AL
Size: a a a
2020 June 20
AL
Если под СОВ понимать NTA/NDR, тогда да, внутри сети. Но далеко не все промышленные свитчи поддерживают flow и не все АСУТПшники готовы их включать, чтобы не просадить производительность сетевой железки
AC
Alexey Lukatsky
Да, но нет. СОВ внутри вообще мало кто ставит, если под "внутри" мы понимаем коммутируемую сеть. СОВ ставят также на границах, так как ставить СОВы на каждое соединение денег не хватит, на транк - многое не видно, на SPAN/RSPAN/ERSPAN - не все свитчи это поддерживают и будет бутылочное горлышко
Минутку. IDS действительно ставится внутри на "главном" коммутаторе. Вопрос стоит об уставноки в разыв (IPS ? ) - если её ставить туда же, "внутрь", то это рискованная затея, по моему мнению. Если ставить на границе, там же где фаервол - ещё более-менее, если АСУ ТП сама способна разобраться в текущих делах без АРМ
L
Минутку. IDS действительно ставится внутри на "главном" коммутаторе. Вопрос стоит об уставноки в разыв (IPS ? ) - если её ставить туда же, "внутрь", то это рискованная затея, по моему мнению. Если ставить на границе, там же где фаервол - ещё более-менее, если АСУ ТП сама способна разобраться в текущих делах без АРМ
На самом деле стоит признать, что общих рекомендаций совсем для всех не будет. В конце концов далеко не все системы управления вертикально ориентированы, как традиционно в промышленности. Например, в транспортной отрасли много горизонтальных связей и по сути разные зоны находятся формально "внутри" одной большой АСУ.
AI
В разрыв сами не боятся ставить?
Для этого пришлось провести несколько этапов испытаний, у себя в лабе, у заказчика в лабе, на двух ПС, у производителя системы, снова у заказчика в лабе, чтобы допуститься и уже на двух ПС. В процессе заказчик переделал сеть, а производитель тм - допилил ОИК и прошивки УСПД. А один именитый вендор ИБ с мега-крутым DPI 104 протокола ушёл допиливать.. сейчас они, вроде бы, по итогам совсем новый продукт выпускают.
AI
Alexey Lukatsky
Ну это вопрос философский. МСЭ же они не боятся ставить 😊 Суть та же. Только в одном случае ИБшники думают, что они знают офисные протоколы и поэтому уверены в том, что знают, что блокировать, а что нет. А в другом случае ИБшники думают, что они НЕ знают промышленные протоколы. Но их же и узнать можно - всегда полезно знать, как работает бизнес, который ты защищаешь
Именно. В Соларе был лозунг - пропускаем то, что понимаем. ))
L
Для этого пришлось провести несколько этапов испытаний, у себя в лабе, у заказчика в лабе, на двух ПС, у производителя системы, снова у заказчика в лабе, чтобы допуститься и уже на двух ПС. В процессе заказчик переделал сеть, а производитель тм - допилил ОИК и прошивки УСПД. А один именитый вендор ИБ с мега-крутым DPI 104 протокола ушёл допиливать.. сейчас они, вроде бы, по итогам совсем новый продукт выпускают.
Ну и это нормальный процесс.
AI
Минутку. IDS действительно ставится внутри на "главном" коммутаторе. Вопрос стоит об уставноки в разыв (IPS ? ) - если её ставить туда же, "внутрь", то это рискованная затея, по моему мнению. Если ставить на границе, там же где фаервол - ещё более-менее, если АСУ ТП сама способна разобраться в текущих делах без АРМ
Если АСУ ТП сегментировать, то мест, где можно применять технологию, становится больше.
AI
На самом деле стоит признать, что общих рекомендаций совсем для всех не будет. В конце концов далеко не все системы управления вертикально ориентированы, как традиционно в промышленности. Например, в транспортной отрасли много горизонтальных связей и по сути разные зоны находятся формально "внутри" одной большой АСУ.
Безусловно, эта часть только для ТМ внедрялась.
L
И еще про использование IPS на границе - на мой взгляд вообще must have во многих случаях. Внутри АСУ ТП может быть много незакрытых уязвимостей просто в силу сложности обновления - да и встречается сплошь и рядом. Опять же, чтобы знать, какие из них актуальны часто отдельно построенный процесс нужен.
А если на границе IPS, который часто гораздо проще обновить, чем АСУ ТП, то и уровень защиты совсем другой. А IPS чаще всего может быть и на борту МЭ, так что и мороки не так уж и много.
