В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

RUSCADASEC community: Кибербезопасность АСУ ТП

2439 membersпожаловаться на группу
2021 February 26

AL

Alexey Lukatsky in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Darensky
если у вас сеть поставлена на мониторинг NTA то вы уидите любые подключения в любой момент времени, включая удалённые.  а так же при необходимости провести разбор событий или проанализировать копию сохранённого трафика сторонними тулзами.
Зависит от множества факторов. Можно и не увидеть
источник
19:16пожаловаться#1

DD

Dmitry Darensky in RUSCADASEC community: Кибербезопасность АСУ ТП
арпы и поднятие сессий и протоколы точно увидят. а прикладной уровень да, можно и не увидеть. но для задач мониторинга подключений  для начала вполне достаточно.
источник
19:19пожаловаться#2

AL

Alexey Lukatsky in RUSCADASEC community: Кибербезопасность АСУ ТП
Речь о другом. Еще надо правильно трафик завести на NTA
источник
19:21пожаловаться#3

22

2 2 in RUSCADASEC community: Кибербезопасность АСУ ТП
Правильно ли я понял что практика сбора событий с ноутов подрядчиков во время пнр при физическом подключении подрядчика к под сетям асу не распространена. По мне так это самый простой и быстрый способ мониторить подрядчика на время пнр, хотя бы на то что с его ноута не будет вредоносной активности о которой он не знает сам ну и + мониторинг трафика в этом сегменте конечно доступными способами.
источник
19:27пожаловаться#4

DD

Dmitry Darensky in RUSCADASEC community: Кибербезопасность АСУ ТП
сбор логов с временно подключаемых хостов в асу тп технически муторная история. ну и, потом вам ещё в коллекторе логи все эти разгребать.  Подрядчики имеют свойство приезжать с разными девайсами, дл ятого чтоб лить логи на коллектор вам надо будет постоянно актуализировать конфиги на сетевом оборудовании.
источник
19:33пожаловаться#5

DD

Dmitry Darensky in RUSCADASEC community: Кибербезопасность АСУ ТП
вредоносную активность с хоста может и NTA детектить.
источник
19:33пожаловаться#6

DD

Dmitry Darensky in RUSCADASEC community: Кибербезопасность АСУ ТП
Alexey Lukatsky
Речь о другом. Еще надо правильно трафик завести на NTA
О да!!!! такие схематозы лепят что можно создавать журнал "крокодил сетевика"))))
источник
19:34пожаловаться#7

DD

Dmitry Darensky in RUSCADASEC community: Кибербезопасность АСУ ТП
2 2
Правильно ли я понял что практика сбора событий с ноутов подрядчиков во время пнр при физическом подключении подрядчика к под сетям асу не распространена. По мне так это самый простой и быстрый способ мониторить подрядчика на время пнр, хотя бы на то что с его ноута не будет вредоносной активности о которой он не знает сам ну и + мониторинг трафика в этом сегменте конечно доступными способами.
ну и не забывайте про SIEM системы. они ведь автоматизируют работу с логами намного лучше. плюс могут так же отслеживать временные подключения
источник
19:36пожаловаться#8

22

2 2 in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Darensky
вредоносную активность с хоста может и NTA детектить.
Да понимаю, но ещё нужно на сенсор как то трафик направить а если архитектура не правильная и на устройстве доступа нет возможности зеркалировпние делать то нужно будет городить тап🧐. Но спасибо за консультацию.
источник
19:36пожаловаться#9

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
2 2
Видимо тот кто видел как горит силовой транс , понимает возможные последствия от неправильных манипуляций в системе. 😁
у меня друг-наладчик вышел покурить с местными, за ними захлопнулась дверь. решили не париться, докурить и действовать по ситуации.. Тут "бабах" и дверь стала выпуклой. транс рванул внутри.. По счастливой случайности внутри никого не оказалось..
источник
19:57пожаловаться#10

Ю

Юрий in RUSCADASEC community: Кибербезопасность АСУ ТП
Dmitry Darensky
сбор логов с временно подключаемых хостов в асу тп технически муторная история. ну и, потом вам ещё в коллекторе логи все эти разгребать.  Подрядчики имеют свойство приезжать с разными девайсами, дл ятого чтоб лить логи на коллектор вам надо будет постоянно актуализировать конфиги на сетевом оборудовании.
Применительно к подрядчикам количество ноутбуков будет ограничено. В то же время достаточно просто обязать наладчиков установить на ноутах все что угодно заказчику, как условие допуска к работе.
Еще вариант в моей наладчиковлй молодости был - обязать наладчиков работать на ноутбуках, которые принадлежат Заказчику.
Но все это работает когда подрядчик российский.
источник
20:08пожаловаться#11

