Американцы отмечают рост угроз для АСУ ТП. Это связано не только с ростом числа уязвимостей в системах, отвечающих за управление технологическими процессами, но и с ростом интереса различных хактивистских и анархистских групп. И если раньше атаки на АСУ ТП были уедом избранных, то сегодня это все больше и больше становится мейнстримом. Уже разработано немало инструментов, которые облегчают решение этой задачи. Речь идет и о специализированных поисковых системах, которые облегчают обнаружение АСУ ТП, смотрящих в Интернет, и о выпуске модулей для Metasploit, автоматизирующих поиск уязвимостей в АСУ ТП Rockwell, GE, Schneider Electric, Koyo и WAGO.
Для борьбы с этой угрозой необходима целенаправленная работа, заключающаяся в понимании той модели угроз, с которой нам придется работать, и с теми информационными потоками, которые циркулируют в АСУ ТП.
Уже после изучения данной картинки становится понятны и потенциальные точки приложения сил злоумышленников и методы их нейтрализации. Причем, тут можно выстраивать защиту не только с помощью специализированных инструментов (например, Cisco IPS for SCADA), но и собственноручно создавая сигнатуры для свободно-распространяемой IDS Snort. Например, обнаружение использование уязвимости переполнения буфера в АСУ ТП Siemens может выглядеть так:
alert tcp any any -> any 7580 (msg:”ETPRO SCADA Siemens Tecnomatix FactoryLink CSService GetFileInfo path Buffer Overflow”; flow:to_server,established; content:”LEN|00|”; depth:4; byte_test:4,>,1028,0,little; content:”|99|”; distance:8; within:1; content:”|99 00 00 00 0a 00 00 00 01 06|”; distance:0; byte_test:4,>,1024,0,big; classtype:attempted-user; reference:url,digitalbond.com/tools/quickdraw/vulnerability-rules; sid:1111676; rev:1;)
а обнаружение атаки "отказ в обслуживании" на Rockwell Automation’s RSLogix и FactoryTalk так:
alert tcp any any -> $HOME_NET $ROCKWELL_PORTS (msg:”Rockwell RNA Message Negative Header Length”; flow:to_server; content:”rna|f2|”; byte_test:1,&,0×80,3,relative,little; classtype:attempted-dos; sid:1111682; rev:1;)
Правда, в этом случае, придется не только самостоятельно изучать, как работает АСУ ТП, но регулярно отслеживать все новости об уязвимостях в системах автоматизации технологических процессов. Для этого можно использовать, например, RSS американского министерства национальной безопасности (https://www.us-cert.gov/control_systems/xml/rss.xml).
Главное, что защита АСУ ТП - это не "черный ящик". Она подчиняется тем же законам и принципам, что и обычная корпоративная безопасность. И стандарты там похожи, на ту же 27-ю серию. Надо только начать.
Для борьбы с этой угрозой необходима целенаправленная работа, заключающаяся в понимании той модели угроз, с которой нам придется работать, и с теми информационными потоками, которые циркулируют в АСУ ТП.
Уже после изучения данной картинки становится понятны и потенциальные точки приложения сил злоумышленников и методы их нейтрализации. Причем, тут можно выстраивать защиту не только с помощью специализированных инструментов (например, Cisco IPS for SCADA), но и собственноручно создавая сигнатуры для свободно-распространяемой IDS Snort. Например, обнаружение использование уязвимости переполнения буфера в АСУ ТП Siemens может выглядеть так:
alert tcp any any -> any 7580 (msg:”ETPRO SCADA Siemens Tecnomatix FactoryLink CSService GetFileInfo path Buffer Overflow”; flow:to_server,established; content:”LEN|00|”; depth:4; byte_test:4,>,1028,0,little; content:”|99|”; distance:8; within:1; content:”|99 00 00 00 0a 00 00 00 01 06|”; distance:0; byte_test:4,>,1024,0,big; classtype:attempted-user; reference:url,digitalbond.com/tools/quickdraw/vulnerability-rules; sid:1111676; rev:1;)
а обнаружение атаки "отказ в обслуживании" на Rockwell Automation’s RSLogix и FactoryTalk так:
alert tcp any any -> $HOME_NET $ROCKWELL_PORTS (msg:”Rockwell RNA Message Negative Header Length”; flow:to_server; content:”rna|f2|”; byte_test:1,&,0×80,3,relative,little; classtype:attempted-dos; sid:1111682; rev:1;)
Правда, в этом случае, придется не только самостоятельно изучать, как работает АСУ ТП, но регулярно отслеживать все новости об уязвимостях в системах автоматизации технологических процессов. Для этого можно использовать, например, RSS американского министерства национальной безопасности (https://www.us-cert.gov/control_systems/xml/rss.xml).
Главное, что защита АСУ ТП - это не "черный ящик". Она подчиняется тем же законам и принципам, что и обычная корпоративная безопасность. И стандарты там похожи, на ту же 27-ю серию. Надо только начать.
Здравствуйте Алексей.
ОтветитьУдалитьСкажу сразу, я далек от всего того, чем Вы занимаетесь. Более того, я вообще слесарем работаю. Но мне в голову пришла одна хрень, которой я спешу с Вами поделиться. Мне оно без надобности.
Уже и не помню как, но начал я думать о зарядниках мобильных устройств, и додумался до того, а почему бы не интегрировать в зарядное устройство функцию резервного хранилища или антивирусник?
Поставили Вы свой смартфон на зарядку (я это делаю каждый день), заодно и сохранили на зарядник резервную копию операционки своего устройства, включая номера телефонов и прочие данные. Что бы в случае порчи или потери смартфона, айфона, айпада, сотового можно было купить новый и восстановить данные с зарядника.
Ну как то так)
Один вопрос, есть ли в этом какой нибудь смысл?
С уважением, слесарь Алкид из Пензы
У меня iPhone это делает самостоятельно при каждой зарядке
ОтветитьУдалитьВы имеете введу облачные сервисы типа iCloud?
ОтветитьУдалитьНет, это не то. Отдавать личные данные на чужое хранение, да ещё и необходимо подключение к интернету? Да какая же тут безопасность? И ограничение объёма хранения пятью гигами лично я считаю оскорбительным. Я за независимость.
Сейчас зарядник это устройство которое выполняет всего одну функцию. Это непростительное расточительство. И я считаю, что для зарядника помимо резервного копирования и "антивирусного блока" можно найти и другие функции, которые "облегчат" и улучшат основное устройство.