SP
точно юзкейс, в его краткой форме )
Size: a a a
2021 September 29
AL
Нет. Юзкейс решает вполне конкретную задачу. Например, несанкционированное подключение к промышленному коммутатору, замена прошивки вне технологического окна и тп
DD
С точки зрения процесса обнаружения и реагирования на инциденты отлавливать события и аномалии на плк, то есть на конце вектора атаки, не очень эффективно.
DD
Поэтому на западе вендоры иб решений не особо в такие решия идут
DD
Парсить логи плк в целях мониторинга наверное полезно, но прям чтоб задачи безопасности решать...спорно
22
Что значит не эффективно? Когда ты видишь брут на ПЛК, это ирония?
DD
Брут и на трафике видно, не обязательно заморачиваться на логи плк
22
Несколько лет назад так и про сием говорили мол не эффективно все логи на синем загонять зачем мол? А едр или клиент почти на каждой тачке)
DD
Не вижу параллели.
AL
Если вы увидели брут на ПЛК, а до этого никаких сигналов не было, то это проблема и она гораздо выше
22
Тока нужно сенсор чтобы увидеть его во внутренней сети по легитимными портами, а для сбора логову не нужен сенсору
AL
Для сбора логов нужно плк нагружать, что тоже не лучший вариант
DD
Ну а для детекта брута по логам вам разве доп инструмент не нужен что ли?
22
Это значит что кто то вводит не тот пароль на ПЛК,может пьяный дядяу Вася а может вас взломали вскрыв перед этиму МСЭ
22
Чего? Какие там нагрузки на отдачу логов)
DD
На сием нагрузка точно будет не хилая
AI
Офигеть какие для некоторых, кстати. Для Терминалов РЗА вообще критично. никому не нужен лог, если защита не сработала вовремя.
AI
Более того, они и так крутят MMS-сервер, отдают датасеты, репорты.. И ещё сислог на них запускать и требовать отсылать через него - полный абзац. Если уж доставать логи, то по MMS, для этого есть, кажется, зарезервированные параметры.
22
Это можно сделать простым анализом , сием конечно будет хорош, но ведь елк не отменяли да и те же средства мониторинга по ид событиям тоже вроде. Я к чему все это, к тому что скоро это будет дефакто у всех в ближайшем времени т к. Это логично
AI
Это будет нативный вариант и парсить легче