В целом через nginx конечно же быстрее, но так как веб-сервер собственного изготовления и http заголовки свои, то остается достаточно высокая вероятность ошибки конфигурации и обработки собственных http заголовков, поэтому в итоге остается возможность RCE и OS commanding большое. В данном случае анализ защищенности данного веб-приложения был бы логичен. Это поможет оценить состояние целиком и понять актуальность применения WAF. Действительно, может оказаться, что векторов развития атак немного и их все можно закрыть без использования специализированного класса решения.
Фактически вы путем настройки nginx закрываете функционал WAF, фильтруя те параметры, которые возможно вписать в заполняемые поля. Дальше идет вопрос вероятностей – уверены ли вы, что учли все варианты. В целом кейс очень занятный, поэтому интересно было бы посмотреть в логах WAF, какие именно запросы отправляются на сервер. Можем предложить пилотный вариант и посмотреть на результаты. В качестве альтернативы также можем предложить услуги команды пентеста;)
Да, Ваш принцип построения понятен. Но Вы в основном описали именно принцип построения АСУ ТП. При этом общий тренд – это переход на Industrial Ethernet, подключение к MES и иным системам. Понятно, что компьютер не подключен к сети, но при этом суть в том, что не доверенные съемные носители могут быть элементом комплексной сложной APT, вот о чем речь. По хорошему нужен регламент, т.е. организационные меры, и технические меры, которые предотвращают несанкционированное подключение. Хорошо, если вы один обслуживаете этот АРМ, а если их много? Вы делаете харденинг ОС? Про вторую часть я бы предложил еще организовывать ДМЗ, в нее выносить сервисы, нуждающиеся в удаленном доступе. Подумал бы о применении PAM.
В статье оговаривался человеческий фактор при преодолении воздушного зазора. Либо халатность, либо результат соц. инженерии.
Именно так. По преодолением воздушного зазора подразумевалась конкретная стадия APT-атаки или халатность, или действия нелояльного сотрудника.
В МЭК 62443 к информационному тракту, организованному и использованием съемных носителей также подразумевается предъявление требований по кибербезопасности.
Подстанциями можно управлять удаленно, но пока не очень многими. При этом концепция развития ПАО «Россети» подразумевает переход к необслуживаемым, т.е. удаленно управляемым подстанциям. Это прямо написано в СТО ПАО «Россети».
Если подать отдельную команду, то, скорее всего, ничего не будет, это верно. Но при этом, если комплексно подменить команды, оперативные блокировки, то физические последствия возможны. Дальше, конечно, есть разные варианты.
Ответ лежит в плоскости практического применения стандартов МЭК 62351 и МЭК 62443. В целом можно предложить механизмы (над ними работают, в том числе, российские вендоры): комбинация наложенных и встраиваемых средств безопасности, в том числе криптографических. Это становится особенно важным по мере реализации концепции Smart Grid и ААС ЕЭС.
Речь шла не обязательно про ОСРВ. Настоящий ПЗ определяет требования безопасности к операционным системам реального времени (тип «В») .
По ссылке методические документы ФСТЭК России для ОС Типа Б и Типа В.
Я писал про два разных кейса или случая.
В первом – АСУ ТП и КС объединены. Такое можно встретить на небольших предприятиях с низкой технической культурой.
Во втором – да. Я имел в виду, что воздушного зазора недостаточно и хотел подчеркнуть это. Понятно, что об этом говорилось и писалось ранее. Но по прежнему многие специалисты считают, что такой проблемы нет.
Да, иногда возникает такая путаница, мы поэтому и написали про центр мониторинга (который тоже SOC — Security Operations Center) там же, в заголовке. Много сущностей в ИТ и ИБ, незанятые аббревиатуры кончаются, видимо)
В статье написано, что на каждом КШ настраивается отдельный туннель для каждой площадки и приведен пример типовой настройки. При инсталляции 100 КШ такой подход вряд ли будет продуктивным.
Применение OSPF обусловлено также величиной инсталляции и использованием OSPF в существующей инфраструктуре заказчика.
Именно так. По преодолением воздушного зазора подразумевалась конкретная стадия APT-атаки или халатность, или действия нелояльного сотрудника.
В МЭК 62443 к информационному тракту, организованному и использованием съемных носителей также подразумевается предъявление требований по кибербезопасности.
По ссылке методические документы ФСТЭК России для ОС Типа Б и Типа В.
В первом – АСУ ТП и КС объединены. Такое можно встретить на небольших предприятиях с низкой технической культурой.
Во втором – да. Я имел в виду, что воздушного зазора недостаточно и хотел подчеркнуть это. Понятно, что об этом говорилось и писалось ранее. Но по прежнему многие специалисты считают, что такой проблемы нет.
Применение OSPF обусловлено также величиной инсталляции и использованием OSPF в существующей инфраструктуре заказчика.