В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

RUSCADASEC community: Кибербезопасность АСУ ТП

2150 membersпожаловаться на группу
2020 July 29

22

2 2 in RUSCADASEC community: Кибербезопасность АСУ ТП
На мой взгляд просто в этом направлении не так много работают. Тут нужно обкатывать какие то модели или связки (ОС +ПО АСУ) и потом которое можно ранжировать и говорить что вот W10 + ПО АСУ  поставили на мониторинг таким то способом собрали информацию и проверили всю работоспособность, и проблем нет провели испытания все работает -  пользуйтесь. А так получается что всегда на заказчике экспериментируют )
источник
11:13пожаловаться#1

22

2 2 in RUSCADASEC community: Кибербезопасность АСУ ТП
Тот же самый APT от МС, ведь отличная штука, собирает стока всего, как было бы полезно использовать его в сегменте АСУ, но есть нюанс он все отправляет в облако для анализа, соответственно нужно знать по каким портам и адресам идет обмен и настраивать проксю или шлюз однонаправленный чтобы быть уверенным что нет дырки в асу из инета. Но ни кто почему то не пробовал использовать его в АСУ кроме энтузиастов.
источник
11:16пожаловаться#2

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
Oleg
То есть должен быть общий SOC?
Кто-то же должен общую картину видеть ))
источник
11:50пожаловаться#3

O

Oleg in RUSCADASEC community: Кибербезопасность АСУ ТП
Alex Ivanov
Кто-то же должен общую картину видеть ))
Или не видеть)
источник
11:50пожаловаться#4

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
Anton Shipulin
Тем что на арме оператора сисмона не будет )
Не факт, но, в целом, арм лучше не нагружать.. а ещё иногда в АСУТП реальная проблема со сбором событий.. например, ведаете коммутаторы с куцым SNMP и сислог
источник
11:51пожаловаться#5

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
Oleg
Или не видеть)
Это точно ))
источник
11:51пожаловаться#6

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
Oleg
Но SOC же должен задетектить network propagation до этого самого арма оператора?
Не со 100% вероятностью. И есть вектора, где могут идти не через кспд
источник
11:52пожаловаться#7

ZS

Zakir Supeyev in RUSCADASEC community: Кибербезопасность АСУ ТП
Собирать конечно круто, а вот разгребать и правильно реагировать это проблема
источник
11:52пожаловаться#8

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
Zakir Supeyev
Собирать конечно круто, а вот разгребать и правильно реагировать это проблема
Ага, а ещё в контексте целевой функции системы...
источник
11:53пожаловаться#9

O

Oleg in RUSCADASEC community: Кибербезопасность АСУ ТП
Alex Ivanov
Не со 100% вероятностью. И есть вектора, где могут идти не через кспд
Про 100% то понятно
источник
11:53пожаловаться#10

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
Oleg
Про 100% то понятно
А чем дальше продвижение, тем выше вероятность обнаружения, но при этом также выше возможный ущерб.
источник
11:53пожаловаться#11

22

2 2 in RUSCADASEC community: Кибербезопасность АСУ ТП
Alex Ivanov
Не факт, но, в целом, арм лучше не нагружать.. а ещё иногда в АСУТП реальная проблема со сбором событий.. например, ведаете коммутаторы с куцым SNMP и сислог
Ну для этого по идеи АРМ надо модернизировать и задать приоритеты по процессам чтобы у сисмона он был не выше среднего тогда на него ресуросв не уходит )
источник
11:54пожаловаться#12

O

Oleg in RUSCADASEC community: Кибербезопасность АСУ ТП
Alex Ivanov
А чем дальше продвижение, тем выше вероятность обнаружения, но при этом также выше возможный ущерб.
У меня просто обычно возникает вопрос, насколько вообще актуально детектировать что-то в ОТ, разве там уже не поздно?)
источник
11:55пожаловаться#13

22

2 2 in RUSCADASEC community: Кибербезопасность АСУ ТП
Alex Ivanov
Не факт, но, в целом, арм лучше не нагружать.. а ещё иногда в АСУТП реальная проблема со сбором событий.. например, ведаете коммутаторы с куцым SNMP и сислог
а есть варианты вообще без сбора снмп? ну что вам даст есть свитч отдает тока апп или даун. В том то и прикол что нужно раставлять приоритет по сбору логов. АРМ+ сервера ПЛК в первую очередь, потому что проше реализовать и реагировать, а сеть потом, с МСЭ тоже в первую очередь
источник
11:56пожаловаться#14

22

2 2 in RUSCADASEC community: Кибербезопасность АСУ ТП
Oleg
У меня просто обычно возникает вопрос, насколько вообще актуально детектировать что-то в ОТ, разве там уже не поздно?)
ну это как последний рубеж, если там вовремя задетектить то главное правильно среагировать
источник
11:57пожаловаться#15

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
Oleg
У меня просто обычно возникает вопрос, насколько вообще актуально детектировать что-то в ОТ, разве там уже не поздно?)
Скорее всего, не поздно, т.к. система достаточно устройства, плюс возможная фишка атаки - вывести из строя по расписанию, а не как сломал.. тогда смысл что-то обнаружить остаётся
источник
12:03пожаловаться#16

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
2 2
а есть варианты вообще без сбора снмп? ну что вам даст есть свитч отдает тока апп или даун. В том то и прикол что нужно раставлять приоритет по сбору логов. АРМ+ сервера ПЛК в первую очередь, потому что проше реализовать и реагировать, а сеть потом, с МСЭ тоже в первую очередь
Ап и даун порта даст что кто-то что-то перетыкивает )) и не факт, что санкционированно.
источник
12:04пожаловаться#17

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
2 2
а есть варианты вообще без сбора снмп? ну что вам даст есть свитч отдает тока апп или даун. В том то и прикол что нужно раставлять приоритет по сбору логов. АРМ+ сервера ПЛК в первую очередь, потому что проше реализовать и реагировать, а сеть потом, с МСЭ тоже в первую очередь
МСЭ+сов да, одно из лучших
источник
12:05пожаловаться#18

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
2 2
ну это как последний рубеж, если там вовремя задетектить то главное правильно среагировать
Ага, именно так. А иначе по принципу "сгорел сарай, гори и хата"
источник
12:05пожаловаться#19

22

2 2 in RUSCADASEC community: Кибербезопасность АСУ ТП
Alex Ivanov
Ап и даун порта даст что кто-то что-то перетыкивает )) и не факт, что санкционированно.
Это как раз и мониториться, тока многие забывают что есть еще различные средства монитоиинга сети от ИТ PRTG тот же самый который дает много полезной инфы, он вроде относится к ИТ но в тоже время мониторит сети и АСУ. Бери оттуда загрузку сети и проводи анализ, там есть и загрузка ресурсов и ПК тоже. Остается вопрос как СОК будет все это обрабатывать если не было таких кейсов.
источник
12:27пожаловаться#20