Киберзащита АСУ ТП

Сообщение **Jackson** » 11 сен 2018, 09:41

Там пишут:

Главным конкурентом Positive Technologies в этом сегменте на российском рынке считается «Лаборатория Касперского».
Подробнее: http://safe.cnews.ru/news/top/2018-09-1 ... e_reshenie

А у Каспера что за продукт есть аналогичный?

Сообщение **winb** » 11 сен 2018, 13:05

TEB писал(а): ↑11 сен 2018, 09:41 Там пишут:
Главным конкурентом Positive Technologies в этом сегменте на российском рынке считается «Лаборатория Касперского».
Подробнее: http://safe.cnews.ru/news/top/2018-09-1 ... e_reshenie
А у Каспера что за продукт есть аналогичный?

Может быть - этот: https://ics.kaspersky.ru/

Сообщение **Jackson** » 11 сен 2018, 13:51

winb писал(а): ↑11 сен 2018, 13:05 Может быть - этот: https://ics.kaspersky.ru/

Может быть, но у Каспера на сайте всё очень красиво и непонятно. :)

Зато в анонсе будущей конференции 19 сентября в списке докладчиков встретил интересную личность:

Стефан Герлинг
Евангелист по безопасности и специалист по ретроспективному анализу, ROSEN Technology and Research Center GmbH, Германия

Евангелие по безопасности где-то существует? Я не нашел.

Сообщение **Ryzhij** » 11 сен 2018, 15:29

"Евангелие" буквально значит "благая весть".
В религиозном контексте это замечательная новость для людей о дарованном Богом спасении от наказания за грех.
В контексте маркетинга это, видимо, некая замечательная новость о возможности получить безопасность.
По благодати? - Вряд ли... Думаю, за вполне приличные деньги.
Гарантированно? - Тоже не думаю. Судя по содержанию предыдущих межсобойчиков, проповедники этого IT-ковчега сами мало разбираются в реалиях АСУ ТП.
Так для кого эта новость будет хорошей? Очевидно, для самих же маркетологов

Сообщение **Serex** » 14 сен 2018, 06:39

PT ISIM freeView Sensor предоставляется в виде виртуальной машины, которая подключается к порту зеркалирования (Mirror, SPAN) коммутатора сети АСУ ТП.

Не буду делать умный вид - это о чем речь? А если коммутатор простой неуправляемый на 5 портов, то это диковину тоже туда можно подключить?

Сообщение **winb** » 14 сен 2018, 08:30

Serex писал(а): ↑14 сен 2018, 06:39
PT ISIM freeView Sensor предоставляется в виде виртуальной машины, которая подключается к порту зеркалирования (Mirror, SPAN) коммутатора сети АСУ ТП.
Не буду делать умный вид - это о чем речь? А если коммутатор простой неуправляемый на 5 портов, то это диковину тоже туда можно подключить?

Если сеть развитая, не ограничивается полевым уровнем, то без управляемых коммутаторов не обойтись, увы. А в полевой уровень, по хорошему, доступа быть не должно.

Сообщение **Ryzhij** » 14 сен 2018, 09:02

winb писал(а): ↑14 сен 2018, 08:30 А в полевой уровень, по хорошему, доступа быть не должно.

По-хорошему, на полевом уровне должна быть уже другая сеть.
Элементарные требования отказоустойчивости и живучести диктуют это задолго до требований IT-безопасности.

Сообщение **VADR** » 14 сен 2018, 10:16

Serex писал(а): ↑14 сен 2018, 06:39 Не буду делать умный вид - это о чем речь? А если коммутатор простой неуправляемый на 5 портов, то это диковину тоже туда можно подключить?

Тогда нужны "тапки" - специальные устройства, включаемые в разрыв сетевых кабелей и зеркалящие трафик на дополнительный порт. Как ими пользоваться - фиг знает. Можно ли эти доппорты собрать на дополнительный свитч и с него гнать трафик на этот сервер - без понятия. Что будет, если эта хрень сломается и начнёт гнать трафик не в нужную сторону (т.е. запихает в одну из анализируемых линий трафик с другой) - тоже без понятия. У Сименса для этого дела есть устройство TAP104. Живьём не видел.

