Безопасность промышленных систем в цифрах

[CHANt]

> Термин "регуляторы", в данном контексте - конечно жесть.

http://www.punjabigraphics.com/images/1 ... google.gif
https://www.google.ru/search?q=регуляторы+ИБ

Шутим, да? Почитайте:
http://ru.wikipedia.org/wiki/%D0%A0%D0% ... 0%BE%D1%80
Где там Ваш регулирующий орган? :D
Уязвимости открытых систем... Ийех ;)

[DelSnos]

Мда, товарищи постарались :D

[Ryzhij]

Проводя ЛЮБОЕ статистическое исследование КАЖДЫЙ уважающий себя специалист непременно докажет в самом начале репрезентативность обрабатываемых данных и даст оценку валидности полученного результата.
В случае с использованием косвенных данных с hh.ru не было даже намёка на попытку оценить степень корреляции количества заявок на специалистов на этом специфическом ресурсе с распространённостью уже внедрённых систем различных типов в России.
Грубейшие фактические ошибки и путаница в терминологии подрывают как доверие к самому отчёту, так и вызывают обоснованные сомнения в компентности авторов.

Что касается оценок со стороны подразделения Сименса, то тут вспоминается бессмертная басня Крылова:
"За что же, не боясь греха,
Кукушка хвалит Петуха?..."
Смею надеятся, что ляп с WinCC и PCS7 был пропущен сименсоидами из-за невнимательности, а не из лицеприятия.

[Василий Иванович]

Сименс похвалил их только за то, что они нашли новые дыры в WinCC, а не за этот отчет.

[Василий Иванович]

Вообще, они за хорошее дело взялись. Им надо было просто в команду одного инженера взять, чтобы помог яблоки от груш отличать. А то в плане уязвимостей что скада, что браузер, что любой другой сетевой софт - одно и то же.

[Ryzhij]

Вообще, они за хорошее дело взялись.

Да кто ж спорит? И сапоги шить, и пироги печь дело хорошее. Беда только, когда один спец не за своё хватается...

Им надо было просто в команду одного инженера взять, чтобы помог яблоки от груш отличать.

А сейчас там в команде кто? ;)

А то в плане уязвимостей что скада, что браузер, что любой другой сетевой софт - одно и то же.

Добро бы в элементы SCADA у ребят попадали реальные составляющие системы, они же ухищряются включать туда утилиты для компиляции проектов в панели оператора и пакеты для программирования контоллеров.
Так можно и ассемблер или пакет С++ в элементы SCADA-системы записать.. А отчего нет?

[Михайло]

Добро бы в элементы SCADA у ребят попадали реальные составляющие системы, они же ухищряются включать туда утилиты для компиляции проектов в панели оператора и пакеты для программирования контоллеров.

Так-то они озабочены безопасностью АСУТП в целом. Насколько я понял из слухов, стухнет залазил в контроллеры через Степ7. Так что все правомерно, просто надо вывески немного сменить.

[Ryzhij]

А через ПроТул не залазил, нет? А это тоже у ребят в списке элементов SCADA.
Залезь лишь в Форточки, а там... "Королевство у меня маловато!"
Вообще-то, это функция Степ7 - коннектиться с процессором.
Другой вопрос почему процессор так, без боя и драки, позволяет корявить у себя на борту стандартные функциональные блоки? Тут уж речь об уязвимости операционной системы самого процессора.

[Василий Иванович]

Добро бы в элементы SCADA у ребят попадали реальные составляющие системы, они же ухищряются включать туда утилиты для компиляции проектов в панели оператора и пакеты для программирования контоллеров.
Так можно и ассемблер или пакет С++ в элементы SCADA-системы записать.. А отчего нет?

У них как я понял принцип такой - что связывается с контроллером - то скада. Им нужно было заменить слово "скада" словом "промышленный софт". По большому счету последствие-то одно - залив левого кода в контроллер, а через какую задницу залив ведется - оно не столь важно.

[scadastrangelove]

Папа ответил на вопрос? Нет, папа не ответил на вопрос. Зато папа пошутил.

Есть мнение, что исходный вопрос полон сарказма и относится к риторическим, на что как бы намекает комментарий

Боюсь в багажник пихать начнет ОРС

. Или я не прав?

Скажите, Сергей, а Step7 - это СКАДА?

