NK
Вопрос в другом - как выявить атаку или захват управления...
Size: a a a
2018 October 17
AI
ID:155857173
Вопрос в другом - как выявить атаку или захват управления...
Вот это должен делать SOC. Сенсоры метрики indication of compromise
AI
Вообще сильная статья.
SV
Прочитал. Чем не устраивает два разных набора правил межсетевого экрана для обычного режима и lockdown? Второй включается сухим контактом или из интерфейса.
Неустраивает возможность бэкдора в мэ от производителя в определённых кругах.
AI
Sergei Voronov
Неустраивает возможность бэкдора в мэ от производителя в определённых кругах.
Ндв 4 + оуд 4 усиленный устроят? На отечественном производителе? Просто идея отличная (я тоже давно топлю за это), но видел все же это в более мягкой форме. У меня даже в какой-то презе была красная кнопка "режим изоляции РЗА", заведённая на мэ mguard. ))
RF
;) видел ее
LO
простите, что такое МЭ? ((
E
Межсетевой экран
LO
спасибо
SV
Ндв 4 + оуд 4 усиленный устроят? На отечественном производителе? Просто идея отличная (я тоже давно топлю за это), но видел все же это в более мягкой форме. У меня даже в какой-то презе была красная кнопка "режим изоляции РЗА", заведённая на мэ mguard. ))
Я все таки за обрыв который только физическим присутствием можно обойти, здесь гуру ИБ много говорили о контроле людей.
AI
Плюс в вашем случае создаётся ещё один дублирующий канал, повышающий надёжность.
DD
Киберпреступная группировка инфицировала новейшей вредоносной программой GreyEnergy системы трех энергетических компаний Украины и Польши в рамках подготовки к будущим разрушительным атакам. Специалисты ESET, обнаружившие новую кампанию, характеризуют группировку GreyEnergy как «одну из наиболее опасных APT-групп, терроризирующих Украину последние несколько лет». Хотя исследователи не связывают GreyEnergy с каким-либо государством, отмечается, что функционал вредоносной программы схож с ПО BlackEnergy, ранее использовавшимся в атаках на украинский энергетический сектор.
Наследник BlackEnergy атакует энергетические предприятия Украины и Польши
Наследник BlackEnergy атакует энергетические предприятия Украины и Польши
AG
Ekaterina Kvasha
Новая статья Сергея Воронова «Как минимизировать последствия проникновения в АСУ ТП подстанции» http://bit.ly/kiber_minimum
разделение на уровне МЭ с односторонними правилами позволит обеспечить ту же изоляцию технологических сегментов, а перевод на 101 протокол позволит снизить риски подмены сигналов, согласен. а вот то, что при атаке все блокируется и выезжает команда реагирования - сомнительная тема, мне кажется такого количества сотрудников с оборудованием ИБ сейчас мало у кого в организациях есть
AG
В реальности же нужно стремится к мониторингу сети и технологической и офисной он-лайн, а также моделировать атаки и работать на предупреждение, выстраивая системы защиты с учетом требований технологической надежности и оглядкой на законодательство
AG
Плюс в вашем случае создаётся ещё один дублирующий канал, повышающий надёжность.
Алексей, а каналы до ДЦ и так есть дублирующие (всегда)
AG
Sergei Voronov
Неустраивает возможность бэкдора в мэ от производителя в определённых кругах.
Так надо создавать SaaS и переводить на православное ПО, попутно анализируя исходники устанавливаемого софта, заставляя разработчика устранить уязвимости
2018 October 18
NK
Так надо создавать SaaS и переводить на православное ПО, попутно анализируя исходники устанавливаемого софта, заставляя разработчика устранить уязвимости
И так на 100500 объектах?
SV
101 не везде можно организовать и на крупных объектах (220 и выше) 101 с полной изоляцией сделать можно, так как с них оперативный персонал полностью убирать не планируют, только отказ от части смен. А вот для 35-110 больше подойдёт предложение вашего тёзки с управлением мэ через сухой контакт.
AG
А что именно смущает? Отказ от западных вендоров? Выстраивание жизненного цикла управления уязвимостями и исходным кодом?
AG
В любом случае мониторинг состояния делать и дублирование каналов, это как минимум уже жизненная необходимость