Сообщение **Jackson** » 14 сен 2018, 12:24

Ryzhij писал(а): ↑14 сен 2018, 09:02
winb писал(а): ↑14 сен 2018, 08:30 А в полевой уровень, по хорошему, доступа быть не должно.
По-хорошему, на полевом уровне должна быть уже другая сеть.
Элементарные требования отказоустойчивости и живучести диктуют это задолго до требований IT-безопасности.

Только киберспециалисты об этом, вероятно, не знают.

Сообщение **Looker** » 14 сен 2018, 17:25

TEB писал(а): ↑14 сен 2018, 12:24Только киберспециалисты об этом, вероятно, не знают.

Зато хорошо знают про "модную тему" и делают вид, что готовы решить все проблемы.
В конечном итоге получается, как говорил мой шеф из 80-х: "Собственное любопытство нужно удовлетворять за чужой счет."

Сообщение **Serex** » 16 сен 2018, 00:09

VADR писал(а): ↑14 сен 2018, 10:16 Тогда нужны "тапки" - специальные устройства, включаемые в разрыв сетевых кабелей и зеркалящие трафик на дополнительный порт.

Вот раньше были хабы. Они все пакеты на каждый порт дублировали и если устройство сделать так, чтобы оно каждый пакет фиксировало, независимо от мак-адреса получателя, то можно слушать все, что происходит в сети. А сейчас свитчи, они посылают пакет в ту сторону куда надо, а куда не надо пакет не полетит. Т.е. в разрыве кабеля можно увидеть не всю сеть, а только те пакеты, которые должны по этому кабелю летать. Но тогда зеркалить то можно и на самом компьютере, как правило все на СКАДУ слетается. И это уже будет не зеркалить а "сниферить". Только смысл этого действия? Поставить файрволл и пускать строго нужные пакеты с предопределенных адресов на нужные программы.
Ок, сошли мы с ума и хотим дорогущий свитч на дин-рейку, чтобы мониторить порты. У Сименса на Scalance-Х есть что-то такое?

Сообщение **VADR** » 16 сен 2018, 16:34

Serex писал(а): ↑16 сен 2018, 00:09 Вот раньше были хабы. Они все пакеты на каждый порт дублировали

Что приводило к коллизиям в сети и куче проблем из-за них

Serex писал(а): ↑16 сен 2018, 00:09 Но тогда зеркалить то можно и на самом компьютере, как правило все на СКАДУ слетается. И это уже будет не зеркалить а "сниферить". Только смысл этого действия? Поставить файрволл и пускать строго нужные пакеты с предопределенных адресов на нужные программы.

"Как правило" - тут не пойдёт. Хакерские атаки делаются не "как правило", а "как исключение". Все простые варианты отработаны уже давно. А смысл - примерно такой:
1. Не все свитчи умеют зеркалить траффик. Более того, из свитчей, поддерживающих IRT, по-нормальному ни один не зеркалит. Не их эта функция. И поменять свитч на работающей установке - зачастую не вариант. А эти вот тапки работают по сути на физическом уровне. Сигнал, приходящий с одного конца, через опторазвязку отправляется на другой (функциям IRT это не мешает), одновременно отправляясь на зеркальный порт. Есть там, наверное, ещё какой-то буфер, а может быть и нет.
2. Не всегда функции мониторинга нужны для ИБ, могут быть и другие задачи. В том числе - такие, для которых постоянное зеркалирование не нужно. Вставил в сеть, помониторил час/сутки/неделю, получил результат и убрал.

Serex писал(а): ↑16 сен 2018, 00:09 Ок, сошли мы с ума и хотим дорогущий свитч на дин-рейку, чтобы мониторить порты. У Сименса на Scalance-Х есть что-то такое?

