АС
Видимо мне повезло и я встречался в основном с теми кто топит за ИБ в АСУ (в области ТЭК), либо не понимает, что такое ИБ, но все равно топит, чтобы появился человек, который понимал и сделал как надо.
Size: a a a
2021 February 26
22
Видимо мне повезло и я встречался в основном с теми кто топит за ИБ в АСУ (в области ТЭК), либо не понимает, что такое ИБ, но все равно топит, чтобы появился человек, который понимал и сделал как надо.
Видимо тот кто видел как горит силовой транс , понимает возможные последствия от неправильных манипуляций в системе. 😁
IS
IS
затрагивает Studio 5000 Logix Designer, RSLogix 5000, Logix Controllers
ДП
Конечно любую мысль надо доводить до абсурда, но знание специалистом ИБ анатомии точно не помешает, а если он при этом будет иметь хотяб общие представления о том как все взаимосвязано в здоровом и больном организме, то выстроить модель угроз получится куда как более качественно 😁
Евгений, браво! В свое время на лекциях нам говорили, что нарушение сердечного ритма по своему проявлению напоминает потерю устойчивости по частоте.
ZS
2 2
Дмитрий, согласен с процессом. Но пока не видел ни одного руководителя АСУ, который готов был, что- то сам защищать и обеспечивать безопасность и тем более еще нести ответственность перед органами и бизнесом. Обычно наоборот фраза "Это вы нам все сломали" звучит . Поэтому мне кажется разумно что специалисты ИБ будут больше погружаться в сферу АСУ, тем более это уже во всю происходит.
После 2х заваленных внутренних иб аудитов асу, руководству на 2 года срезали премию, ситуация моментально изменилась😄
22
Zakir Supeyev
После 2х заваленных внутренних иб аудитов асу, руководству на 2 года срезали премию, ситуация моментально изменилась😄
Прикольно, а какому руководству АСУ, ИТ, ИБ, эксплуатация? просто интересно знать кто отвечает
ZS
2 2
Прикольно, а какому руководству АСУ, ИТ, ИБ, эксплуатация? просто интересно знать кто отвечает
АСУ, там отдельное государство со своими айтишниками и сетевиками
22
Коллеги, кто как мониторит действия подрядчика при физическом подключении в подсети действующих объектов с ноутбуков во время ПНР? И пробовал ли кто нить вариант ставить на мониторинг , чтобы сисмон передавал события с ноутов подрядчика на коллектор в подсети АСУ, когда подрядчик включился в подсеть для ПНР.
DD
если есть возможность ставят PAM решения чтобы подключения были управляемыми и их можно было не только мониторить но и в случае чего отрубать .
DD
Сисмон на своих ноутах подрядчики обычно не ставят, поэтому тащить с их ноутов логи идея так себе
DD
минимально что можно посоветовать , поставить на мониторинг сеть. для этого есть решения класса NTA
DD
вы всё увидите, но управлять подключениями не сможете, т.к. это пассивный мониторинг.
22
Сеть проблематично из-за архитектуры. PAMа не имеем, вот и думаю когда подрядчик цепляется к нам в подсеть, то там настроены доступ с их ноута до коллектора, по ка ПНР идет вроде как видим хотя бы что то . Как тока пошли домой то не будет отдавать события. А думаю если подрядчикам поставить сисмон с конфигой по аудиту и сделать сертик на коллектор сием то они не будут против. да и не поймут наверное )
22
Просто было интересно делает так кто и какие подводные камни могут быть. Думаю подрядчику поставить условия при ПНР, по идеи там нагрузки не будет большой а так хоть как то мониторить. А то доступ то в инет по вай-вай и блютус ни кто не отменял. Вот и думаю как им прикрыть не контролируемый канал в глобал или мониторить их.
22
затрагивает Studio 5000 Logix Designer, RSLogix 5000, Logix Controllers
Нашел полезного из этой новости тока концепцию AB System Security
Design Guidelines
https://literature.rockwellautomation.com/idc/groups/literature/documents/rm/secure-rm001_-en-p.pdf
Design Guidelines
https://literature.rockwellautomation.com/idc/groups/literature/documents/rm/secure-rm001_-en-p.pdf
AL
Dmitry Darensky
вы всё увидите, но управлять подключениями не сможете, т.к. это пассивный мониторинг.
Для управления можно поставить решения класса NAC, которые смогут рубить все ненужные соединения подрядчиков. Но опять же зависит от используемого сетевого оборудования и готовности АСУшников такие решения ставить. У нас есть единичные проекты в России и побольше в мире. Если скрестить их с NTA, то вообще конфетка получается.
22
Alexey Lukatsky
Для управления можно поставить решения класса NAC, которые смогут рубить все ненужные соединения подрядчиков. Но опять же зависит от используемого сетевого оборудования и готовности АСУшников такие решения ставить. У нас есть единичные проекты в России и побольше в мире. Если скрестить их с NTA, то вообще конфетка получается.
Я думаю тут от архитектуры сети еще зависит. Если подрядчик включается прям в свитч рядом с шкафом автоматики где идет ПНР то не думаю что при ПНР уже весь сетевой трафик идет на девайсы анализа трафика. Проблема по большей части в архитектуры сети
AL
NAC не подразумевает перенаправления трафика для анализа - у вас любой фрейм (или сессия), отправленный на порт свитча, проверяется по политике - можно или нельзя. Ну, по крайней мере, у нас так.
DD
2 2
Я думаю тут от архитектуры сети еще зависит. Если подрядчик включается прям в свитч рядом с шкафом автоматики где идет ПНР то не думаю что при ПНР уже весь сетевой трафик идет на девайсы анализа трафика. Проблема по большей части в архитектуры сети
если у вас сеть поставлена на мониторинг NTA то вы уидите любые подключения в любой момент времени, включая удалённые. а так же при необходимости провести разбор событий или проанализировать копию сохранённого трафика сторонними тулзами.