👍

👍

но пока это только по безопасной разработке )

Круто!

"Пока"/"только", ничтожная сертификация? :)

А что ещё нужно?

Поздравляю! CSA в планах?

Каждому свое

Правильный вопрос. Не что? А кому? :))

Круто, но даешь продукт в массы )

62443-4-2

Ну мне казалось что CSA не совсем релевантная нашему классу решений сертификация. Больше для компонент АСУ ТП

The ISASecure certification program Component Security Assurance (CSA) focuses on the security of software applications, embedded devices, host devices, and network devices.

https://www.isasecure.org/en-US/Certification/IEC-62443-CSA-Certification

Не, сертификация очень даже хороша :)

для сенсора как сетевое устройство

Именно на 62443-4-2 проверяется, например, робастность реализации работы с протоколами

Так наши двери открыты. Пишите, с каждым отдельным случаем разбираемся индивидуально. Милости просим :)

ics@kaspersky.com

Сколько заняло времени? На сколько пришлось перестраивать разработку или были готовы?

Те, кто давно читает наш канал, знают, что мы неравнодушны к атакам на промышленные системы управления (ICS), потому что представляем себе к каким катастрофическим последствиям они могут привести.

Соответственно, и к вопросам информационной безопасности ICS у нас трепетное отношение. А вот тут часто возникают серьезные проблемы, которые обусловлены спецификой отрасли применения.

Израильская компания OTORIO, специализирующаяся как раз на вопросах инфосек в этой сфере жизнедеятельности, нашла несколько серьезных уязвимостей в двух популярных промышленных решениях удаленного доступа - SiteManager (GateManager) от B&R Automation и mbCONNECT24 от MB Connect Live.

Оба инструмента активно используются в автомобильной, энергетической, нефтегазовой, металлургической и других отраслях народного хозяйства.

В решении от B&R Automation, позволяющем получать удаленный доступ к промышленному оборудованию, израильтяне нашли целых шесть уязвимостей (c CVE-2020-11641 по CVE-2020-11646). Их использование из-под авторизованного пользователя  позволит хакеру получить доступ к конфиденциальной информации других пользователей, а также вызвать отказ в обслуживании, что может привести к остановке производственного процесса. С учетом невысокого уровня информационной безопасности в промышленности в целом, полагаем, что добыть учетные данные пользователя для злоумышленника является вполне решаемой задачей.

Три уязвимости (CVE-2020-24568 - CVE-2020-24570) найдены исследователями в mbCONNECT24, который также используется для удаленного подключения к производственным объектам. Ошибки позволяют хакеру осуществить SQL-инъекцию и CSRF-атаку. Еще одна уязвимость, которой не присвоено CVE и про которую не пишут ресерчеры OTORIO, но про которую упомянуло CISA, получила 9.8 из 10 по шкале критичности и позволяет злоумышленнику удаленно выполнить код.

Несомненно, с таким количеством уязвимостей в ICS их владельцам необходимо регулярно проводить аудит ИБ, в том числе пентесты. Иначе в кране может кончиться вода и причиной этому будут совсем не соотечественники израильских исследователей.

Время около полугода, разработка была готова, у нас высоке качество процессов разработки

OTORIO классные. Рассказывали в прошлом году в Швеции на CS3STHLM как они вытаскивали из ViruaTotal файлы проектов АСУ ТП