Да во всех нормальных коммутаторах сейчас есть interface blink

Не видел ни разу радиуса в сетях асутп. А если он появится, пусть и с резервированием, встанет вопрос его защиты, обновлений и т.д. Вендоры и свой ад-лес для технологии рисуют. Мое имхо - это все лишнее.

То же самое и с сдту, за время работы, чего тока не было но все всегда решалось

Значит мне везёт😁 тока когда сети используются общие и такое встречается. А вопрос защиты и обновлений все равно стоит всегда там где есть ад

Нет, сети не общие.

У нас так. Подрядчик собирает сеть, примерно как кучу г... Ниче не настроено толком, дефолтовые пароли. Сетевики потом допиливают и дальше уже долгая и счастливая эксплуатация с дальнейшей поддержкой.

Аутентификация по маку? Обходится скрипт киддисом в один клик

Это конечно интересный момент. Для собственно функционирования АСУ ТП SNMP не нужен. Его могут подключать для сбора состояния сетевого оборудования или как упомянули для управления сетевой архитектурой. Т.е. по сути в угоду удобству обслуживания создается еще один мощный центр притяжения для атаки - просто убить всю сеть через отключение портов😳

Коммутатор записан от ИБП? Он мониторится по сети? Если так рассуждать то это тоже нельзя делать, так как коммутатор можно и обесточить.

Ну коммутатор то обычно запитан от сети с поддержкой ИБП, так что просто отрубание ИБП не есть немедленная катастрофа. А рассуждать можно достаточно свободно обо всем, поскольку если мы свами тут пообсуждаем 3-4 варианта ослабления или усиления мер по ИБ АСУ ТП, реальный специалист по взлому может иметь в арсенале 20-30 методик и инструментов, и образ его мышления может быть вообще непонятен специалистам по АСУ ПТ. Меня в свое время очень удивила история о том, что в крупной компании с работающей службой ИБ взлом был обнаружен через пол года после проникновения, а выкинули взломщика из сети еще только через пол года.

Для цпс очень часто мониторинг коммутаторов используется, часто даже из SCADA. Под "просто убить" вы что подразумеваете?

Не "часто используется", а "обязателен". Даже специальная экранная форма  с состоянием всего оборудования присутствует.

В России. Может, где-то еще не обязательно )) Так-то да, порты, загрузка. Один порт можно предусмотреть для таких случаев и включать его кнопкой прямо из SCADA

Если через SMNP V3 есть возможность включения и отключения портов, то почему эта возможность не может стать отличным вариантом для развития атаки? Отключить все порты "за пол минуты" чем не вариант?

Скажите, как вы себе представляете атаку на ПС? В реале... Зачем и как она будет развиваться? :)

Я к чему клоню... Зачем отключать коммутаторы, если можно вырубить контроллеры\терминалы? Более того, даже это не самое страшное - гораздо страшнее выдача ложных управляющий воздействий на КА.

Т.е. коммутатор надо защищать, это правда. Но нужно соблюдать какой-то баланс с реальностью

Опять же, повторюсь, существует независимость уровней, которая является обязательным требованием для АСУ ТП. Выключение коммутаторов не должно вызывать проблем в течении какого-то времени. Если это произойдет, то, виноваты будут АСУ ТПшники, а не ИБ :) на100%

Не обязательно. Только при благоприяьных. Мак поменять несложно, да. Но для того, что бы узнать валидный, должны быть шансы на сетевую разведку, а их может не быть. Портсек может быть настроен жестко и без рековери автоматом. Упал и все, до вмешательства админа

Странный вопрос в чате ИБ АСУ ТП - Зачем и как😃  Как раз таки логика проведения атаки может быть совсем не такой как мы тут можем напридумывать. Но как мне кажется целевая функция атаки это результат. А для получения результата буду использованы любые методы, и самые простые  том числе. И атака на сетевую инфраструктуру мне представляется как раз более простым вариантом чем атака на контроллеры. Это просто проще и быстрее. Скажем для не новомодных подстанций полное отключение сети может вообще ни к чему не привести.  На полностью цифровых с 61850 я даже не знаю что может быть в таком случае, возможны варианты. На генерации вывод сетевой инфраструктуры ПТК АСУ ТП это практически однозначно остановка или вообще авариная остановка. И знать ни про типы контроллеров ни про протоколы ничего не надо. SNMP 100 лет в обед, распространен просто везде.
Кстати о "замысловатых" методах атак. Мне так кажется что в современных АСУ ТП есть еще одно потенциальное чувствительно место для атаки. Результат как бы не гарантирован, но последствия могут быть. Это подсистемы синхронизации времени. Если какими то средствами начать "качать" текущее время приходящее со спутников, в разных системах автоматизации могут появляться различные глюки вплоть до отказов и зависаний )все зависит от реализации ПО синхронизаторов и собственно программ клиентов). А качать можно потенциально как находясь рядом с объектом (у нас же могут всех кто в районе Кремля находится во Внуково переносить), так и централизовано скажем в случае реальных конфликтов вливать через GPS фейковое время.