Можно цитату из этого форума, которая цитата их откуда-то?

3. ВОСТРЕБОВАННОСТЬ ЭЛЕМЕНТОВ СИСТЕМ АСУ ТП (SCADA) В РОССИИ
...
- STEP 7 — разработка систем автоматизации на основе PLC (около 22,05%);

Могу слегка понять сарказм в части АСУ ТП (SCADA). Ни как не могу приучить наших техписов не заменять некоторые символы без согласования. В исходнике было АСУ ТП/SCADA. Понятно, что SCADA это один из компонентов ICS, но к сожалению в умах многих людей из ИТ и ИБ SCADA=ICS и если не вставлять эту аббревиатуру, гуглиться будет плохо :)

В исходном отчете, чиатем

На основании этих данных можно приблизительно оценить доли различных производителей на рынке программных и аппаратных составляющих систем АСУ ТП1.
Согласно полученным данным, наиболее востребованными являются специалисты, имеющие навыки работы с решениями компании Siemens. Из шести самых распространенных продуктов четыре относятся к семейству Siemens SIMATIC:
- STEP 7 — разработка систем автоматизации на основе ПЛК (около 22,05%);
- WinCC и WinCC Flexible — создание человеко-машинного интерфейса (18,11% и 3,94% соответственно);
- SIMATIC PCS 7 — построение комплексных систем автоматизации (7,87%).
В пятерку лидеров также входят InTouch HMI компании Wonderware с долей в 12,6% и пакет ПО Genesis от Iconics (5,51%).

PS. Что касается инженерных пакетов, но они с точки зрения архитектуры ИБ и моделирования угроз очень сходны с SCADA/HMI. Например когда "драконили" TIA Portal, огромное количество уязвимостей пересекается с WinCC и WinCC Flexible, посколько большое количество кода повторно используется. Ну это понятно, если в IDE входит например SQL Server, запускаемый "из коробки" то IDE будет наследовать проблемы ИБ в SQL.

[scadastrangelove]

В случае с использованием косвенных данных с hh.ru не было даже намёка на попытку оценить степень корреляции количества заявок на специалистов на этом специфическом ресурсе с распространённостью уже внедрённых систем различных типов в России.

А можно я процитирую отчет?

Мы получили представление о степени востребованности специалистов, обладающих опытом работы с той или иной системой, технологией, протоколом или программным продуктом. На основании этих данных можно приблизительно оценить доли различных производителей на рынке программных и аппаратных составляющих систем АСУ ТП

И еще хотелось бы попросить привести, дабы учесть в будущем

Грубейшие фактические ошибки и путаница в терминологии

Полный текст исследования http://www.ptsecurity.ru/download/SCADA ... ussian.pdf.
Прошу ссылатся на него, а не на различные перепечатки (журналисты они такие журналисты)

Шутим, да? Почитайте:
http://ru.wikipedia.org/wiki/%D0%A0%D0% ... 0%BE%D1%80

Нет, это я троллю на счет профессиональной терминологии в области ИБ, которой тоже надо владеть перед тем как ;) В обшем ответный мяч :)

[Jackson]

Скажите, Сергей, а Step7 - это СКАДА?

Можно цитату из этого форума, которая цитата их откуда-то?

Вот как можно еще вести какую-то дискуссию. Вопрос ко всем: я где-то тут отвечал вопросом на вопрос?.

В целом, все примерно ясно. ;) Сейчас пойдут рассказы мол это мне текст испортили, написал-то я правильно, да кое-кто переправил, да пришлось, да вот тут правильная редакция ... бла-бла-бла... уже собственно пошли. Только знаете, у Вас никогда не будет второго шанса создать о себе первое впечатление. Все очень просто.

Идея - супер! Но вот что бывает когда за неё берутся те кто про неё лишь что-то где-то слышал - мы видим.

[CHANt]

Насколько я понял из слухов, стухнет залазил в контроллеры через Степ7. Так что все правомерно, просто надо вывески немного сменить.

