Comments 15
Мне вот что интересно — компании, работающие в сфере кибербезопасности, проводят массу соревнований по взлому, но что-то не вспоминается соревнований по противостоянию взлому или обнаружению его следов и нейтрализации последствий. Нет ли тут некоего противоречия? :)
habrahabr.ru/company/pt/blog/329984
А вообще такого рода соревнования тяжело сбалансировать. На короткой дистанции у защитников обычно огромное преимущество, и оргам приходится их по-разному ограничивать.
А вообще такого рода соревнования тяжело сбалансировать. На короткой дистанции у защитников обычно огромное преимущество, и оргам приходится их по-разному ограничивать.
Формат "атакующие против защищающихся" действительно тяжело организовать в приближенном к реальности варианте. А вот формат, когда безопасники выступают в роли аутсорсера, к которому приходит клиент с постановкой задачи "у нас тут фигня случилась", выдается взломанная инфраструктура, надо понять, что и как сломали, и вытащить все возможные следы — мне кажется, было бы интересно и вполне жизненно.
«Все действия команд в промышленной сети отслеживались нашим решением Kaspersky Industrial CyberSecurity и отображались на одном из экранов, доступных для зрителей», и все попытки атаки потом тщательно изучаются и полученные знания используются для совершенстования систем защиты
Но, по мнению наших экспертов, победителям не хватило всего 10–15 минут.
Надо было добавить полчасика игрового времени…
Надо было добавить полчасика игрового времени…
Двоякое впечатление- Смеяться и плакать хочется…
1) Дали доступ к внутренней сети панелей РЗА, к внутренней сети АСУТП…
2) Дали схему сети, включая марки оборудования…
3) Отключили защиты от дурака — в энергетике (да и не только) ты физически даже не сможешь отключить расцепитель под нагрузкой, воткнуть ножи заземления- потому что цепь блокировки не собрана- обычные концевые выключатели/токовые реле/реле напряжения… 4) Отключить обдув трансформатора- Давайте отключите манометрический термометр, и пускатели посредством удаленного доступа… Да я думаю в принципе если влезть в физически отделенную сеть АСУ-Э ты можешь отключить отображение температуры- но отключить обдув- нет…
5) Плакать хочется- часто видел при запусках АСУТП предприятиях куча программистов сидят удаленно с Москоу на компах инженеров пусконаладчиков- и правят рашпилем СКАДу… Но тут надо просто бить по рукам и лицом в пол- Люди которые занимаются ИБ предприятия просто тупо не выполняют свои функции… Тут даже установка фаервола не поможет…
1) Дали доступ к внутренней сети панелей РЗА, к внутренней сети АСУТП…
2) Дали схему сети, включая марки оборудования…
3) Отключили защиты от дурака — в энергетике (да и не только) ты физически даже не сможешь отключить расцепитель под нагрузкой, воткнуть ножи заземления- потому что цепь блокировки не собрана- обычные концевые выключатели/токовые реле/реле напряжения… 4) Отключить обдув трансформатора- Давайте отключите манометрический термометр, и пускатели посредством удаленного доступа… Да я думаю в принципе если влезть в физически отделенную сеть АСУ-Э ты можешь отключить отображение температуры- но отключить обдув- нет…
5) Плакать хочется- часто видел при запусках АСУТП предприятиях куча программистов сидят удаленно с Москоу на компах инженеров пусконаладчиков- и правят рашпилем СКАДу… Но тут надо просто бить по рукам и лицом в пол- Люди которые занимаются ИБ предприятия просто тупо не выполняют свои функции… Тут даже установка фаервола не поможет…
Ну вот к пятому пункту всё в реальной жизни и сводится. Вспомните как годик назад русские спецслужбы ломали украинские энергосети. Тогда операторы на местах тупо сидели и смотрели как «внезапно начавшая двигаться мышка начала нажимать кнопки в программе управления энергосетью» и их это поначалу совершенно не напрягло, поскольку такое и раньше много раз делали их коллеги — «в производственных целях».
К сожалению такой вид, как специалист по ИБ отсутствует на многих предприятиях от слова «вообще», даже в аутсорсинговом форм-факторе… до первого инцидента, вызвавшего простой «станка» на N-часов/дней. Поэтому и обязанность по обеспечению ИБ зачастую возлагать просто не на кого. Крайний случай — расширяют пул обязанностей админов путём добавления ИБ… до первого инцидента.
Продолжу мысль примером из практики — виндовая управляющая СКАД-ой станция, смотрит одним из NIC-ов в Интернет стандартным портом 3389/ТСР, пароль админа что-то вроде 123456\Qwerty1, UAC/Firewall… Пфффф зачемб? Who cares? И это обнаружил рядовой админ. Сколько было ненависти от управляющих аутсорсеров и других «коллег по цеху», когда почти насильно был сменен RDP порт, и отключен встроенный админ (мелочь, но надо же с чего-то начинать). И так работало N-лет до меня.
Тоже сталкиваешься с непониманием когда отключаешь прямой доступ рута по ssh на некоторых системах
На самом деле варианты действительно есть… блокировочное устройство можно просто «повесить». АСУ энергетики не моя сильная сторона, но есть такие механизмы когда через сеть можно повесить ту же ABB-шку наглухо. Конечно для успешной атаки нужно действительно быть очень хорошо подготовленным, «с наскока» сильно большой ущерб вряд ли получится нанести. Если говорить про АСУ ТП предприятия — нужна именно целевая атака с серьёзным подготовительным этапом, вплоть до получения функциональных и электрических схем целевого объекта и изучения алгоритмов ПЛК. Разработки вектора атаки которая будет подразумевать изменение алгоритмов ПЛК с целью обхода релейных и технологических защит (не ПЛК-шных) для нанесения максимального урона. Конечно если ПЛК запаролен, а релейные защиты выполнены грамотно и связь с внешним миром настроена специалистом — ловить особо нечего. Но такой подход, как показывает практика, редкость.
Sign up to leave a comment.
Kaspersky Industrial CTF 2017: семь часов, чтобы вырубить завод