Не помню точно, вроде бы 200-я серия умеет зеркалить "порт в порт", т.е. только один из портов можно повторить на зеркальном. 300-я может зеркалить всё в один порт. То ли 400-я, то ли 500-я - могут зеркалить не в порт, а в VLAN (как Cisco с их remote span), но это уже не те серии, которые используются внутри систем - это скорее на границе своей и чужой сетей. Я так думаю.

25 декабря CoLaboratory: Industrial Cybersecurity Meetup #5
Регистрируйтесь и приходите илb смотрите на youtube

https://careers.kaspersky.ru/events/ruscadasec/

Сообщение **LaraCroft** » 02 янв 2019, 21:22

Стратегический подход к нефтегазовой кибербезопасности

Я вижу Лабараторий Касперского серьезно нацелена на то чтобы отдеребанить денюжку у ГазПрома
У них безопасностью кто занимается? Не Касперский ли случаем?

Kaspersky Industrial CyberSecurity

На сайте у них действительно все красиво, но ничего не понятно, даже о стоимости продукта невозможно узнать

Сообщение **Jackson** » 25 авг 2020, 11:06

В Москве арестован глава Агентства кибербезопасности

https://www.bfm.ru/news/451579

В Москве по решению Пресненского суда арестован руководитель Агентства кибербезопасности, член экспертного совета Госдумы по информационной политике, информационным технологиям и связи Евгений Лифшиц. Его обвиняют в попытке особо крупного мошенничества, сообщает «Интерфакс».

Сообщение **Valerich** » 04 сен 2020, 10:18

Статья на Хабре:

Shodan — темный близнец Google

Каналы стали гигабитными, появились инструменты вроде ZMap, позволяющие просканировать весь массив IPv4 адресов за несколько минут. И все равно до сих пор немало людей, которые искренне уверены, что если никому не говорить о поднятом сервисе, то можно не заморачиваться с его защитой.
К сожалению, очень быстро к вам придут вначале автоматические боты, а потом и живые люди, если нащупается что-то интересное.

Все сильно изменилось, когда появился Shodan. Ну ладно, на самом деле все осталось таким же дырявым, но хотя бы появилась возможность оценить масштабы конкретного бедствия и попытаться достучаться до вендора для закрытия уязвимости. Shodan, по сути, это некий гибрид nmap -sV по всему диапазону IPv4 и поисковика результатов. Краулеры скурпулезно сканируют весь Интернет, пробуют подключиться к открытым портами и по fingerprint определяют сервис, который находится за этими портами.

А вот так выглядит куда более необычный промышленный контроллер Siemens S7.

Copyright: Original Siemens Equipment
PLC name: S7_Turbine
Module type: CPU 313C
Unknown (129): Boot Loader A
Module: 6ES7 313-5BG04-0AB0 v.0.3
Basic Firmware: v.3.3.8
Module name: CPU 313C
Serial number of module: S Q-D9U083642013
Plant identification:
Basic Hardware: 6ES7 313-5BG04-0AB0 v.0.3

Вот на этом этапе уже становится немного страшновато от того, какие устройства могут торчать в интернет и попадать в результаты поиска. С другой стороны, security through obscurity еще никому не помогало.

На самом деле списки доступного просто безграничны. Можно и панели управления ветряными турбинами найти и чьи-то медиа-центры на вьетнамском, торчащие в интернет. Придерживайтесь сами нескольких базовых правил и все будет хорошо.

Если устройство может работать в оффлайне — не выставляйте его в Интернет
Если очень надо выставить устройство в Интернет, не надо пробрасывать к нему доступ напрямую. Используйте VPN для подключения к своей сети
Если уж нужен публичный доступ — закрывайте панели управления паролями
Не забывайте своевременно обновлять устройства и закрывать уязвимости
Помните, что даже холодильник или телевизор может быть ключевым звеном в атаке на вашу сеть и устройства.

Сообщение **CHANt** » 04 сен 2020, 10:59

and909, очередные оракулы пугают электростанции роботами пылесосами, холодильниками и телевизорами?