Прочитай пожалуйста перевод доклада и не пользуйся слухами.
http://www.phocus-scada.com/rus/pub/Stu ... ys-rus.pdf
Если получить исходный проект, иметь ничем не ограниченные ресурсы всех видов, тогда и появляется продукция под названием stuxnet. Это не вирус, это целенаправленная атака на определенную технологию, с определенным оборудованием, и определенным набором доступа с различного уровня. Скажем так, если ты прицепил ПЧ к ЦПУ со встроенным профибасом, то на ПЧ ничего не придет, потому как все рассчитано на работу через коммуникационник CP-342-5 и не как иначе. От таких, четко реализованных проектов не может быть защиты, чтобы не говорили господа от иб или других смежных специализаций.
стукснет не показателен в качестве пугалки, это другой уровень, и мне очень не нравится, когда его приводят в качестве примера вируса от "простого хакера", это не верно.

[scadastrangelove]

Вот как можно еще вести какую-то дискуссию. Вопрос ко всем: я где-то тут отвечал вопросом на вопрос?.... да вот тут правильная редакция

Боюсь, не совсем понимаю ваш праведный гнев.

1. Вроде ответил :
- STEP 7 — разработка систем автоматизации на основе ПЛК (около 22,05%);
2. Указал первоисточник, чтобы использовали его, а не перепечатки.

Если ответ неверен, прошу объяснить что не так.

Но вот что бывает когда за неё берутся те кто про неё лишь что-то где-то слышал - мы видим.

Было бы великолепно, если бы были указаны конкретные ляпы и недочеты.

Спасибо!

[scadastrangelove]

От таких, четко реализованных проектов не может быть защиты, чтобы не говорили господа от иб или других смежных специализаций.

В целом "абсолютной защиты" не бывает. Вообще. Но можно ощутимо поднять ее стоимость. В настоящее время то, что мы видим - достаточно "низковисящие фрукты" для любого парня с метасплойтом. Кроме превентивных есть детективные и коррективные средства защиты, которые позволяют обнаружить атаку и минимизировать последствия.

Что касается StuxNet, то это действительно была заточенная под конкретный объект атака, причем атака многоходовая. Проект (и документация) изначально "вытягивался" для разбора различными методами, потом создавался "атакующий" модуль на основании этой информации. Т.е. то, что отловилось в конце, это уже "последний" релиз.

[CHANt]

В целом "абсолютной защиты" не бывает. Вообще. Но можно ощутимо поднять ее стоимость.

:)

Что касается StuxNet, то это действительно была заточенная под конкретный объект атака, причем атака многоходовая. Проект (и документация) изначально "вытягивался" для разбора различными методами, потом создавался "атакующий" модуль на основании этой информации. Т.е. то, что отловилось в конце, это уже "последний" релиз.

Если мне, как разработчику системы, понадобится закладка, то она сработает как мне нужно.

[scadastrangelove]

Если мне, как разработчику системы, понадобится закладка, то она сработает как мне нужно.

Если мне, как отвественному за безопасность системы будет важен разработчик как источник угрозы, то я с простого. Разработчик будет кровью подписываться под каждой строчкой/ЭЦП при каждом коммите, а его детород... отвественность будет закреплена соотвествующим документом. Не панацея, но в случая инцидента и forensic вполне пригодиться ;)

PS. Поднять стоимость атаки ессно. Ага, по Фрейду :)

[CHANt]

Разработчик будет кровью подписываться под каждой строчкой/ЭЦП при каждом коммите, а его детород... отвественность будет закреплена соотвествующим документом. Не панацея, но в случая инцидента и forensic вполне пригодиться ;)

Для Вас уже нет ))) Это будет после События )))
Да и масса компаний на рынке, которые не смогут Вас (в смысле спеца по ИБ) содержать в принципе )))

Что-то ремарки в другую область уходить начали. Вообще пост про стукснет Михайло предназначался, не Вам.)))
Вне сомнений, системы, в что числе и АСУТП, должны защищаться и иметь меньше дырок. Претензии к тексту доклада, где намешано теплое с мягким. Может все таки будете заказывать такие обзоры на стороне? В мск найти "заинтересованные" фирмы не трудно.

[Василий Иванович]

1. Вроде ответил :
- STEP 7 — разработка систем автоматизации на основе ПЛК (около 22,05%);
2. Указал первоисточник, чтобы использовали его, а не перепечатки.

Было бы великолепно, если бы были указаны конкретные ляпы и недочеты.

Спасибо!

А на мой! На мой вопрос не ответили! Чем винсиси со степом от PCS7 отличаются!! Это тоже техписы зловредные накосячили?
Вообще, грустно, когда фирма, занимающаяся исследованием рынка, не может отличить один продукт от другого. Здесь я согласен с ТЕВ. Портит впечатление. Не хочется дальше читать.

