрос времени и приложенных усилий. Нельзя открыть только тот замок, которого нет физически, особенно если нет и двери которую он мог бы запирать.

Сообщение **CHANt** » 02 авг 2018, 17:22

А Вы работали с продукцией Triconex?
Я нет и мне интересно услышать мнение тех к то с ними работал. Слышал что это специфичные контроллеры для систем ПАЗ, и поддерживающие вплоть до мажоритарных систем резервирования себя... Ну т.е. достаточно определенное количество применений этой продукции, все на перечет включая объекты где стоят и не каждому школьнику удастся получить исходные коды проприетарного протокола с описанием функций, саму систему для тренировки и шарахнуть прицельно по объекту на Аравийском полуострове... Как то так. Может я не правильно понимаю, но мне кажется что это тот же случай что и Стукснет. )))

Сообщение **Jackson** » 02 авг 2018, 17:42

CHANt писал(а): ↑02 авг 2018, 17:22 Может я не правильно понимаю, но мне кажется что это тот же случай что и Стукснет. )))

Может. Но правды мы не узнаем, и любая из версий имеет ненулевую вероятность быть достоверной.

CHANt писал(а): ↑02 авг 2018, 17:22 и не каждому школьнику удастся получить исходные коды проприетарного протокола с описанием функций

Я вот тут слышал историю совсем наоборот - что по сегодняшним законам все исходные коды должны быть раскрыты "кому надо".
А риск что эта инфа оттуда попадет "куда не надо", в т.ч. по примеру различных баз с паспортами, телефонами и т.п., увы, ненулевой.

Сообщение **dtv** » 11 сен 2018, 08:12

Российская компания Positive Technologies создала, по собственному заверению, первую в мире бесплатную систему мониторинга безопасности для автоматизированных систем управления технологическим процессом (АСУ ТП). Она представляет собой свободную для использования версию коммерческого продукта компании — Industrial Security Incident Manager (ISIM), выпущенного на рынок в 2016 г.

Новое бесплатное решение получило название PT ISIM freeView Sensor. Разработчики указывают, что оно предназначено для решения базовых задач мониторинга информбезопасности АСУ ТП — без сложной настройки и специфической экспертизы при использовании. Общее время, необходимое для его скачивания с официального сайта и запуска, измеряется минутами.

PT ISIM freeView Sensor предоставляется в виде виртуальной машины, которая подключается к порту зеркалирования (Mirror, SPAN) коммутатора сети АСУ ТП. Система обрабатывает копию трафика сети АСУ ТП (в том числе протоколов CIP, IEC-104, MMS, Modbus TCP, OPC DA, Profinet DCP, S7, Spabus, ARP, DHCP, DNS, FTP, HTTP, ICMP, SNMP, SSH, Telnet, TFTP), не оказывая влияния на ее компоненты.

Подробнее: http://safe.cnews.ru/news/top/2018-09-1 ... e_reshenie