AL

Alexey Lukatsky in RUSCADASEC community: Кибербезопасность АСУ ТП
2 2
Да понимаю, но ещё нужно на сенсор как то трафик направить а если архитектура не правильная и на устройстве доступа нет возможности зеркалировпние делать то нужно будет городить тап🧐. Но спасибо за консультацию.
Если сырой трафик гнать на SPAN, то да. Но вы можете брать Netflow (или что-то похожее) или собирать логи с самого сетевого оборудования (если у него богатая система регистрации). Варианты есть
источник
20:09пожаловаться#12

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
Юрий
Применительно к подрядчикам количество ноутбуков будет ограничено. В то же время достаточно просто обязать наладчиков установить на ноутах все что угодно заказчику, как условие допуска к работе.
Еще вариант в моей наладчиковлй молодости был - обязать наладчиков работать на ноутбуках, которые принадлежат Заказчику.
Но все это работает когда подрядчик российский.
Я так понимаю, что скоро (5-6 лет) "нероссийские" подрядчики тю-тю..
источник
20:29пожаловаться#13

T

TopKa in RUSCADASEC community: Кибербезопасность АСУ ТП
2 2
Да понимаю, но ещё нужно на сенсор как то трафик направить а если архитектура не правильная и на устройстве доступа нет возможности зеркалировпние делать то нужно будет городить тап🧐. Но спасибо за консультацию.
Логи это хорошо, но ещё надо бы проверят ноут по хотя бы минимальным требованиям ИБ. У меня были случаи. Иностранный подрядчик на ПНР подключается в сеть и антивирусы на хостах в этой сети начинали верешать. Начали разбираться. Ноуты подрядчика без антивира, патчей ms18-07 нет, и с него в сеть летел старый добрый conficet/kido
источник
20:32пожаловаться#14

T

TopKa in RUSCADASEC community: Кибербезопасность АСУ ТП
Юрий
Применительно к подрядчикам количество ноутбуков будет ограничено. В то же время достаточно просто обязать наладчиков установить на ноутах все что угодно заказчику, как условие допуска к работе.
Еще вариант в моей наладчиковлй молодости был - обязать наладчиков работать на ноутбуках, которые принадлежат Заказчику.
Но все это работает когда подрядчик российский.
Нужные фразу в договор
источник
20:33пожаловаться#15

22

2 2 in RUSCADASEC community: Кибербезопасность АСУ ТП
Alexey Lukatsky
Если сырой трафик гнать на SPAN, то да. Но вы можете брать Netflow (или что-то похожее) или собирать логи с самого сетевого оборудования (если у него богатая система регистрации). Варианты есть
Я боюсь если весь нетфлоу отправить на мониторинг то кол-во событий возрастёт многократно😎а так да логи с сетевого оборудования собираем.
источник
20:39пожаловаться#16

22

2 2 in RUSCADASEC community: Кибербезопасность АСУ ТП
TopKa
Нужные фразу в договор
Уже поздно и от меня не зависит, как говорится уже вчера пнр должен был начаться
источник
20:39пожаловаться#17

T

TopKa in RUSCADASEC community: Кибербезопасность АСУ ТП
2 2
Уже поздно и от меня не зависит, как говорится уже вчера пнр должен был начаться
Сослаться на требования - 239 приказа
источник
20:43пожаловаться#18

AL

Alexey Lukatsky in RUSCADASEC community: Кибербезопасность АСУ ТП
2 2
Я боюсь если весь нетфлоу отправить на мониторинг то кол-во событий возрастёт многократно😎а так да логи с сетевого оборудования собираем.
Незначительно по сравнению с логами и гораздо меньше по сравнению с сырым трафиком на span
источник
20:46пожаловаться#19

22

2 2 in RUSCADASEC community: Кибербезопасность АСУ ТП
TopKa
Сослаться на требования - 239 приказа
Вполне можно,но опять надо же чтобы стройка шла бизнес плохо понимает что то не работает  так что думаю требования к подрядчикам кто пнр делает чтобы сисмон и логи нам репортили.
источник
20:48пожаловаться#20