[VADR]

Шутим, да? Почитайте:
http://ru.wikipedia.org/wiki/%D0%A0%D0% ... 0%BE%D1%80

Нет, это я троллю на счет профессиональной терминологии в области ИБ, которой тоже надо владеть перед тем как ;) В обшем ответный мяч :)

Вот хотел попинать ногами за "регуляторы", а тут и без меня уже... :D
Что бы вы не говорили о терминологии в области ИБ - не забывайте, что это вы влезли в область АСУТП (а не мы к вам), так что будьте любезны использовать терминологию, принятую в целевой области.

В целом "абсолютной защиты" не бывает. Вообще. Но можно ощутимо поднять ее стоимость. В настоящее время то, что мы видим - достаточно "низковисящие фрукты" для любого парня с метасплойтом. Кроме превентивных есть детективные и коррективные средства защиты, которые позволяют обнаружить атаку и минимизировать последствия.

А вы в курсе, что на подавляющем большинстве операторских станций в пределах АСУТП нет антивирусов? А знаете, почему? (Сразу скажу: "деньги" - ответ неверный, "лень" и "расп..дяйство" - тоже).

[Jackson]

Было бы великолепно, если бы были указаны конкретные ляпы и недочеты.

Спасибо!

Да ведь целый топик у нас, на хабре и еще наверняка в десятке мест в интернете только этому и посвящены. Перечислено предостаточно. Так что на здоровье. ;)

Меня начинают терзать смутные сомнения. Черный PR - это ведь тоже PR, да?

[Jackson]

Уважаемый (пока еще) Сергей. Совершенно бесполезно цитировать мне в личку чьи-то слова, без указания авторства и еще просить прокомментировать. Следите за цитатами. Считайте это публичным предупреждением).

[+]

Напоминаю всем участникам форума о наличии кнопки "сообщить модератору", в том числе и в личных сообщениях, на случай чьей-либо излишней назойливости.

Если Вы еще не поняли - тут собрались люди которые релейные схемы легко читают без стакана и в любое время суток невзирая на образование, так что просто соскочить с разговора подсунув "более правильный оригинал" материала не получится, даже не надейтесь.

[Ryzhij]

Поздравляю с "Днём специалиста по безопасности!", отмечаемым сегодня, 12 ноября.

[VADR]

Вообще говоря, тема информационной безопасности в АСУТП - весьма важная, если не сегодня, то завтра рано утром :). Но чтобы влезать в эту тему, безопасникам надо таки вникнуть в то, что есть АСУТП и с чем его едят...

PS: Представляю диалог безопасника и пианиста: пианист ему про ноты, а в ответ - "пальцы можно крышкой прищемить" :). И ещё какая-нибудь своя терминология, в которой нотами называется что-то совершенно другое...
PPS: А ещё... представляю, как бы я сунулся к тем же пианистам со своим форумским понятием слова "модератор"... Бедный пианист, взглянув на педали...

[Romcheg]

В погоне доказать свою значимость, в большинстве случаев упускается из виду банальный расчет обоснованности. На многих решениях эта ИБ действительно как зайцу стоп сигнал. Однако на нее грохается уйма средств, ресурсов и потом пожинаются плоды отвратительной работы информационной инфраструктуры, а делающие ее инженеры важно дуют щеки и задирают носы от собственной важности. Буквально только что вернулся из командировки, где сам лично присутствовал, при ситуации, где на объекте у таких вот информационных безопасников сдох центральный коммутатор сетевой системы в купе с сервером безопасности, и все 9 систем объекта легли наглухо, несмотря на резервирование узлов, серверов и контроллеров, все эти решения оказалось бесполезны, когда в информационной структуре супер-навороченной безопасности сети умер всего 1 элемент. И из-за этого 1 элемента наглухо встала целая станция на несколько суток, вот кипишь-то был забавный. И все эти Газпромовские СТО насчет ИБ систем АСУ ТП жиииииденько так обкакались, а почему - потому что их разрабатывали те, кто вообще в АСУ ТП и ТАУ не смыслят, и видели их только на картинках, но упорно пытаются быть экспертами, ни разу не пытаясь хоть сколько-нибудь изучить предметную область прежде, чем лезть в нее со своими уставами.