А если на границе IPS, который часто гораздо проще обновить, чем АСУ ТП, то и уровень защиты совсем другой. А IPS чаще всего может быть и на борту МЭ, так что и мороки не так уж и много.
L
Если АСУ ТП сегментировать, то мест, где можно применять технологию, становится больше.
ну да, тут вопрос возможности и необходимости. Вот как раз на транспорте очень часто это сделать просто и нужно. В производстве у меня уверенности меньше, надо смотреть))
AI
Именно. Мне кажется, время, когда без блокирования работаем, уже уходит..
L
Именно. Мне кажется, время, когда без блокирования работаем, уже уходит..
людей, что так считают все больше и больше))
Просто ко всему надо подходить с головой, а не делать "как все", тогда и "запрещенных" технологий не будет
Просто ко всему надо подходить с головой, а не делать "как все", тогда и "запрещенных" технологий не будет
AC
И еще про использование IPS на границе - на мой взгляд вообще must have во многих случаях. Внутри АСУ ТП может быть много незакрытых уязвимостей просто в силу сложности обновления - да и встречается сплошь и рядом. Опять же, чтобы знать, какие из них актуальны часто отдельно построенный процесс нужен.
А если на границе IPS, который часто гораздо проще обновить, чем АСУ ТП, то и уровень защиты совсем другой. А IPS чаще всего может быть и на борту МЭ, так что и мороки не так уж и много.
А если на границе IPS, который часто гораздо проще обновить, чем АСУ ТП, то и уровень защиты совсем другой. А IPS чаще всего может быть и на борту МЭ, так что и мороки не так уж и много.
Не вопрос :) Ставьте что хотите :) Особенно после того, как уголовную ответсвенность за КИИ ввели
L
Не вопрос :) Ставьте что хотите :) Особенно после того, как уголовную ответсвенность за КИИ ввели
Ставить надо не то, что хочется, а то, что нужно🙂
VK
Для этого пришлось провести несколько этапов испытаний, у себя в лабе, у заказчика в лабе, на двух ПС, у производителя системы, снова у заказчика в лабе, чтобы допуститься и уже на двух ПС. В процессе заказчик переделал сеть, а производитель тм - допилил ОИК и прошивки УСПД. А один именитый вендор ИБ с мега-крутым DPI 104 протокола ушёл допиливать.. сейчас они, вроде бы, по итогам совсем новый продукт выпускают.
👍 Было дело. Интересный и сложный был проект.
AL
Минутку. IDS действительно ставится внутри на "главном" коммутаторе. Вопрос стоит об уставноки в разыв (IPS ? ) - если её ставить туда же, "внутрь", то это рискованная затея, по моему мнению. Если ставить на границе, там же где фаервол - ещё более-менее, если АСУ ТП сама способна разобраться в текущих делах без АРМ
Главный? Это коммутатор ядра. На нем вообще не рекомендуется включать механизмы инспекции, так как это снижает пропускную способность его и сети. Да и СОВ нет, которые бы перелопатили трафик с шины такого свитча не существует. Кроме того, подключение СОВ к ядру приводит к тому, что вы ничего не видите на уровне доступа и чуть-чуть на уровне распределения
AS
Alexey Lukatsky
Главный? Это коммутатор ядра. На нем вообще не рекомендуется включать механизмы инспекции, так как это снижает пропускную способность его и сети. Да и СОВ нет, которые бы перелопатили трафик с шины такого свитча не существует. Кроме того, подключение СОВ к ядру приводит к тому, что вы ничего не видите на уровне доступа и чуть-чуть на уровне распределения
Ядро, уровень распределения, уровень доступа. Много кто видел в жизни SAFE архитектуру в АСУ ТП? 🙂
AC
Alexey Lukatsky
Главный? Это коммутатор ядра. На нем вообще не рекомендуется включать механизмы инспекции, так как это снижает пропускную способность его и сети. Да и СОВ нет, которые бы перелопатили трафик с шины такого свитча не существует. Кроме того, подключение СОВ к ядру приводит к тому, что вы ничего не видите на уровне доступа и чуть-чуть на уровне распределения
Мне влом структурки доставить и обезличивать :) СОВ подключаются на "главный" коммутатор АСУ ТП и на подобные вещи. Ничего не тромозит, ибо бешеного трафика нет и быть не может. Там где он есть, (например, в энегетике SV-потоки) они на отдельные устройства вешаются.