AL
После того SNORT Cisco купила?)
Нет. Это несвязанные вещи
Size: a a a
2020 December 08
DD
Ну поддержка поддержке рознь.
MD
Alexey Lukatsky
Нет. Это несвязанные вещи
Да я уже шучу)
AL
Вот что Snort поддерживает
DD
Одно дело на сигнатурах поддержкивать. Другое -парсить спецификацию протокола
MD
Alexey Lukatsky
Вот что Snort поддерживает
Забавно, что FINS от Omron-а они не включили в Deep Packet Inspection, хотя протокол открыт давным давно
AL
AL
Dmitry Darensky
Одно дело на сигнатурах поддержкивать. Другое -парсить спецификацию протокола
Многое парсится
AL
Забавно, что FINS от Omron-а они не включили в Deep Packet Inspection, хотя протокол открыт давным давно
Значит запросов не было
22
Забавно, что FINS от Omron-а они не включили в Deep Packet Inspection, хотя протокол открыт давным давно
значит за это ни кто не топит. Тут вообще все странно, включают то что востребованно очень
MD
И тогда возникает вопрос, как antimalware сравнивали KICS и PT ISIM по критерию "Тест на функциональность DPI (состояние ПЛК). Описание теста: СОВ должна контролировать трафик между АРМ оператора / сервером SCADA и ПЛК с коммутатора через настроенный SPAN-порт; произвести следующие операции: подать команду STOP на ПЛК, подать команду RUN на ПЛК, изменить ППО контроллера, обновить прошивку контроллера", ведь смена режима работы ПЛК, а уж тем более обновления образа прошивки и загрузки новой программы управления реализовывается как раз через протоколы вендора
Но всё же этот вопрос остаётся открытым
DD
Alexey Lukatsky
Многое парсится
Конечно. Можно полность соиб на опенсорсе построить. Только сначала надотнайти кто будет вам сигнатуры обновлять.
MD
2 2
значит за это ни кто не топит. Тут вообще все странно, включают то что востребованно очень
Скорее всего, но по моему мнению, это какое то странное решение не реализовывать анализ частично открытого протокола, тем более не такого маленького вендора
DD
Обнаруживать управляющие или сервисные команды это конечно хорошо, но с точки зрения иб это далеко не всё что нужно отлавливать в рафике
AL
Dmitry Darensky
Конечно. Можно полность соиб на опенсорсе построить. Только сначала надотнайти кто будет вам сигнатуры обновлять.
Для Snort это делает команда Cisco. Но есть и куча коммерческих игроков, кто этим занимается. Тот же Wurldtech
22
Все делается с какой то точки зрения, кто провел какую то статистику и дал задание наполнить вот эти протоколы, может для нас они не интересны, но для того кто делал запрос на добавления протоколов они очень переспективны.
AL
2 2
значит за это ни кто не топит. Тут вообще все странно, включают то что востребованно очень
Ну вот в Cisco CyberVision поддержка FINS есть
DD
Ну и у сигнатурного методатогромное количество минусов.
MD
Теквел Парк это делает. Для цифровых подстанций. Плюс соответствие трафика проекту.
Интересно, как же они реализовали соответствие трафика проекту
AL
Dmitry Darensky
Обнаруживать управляющие или сервисные команды это конечно хорошо, но с точки зрения иб это далеко не всё что нужно отлавливать в рафике
Я же не зря написал "даже Snort". А если взять специализированный Cisco CyberVision, то там картинка иная в части поддерживаемых протоколов, их парсинга, сигнатур, разбора, поиска уязвимостей и т.п.