Сообщение **Jackson** » 04 сен 2020, 11:00

Хакеры и компьютерная безопасность связаны между собой также, как компьютерные вирусы и авторы антивирусов. :)

Проблема того и другого решается одинаково просто без участия вторых абсолютно элементарнейшим методом - путём НЕсоздания проблем, которые надо будет решать в будущем.

"Пока живут на свете дураки, обманом жить нам, стало быть, с руки" (с) классика

Сообщение **Valerich** » 04 сен 2020, 12:04

CHANt писал(а): ↑04 сен 2020, 10:59 and909, очередные оракулы пугают электростанции роботами пылесосами, холодильниками и телевизорами?

Статья про сканер интернета, его применение и что им можно наловить.
В улове попадается в том числе и АСУТПшное оборудование.

Можете и сами попробовать: https://ics-radar.shodan.io/

Сообщение **CHANt** » 04 сен 2020, 12:51

and909 писал(а): ↑04 сен 2020, 12:04 В улове попадается в том числе и АСУТПшное оборудование.

Поражаюсь, сколько времени у бездельников на работе!
Мы тут, в рамках навязанного комплексного проекта иб, протестили с проектантами 6 производителей МСЭ, на скромной тестовой модели технологического сегмента лвс в электроэнергетике...Масса тараканов у фортигейта,чекпойнта, континента, юзергейта, випнета, елтекса. Система IPS от фортигейта задерживала мою телемеханику (50 тестовых параметров) до 30 секунд. У остальных это отдельные железки, сложно проверить, и не хочется. QOS нормально не работает ни у кого. А мне нужно чтобы телемеханика в приоритете передавалась, даже в трафике АСУТП... А времени на настройку сколько уходит! Неделя на два МСЭ, и это у спецов с помощью производителя...А оракулы вещают))) Пздц нам придет из сетей...

Сообщение **Jackson** » 05 сен 2020, 11:44

CHANt писал(а): ↑04 сен 2020, 12:51 А оракулы вещают))) Пздц нам придет из сетей...

Ну как.... Если оракулам от вас не придёт на счёт, то вам от них прилетит из сетей. Они могут и не врать, кстати, на этот счёт.

Отправлено спустя 5 минут 9 секунд:

CHANt писал(а): ↑04 сен 2020, 12:51 Поражаюсь, сколько времени у бездельников на работе!

Смотрите глубже. Нужно поражаться, сколько на самом деле денег у контор, из которых они оплачивают это безделье и не стесняются этого - наоборот хвастаются. А когда кто-то хвастается фактически деньгами - это называется "роскошь". Так-то.

Сообщение **CHANt** » 05 сен 2020, 18:40

Jackson писал(а): ↑05 сен 2020, 11:49 Ну как.... Если оракулам от вас не придёт на счёт, то вам от них прилетит из сетей. Они могут и не врать, кстати, на этот счёт.

Ох, тут все хуже ))) У нас они сами обслуживать это собираются.

Сообщение **VADR** » 05 сен 2020, 22:32

CHANt писал(а): ↑05 сен 2020, 18:40 Ох, тут все хуже ))) У нас они сами обслуживать это собираются.

У нас планировали не просто сами, а отдать на субподряд и удалённо :).

Сообщение **CHANt** » 06 сен 2020, 11:47

VADR писал(а): ↑05 сен 2020, 22:32 У нас планировали не просто сами, а отдать на субподряд и удалённо :)

По нашему проекту, либо мы структуру свою заводим, отдельно от безопасников и айтишников, либо на аутсосрсинг.))) Есс-но что выбран вариант аутсорсинга. Даже не сомневаюсь, что теперь они спасать будут нас каждый день и не один раз)))
Что-то хочется уже инженером рядовым куда нибудь свалить и не знать, и не видеть всего этого

Сообщение **Jackson** » 06 сен 2020, 22:54

CHANt писал(а): ↑06 сен 2020, 11:47 Даже не сомневаюсь, что теперь они спасать будут нас каждый день и не один раз

Расскажите потом, как оно на самом деле.