Всем привет 🙂
Завтра проводим эфир БЕЗОПАСНОЙ СРЕДЫ по теме Промышленная кибербезопасность, в рамках которого в том числе проведем и брейншторм, во время которого зафиксируем на майнд-карте основные моменты, которые надо знать по теме.

Кому интересно - присоединяйтесь и в роли зрителей, и в роли экспертов, готовых что-то ценное от себя добавить. Все подробности по ссылке: https://community.codeib.ru/event/2020-09-30-756/page/business-continuity

Пока непонятно, насколько пострадало управление транспортными процессами, погрузкой и т.п. Может и вовсе чисто офисная история...

Статья MITRE о том, как может выглядеть объединённая матрица MITRE ATT&CK Enterprise & ICS. Ранее MITRE писали, что к концу года может их объединить (и у MITRE ATT&CK ICS должны появится саб-техники).

Считаю, что это определенно хорошая идея. Так как защитникам не нужно было бы искать техники одного и того же инцидента в разных матрицах и можно было бы описывать каждый ICS инцидент более широко.

https://medium.com/mitre-attack/in-pursuit-of-a-gestalt-visualization-merging-mitre-att-ck-for-enterprise-and-ics-to-communicate-3523daa7b580

Плохая идея смешивать теплое с мягким

Хорошая идея иметь единый удобный инструмент для моделирования угроз в виде единой базы техник на которую раскладывается каждый инцидент/атака

Единая база TTP да, но рефересные модели должны быть разные

Есть структурированная таблица с объектами данных, есть модель этих объектов данных (атрибуты техник, она и раньше была одинаковая в обоих таблицах). Это таблица это "база TTP" или "референсная модель"?

Они пытаются вкрячить все в одну матрицу. Сначала последние 5 этапов килчейна. Потом первые два (разведка и разработка). Потом скрестили винду, линух и макось. Потом добавили сетевые вещи. Потом мобильные. Потом облака. Теперь ICS. Зачем? Да, килчейн одинаковый. Да, у тебя схожие ТТР есть. Но это не повод все объединять

Разные объекты защиты, часто разные методы детекта и реагирования. Люди тоже часто разные занимаются

Вот же правильный вопрос: "зачем?"

Ответ:
Поэтому что так удобнее защитнику из любой индустрии

Почему тогда до сих не придумали средство защиты со всеми возможными защитными функциями?

Отличная идея для стартапа ))

Ответ:
Потому что так не выгодно вендорам из любой индустрии :)

Насчёт скрещивания мобильной матрицы я могу согласиться, хотя, думаю, скоро мы увидим и инишл аксесс с какого-нибудь дырявого андройда in-the-wild, но то, что какой-нибудь «срущий слон» все равно зайдёт в ОТ через IT, так что здесь их сращивание более чем логично

Тут кстати холивар с авторами

https://twitter.com/digitalbond/status/1311017705495883776?s=19

Интересно, как по смешанной матрице будут оцениваться СЗИ в контексте применяемой области. В такой матрице будет 100500 техник IT и значительно меньше ICS.  Не понятно, например если вендор говорит, что он покрывает 70% техник совмещённой матрицы, это как то должно помочь в выборе СЗИ для OT.       И обратная ситуация. В этом случае потребуются срезы с этой матрицы с учётом специфики защищаемого объекта. Но тогда это ничем не отличается от отдельных матриц под область. не приведёт ли это к тому, что запутают всё ещё сильнее в угоду маркетингу, который в мутной воде будет продавать людям не то, что им нужно.

Приведет

Начало через 10 минут, присоединяйтесь

Эх.. опять телефон требуют :)