чтобы много не флудить ушел в ЛС

Сергей Повышев, старший менеджер-руководитель направления «Управление информационной безопасности», в своем докладе на Kaspersky Industrial Cybersecurity Conference 2021 поделился опытом ПАО «Северсталь» в области киберучений. Посмотрите запись его выступления:

https://youtu.be/nJLE927uHJk

Это удаленный доступ, так как офисная сеть внешняя по отношению к сети кии. Простого ответа нет, придётся читать https://www.securitylab.ru/blog/personal/eNotepad/345188.php

Спасибо за ссылку. Читаю.

Добавили в Enterprise-матрицу и тематику ICS

https://medium.com/mitre-attack/introducing-attack-v10-7743870b37e3 - вышла новая, 10-я версия, матрицы MITRE ATT&CK. Буду обновлять и свой перевод и маппинг

Здравствуйте, коллеги. Прошу вас сориентировать меня в поиске информации по поводу защиты данных при передаче данных по интерфейсу RS-485. В нашем проекте АРМ оператора позволяет управлять деревом устройств (stm32, датчики и концентраторы), каждая линия 485 имеет один мастер (концентратор или сам АРМ). Задача состоит в том, чтобы не допустить прослушивание, а главное навязывание информации через врезку в кабель 485. Поначалу рассматривал применение стандартных вариантов вроде modbus rtu, но не найдя там нужных механизмов разработал самопальный протокол с простой цифровой подписью. До этого с подобными задачами не сталкивался. Сейчас встал вопрос о применении стандартизированного решения в связи с расширением линейки датчиков и привлечении сторонних специалистов. Искал информацию, в том числе в этом чате, но ничего подходящего не обнаружил. Что то похожее реализовано в secure modbus, но как я понял к 485 это не применимо. Прошу сориентировать насчет технологий/протоколов/гостов/статей с которыми мне следует ознакомиться для решения этой задачи.

Добрый день! Не нашли здесь, поэтому что это довольно маловероятный/мало интересный хоть и технически возможмный вектор атаки. Хотя какие-то исследования и решения я встречал.

Например мониторинг

https://www.sans.org/blog/collecting-serial-data-for-ics-network-security-monitoring/

Я так понимаю что решений и сервисов по кибербезопасности из США в России скоро не будет у большинства российских клиентов. Технологическая независимость и импортозамещение получили новый импульс.

"U.S. companies and any company that sells U.S.-made cyber software will need a license when selling hacking tools to certain foreign governments or any buyers, including middlemen, located in Russia or China.
...
Experts say it is difficult to regulate this market because of how the industry categorizes offensive and defensive cybersecurity products.  

Depending on how a certain defensive tool is deployed or re-engineered, it can be potentially transformed into a surveillance capability."

https://www.reuters.com/technology/us-moves-control-sales-hacking-tools-abroad-2021-10-20/

Не передергивай 😊 Хакерские инструменты большинство не продает

Я же даже цитату привел, повторю:
 
"Experts say it is difficult to regulate this market because of how the industry categorizes offensive and defensive cybersecurity products.  
 
Depending on how a certain defensive tool is deployed or re-engineered, it can be potentially transformed into a surveillance capability."

"Продолжайте покупать то что вам возможно разрешат". Так себе привлекательность предложения

Есть свежий случай когда одной российской промышленной компании (не под санкциями) отказали в продаже курсов SANS из-за якобы санкционных рисков. В общем ликуйте российские вендоры. Мои искренние сожаления иностранным вендерам в России.

SANS перестраховывается и уже давно. К ИТ/ИБ-компаниям это не относится - они в России зарабатывают гораздо больше SANS. Поэтому без явного запрета они сами не будут ничего блокировать

Но ты прав, посмотрим

Сильно это ситуацию не поменяет .. уже несколько лет напрямую многие инструменты типа фазеров, сниферов, специализированных эмуляторов просто не купить в РФ.

Тут скорее речь действительно о лицензировании вообще всех средств по кибербезопасности .. т.к. отделить условно "наступательные" от условно "оборонительных", во-первых, практически невозможно, а во-вторых никто и запариваться с этим не будет.

Начать стоит с вопроса - зачем? Есть действительно актуальный вектор атаки на 485 соединение? Как вы себе представляете врезку в кабель? Врезку можно достоверно определить? Есть атака подмены датчика/концентратора? Какой возможный ущерб от подмены данных датчиков/концентраторов? Есть нормативные требования по защите информации по этим каналам связи?

это стимулирует отечественных производителей