Comments 15
Мне вот что интересно — компании, работающие в сфере кибербезопасности, проводят массу соревнований по взлому, но что-то не вспоминается соревнований по противостоянию взлому или обнаружению его следов и нейтрализации последствий. Нет ли тут некоего противоречия? :)
-1
habrahabr.ru/company/pt/blog/329984
А вообще такого рода соревнования тяжело сбалансировать. На короткой дистанции у защитников обычно огромное преимущество, и оргам приходится их по-разному ограничивать.
А вообще такого рода соревнования тяжело сбалансировать. На короткой дистанции у защитников обычно огромное преимущество, и оргам приходится их по-разному ограничивать.
-1
Формат "атакующие против защищающихся" действительно тяжело организовать в приближенном к реальности варианте. А вот формат, когда безопасники выступают в роли аутсорсера, к которому приходит клиент с постановкой задачи "у нас тут фигня случилась", выдается взломанная инфраструктура, надо понять, что и как сломали, и вытащить все возможные следы — мне кажется, было бы интересно и вполне жизненно.
+1
«Все действия команд в промышленной сети отслеживались нашим решением Kaspersky Industrial CyberSecurity и отображались на одном из экранов, доступных для зрителей», и все попытки атаки потом тщательно изучаются и полученные знания используются для совершенстования систем защиты
0
Но, по мнению наших экспертов, победителям не хватило всего 10–15 минут.
Надо было добавить полчасика игрового времени…
Надо было добавить полчасика игрового времени…
0
Двоякое впечатление- Смеяться и плакать хочется…
1) Дали доступ к внутренней сети панелей РЗА, к внутренней сети АСУТП…
2) Дали схему сети, включая марки оборудования…
3) Отключили защиты от дурака — в энергетике (да и не только) ты физически даже не сможешь отключить расцепитель под нагрузкой, воткнуть ножи заземления- потому что цепь блокировки не собрана- обычные концевые выключатели/токовые реле/реле напряжения… 4) Отключить обдув трансформатора- Давайте отключите манометрический термометр, и пускатели посредством удаленного доступа… Да я думаю в принципе если влезть в физически отделенную сеть АСУ-Э ты можешь отключить отображение температуры- но отключить обдув- нет…
5) Плакать хочется- часто видел при запусках АСУТП предприятиях куча программистов сидят удаленно с Москоу на компах инженеров пусконаладчиков- и правят рашпилем СКАДу… Но тут надо просто бить по рукам и лицом в пол- Люди которые занимаются ИБ предприятия просто тупо не выполняют свои функции… Тут даже установка фаервола не поможет…
1) Дали доступ к внутренней сети панелей РЗА, к внутренней сети АСУТП…
2) Дали схему сети, включая марки оборудования…
3) Отключили защиты от дурака — в энергетике (да и не только) ты физически даже не сможешь отключить расцепитель под нагрузкой, воткнуть ножи заземления- потому что цепь блокировки не собрана- обычные концевые выключатели/токовые реле/реле напряжения… 4) Отключить обдув трансформатора- Давайте отключите манометрический термометр, и пускатели посредством удаленного доступа… Да я думаю в принципе если влезть в физически отделенную сеть АСУ-Э ты можешь отключить отображение температуры- но отключить обдув- нет…
5) Плакать хочется- часто видел при запусках АСУТП предприятиях куча программистов сидят удаленно с Москоу на компах инженеров пусконаладчиков- и правят рашпилем СКАДу… Но тут надо просто бить по рукам и лицом в пол- Люди которые занимаются ИБ предприятия просто тупо не выполняют свои функции… Тут даже установка фаервола не поможет…
+1
Ну вот к пятому пункту всё в реальной жизни и сводится. Вспомните как годик назад русские спецслужбы ломали украинские энергосети. Тогда операторы на местах тупо сидели и смотрели как «внезапно начавшая двигаться мышка начала нажимать кнопки в программе управления энергосетью» и их это поначалу совершенно не напрягло, поскольку такое и раньше много раз делали их коллеги — «в производственных целях».
0
К сожалению такой вид, как специалист по ИБ отсутствует на многих предприятиях от слова «вообще», даже в аутсорсинговом форм-факторе… до первого инцидента, вызвавшего простой «станка» на N-часов/дней. Поэтому и обязанность по обеспечению ИБ зачастую возлагать просто не на кого. Крайний случай — расширяют пул обязанностей админов путём добавления ИБ… до первого инцидента.
0
Продолжу мысль примером из практики — виндовая управляющая СКАД-ой станция, смотрит одним из NIC-ов в Интернет стандартным портом 3389/ТСР, пароль админа что-то вроде 123456\Qwerty1, UAC/Firewall… Пфффф зачемб? Who cares? И это обнаружил рядовой админ. Сколько было ненависти от управляющих аутсорсеров и других «коллег по цеху», когда почти насильно был сменен RDP порт, и отключен встроенный админ (мелочь, но надо же с чего-то начинать). И так работало N-лет до меня.
-1
Тоже сталкиваешься с непониманием когда отключаешь прямой доступ рута по ssh на некоторых системах
0
Вы о переходе на аутентификацию по ssh-ключу вместо логина/пароля?
0
Я про отключение удаленного рута в принципе. Если рут нужен заходишь на сервер непривелигированной учеткой а потом уже либо через sudo что надо делаешь либо переключаешься на рута.
0
На самом деле варианты действительно есть… блокировочное устройство можно просто «повесить». АСУ энергетики не моя сильная сторона, но есть такие механизмы когда через сеть можно повесить ту же ABB-шку наглухо. Конечно для успешной атаки нужно действительно быть очень хорошо подготовленным, «с наскока» сильно большой ущерб вряд ли получится нанести. Если говорить про АСУ ТП предприятия — нужна именно целевая атака с серьёзным подготовительным этапом, вплоть до получения функциональных и электрических схем целевого объекта и изучения алгоритмов ПЛК. Разработки вектора атаки которая будет подразумевать изменение алгоритмов ПЛК с целью обхода релейных и технологических защит (не ПЛК-шных) для нанесения максимального урона. Конечно если ПЛК запаролен, а релейные защиты выполнены грамотно и связь с внешним миром настроена специалистом — ловить особо нечего. Но такой подход, как показывает практика, редкость.
+1
Sign up to leave a comment.
Kaspersky Industrial CTF 2017: семь часов, чтобы вырубить завод