AS
Доброе пожаловать! Бот у нас умный, убирает за собой.
Size: a a a
2021 September 29
SP
А вот интересный вопрос какие именно события безопасности с PLC интерeсны для всяких siem-oв? Старт/стоп, обновление прошивки/пакетов, события аутентификации пользователей, что-то еще?
22
Да, в основном, кто подключился (авторизация и аутентификация успешная не успешная- чтобы брут видеть), что сделал ( какие изменения внес- но это проблематично отслеживать, тока если критикл процессы смотреть на PLC), ну и конечно залил проект кто и откуда, рестарт, стоп и др изменения. Но аппетит приходит во время еду ) как говорится
AC
...сетевая статистика, если можно её получить
22
ну можно и кол-во пакетов на порту посмотреть тока нужно понять зачем это, хотя некоторые данные могут показывать и все подключения которые были и нагрузку на порт и многое другое, вот тока кому это нужно. Это считай отдельного человека сади на это, чтобы все обрабатывать )
AC
Как аномалия и какие именно порты
AC
Без человека сием вообще не нужен :))
22
нужно будет тогда статистику собирать по активности на портах для детектирования аномалий, но тут есть уже ML каспера ))) так что не стоит Алексей 😉
MD
Ну это эффективнее сделать на системе мониторинга трафика, нежели де-факто на стороне ПЛК и забирать логи с него, что тоже не всегда просто, правда если делать на базе системы, нужно умение разбирать протокол ПЛК, зачастую проприетарный, но это пол беды. У меня как раз на эту тему дипломная работа была
MD
Вы хотели сказать правила на dst.port порты и длину пакетов?)
22
вот в этом и дело, если контур закрыт и там пару сегментов, то зачем тебе что то разбирать (если конечно нет такой необходимости). Можно просто мониторить пртг статистику и на сетевом смотреть аномалии по кол-ву пакетов
22
я хотел сказать что смогу забирать список всех устройств и портов которые когда либо цеплялись на PLC, а от туда еже работать с аномалией и не нужно сенсор на разбор трафика ставить
AL
Так от юзкейсов зависит
MD
Количество пакетов эффективная метрика, но не достаточная, если что-то серьезнее, то уже нужно смотреть запросы в протоколе. Хотя могу посоветовать ставить ПЛК работающие на KW Multiprog, там нет никакой аутентификации и white list. Нет аутентификации - нет проблем :)
MD
Старт, стоп, загрузка ПУ/выгрузка ПУ (нормальная, а не просто факт загрузки), модификация памяти ПЛК (области ПУ и не только), обновление конфигурационных файлов и встроенного ПО, перевод в различные режимы ПЛК
22
👍ну или просто настроить белые листы и аутентификацию, а попытки брута забирать или с логов PLC или с сенсора. Но по мне так критично видеть когда брут идет на PLC
MD
Я бы брал всё таки с сенсоров и настроил бы правила на алерты, просто в трафик может гадить не тот, кто брутит, а пошедший по бороде модбас слейв или сошедшая с ума SCADA
MD
Этим грешат ряд вендоров, в один момент просто аномальное количество трафика, хотя причины не ясны
22
соглашусь, если есть сенсор )
MD
А ещё можно добавить коммуникацию по FTP с ПЛК, ибо у некоторых вендоров есть грешки с этим