Комментарии 23
НЛО прилетело и опубликовало эту надпись здесь
Было бы неплохо дополнить статью ссылками (хотя бы на Википедию)
Но первая подобная кибер-атака произошла еще до появления Интернета — в 1982 году.
Тогда группа хакеров смогла установить троян в SCADA-систему, которая контролировала работу сибирского нефтепровода, что привело к мощному взрыву. Атака была организована ЦРУ, хотя об этом не было известно до 2004 года, когда бывший секретарь Министерства обороны США и советник Р. Рейгана Томас Рид опубликовал свою книгу “At the Abyss: An Insider’s History of the Cold War”.
Ага, байка известная.
Но мне не удалось найти подтверждений сему «мощному взрыву», да и SCADA на советском газопроводе в 1982-м году смотрится несколько инородно. Не может ли это быть мнэ… Фантазиями Томаса Рида?
В 1999 году хакеры нарушили работу систем безопасности российского энергетического гиганта — компании «Газпром». С помощью инсайдера они использовали троян, чтобы иметь возможность управлять SCADA- системой, контролирующей подачу газа. К счастью, это не привело к серьезным последствиям, а нормальная работа системы была восстановлена в кратчайшие сроки.
Расскажите, пожалуйста, подробнее, что именно пострадало? ЦПДД? Какой-то из Трансгазов? ПХГ? Какое-то ЛПУ МГ? КС? ГРС?
Не это ли проишествие, просто датой ошиблись.
В момент встречного прохождения двух пассажирских поездов № 211 «Новосибирск — Адлер» и № 212 «Адлер — Новосибирск» произошёл мощный взрыв облака лёгких углеводородов, образовавшегося в результате аварии на проходящем рядом трубопроводе «Сибирь — Урал — Поволжье».
Нет, катастрофа под Уфой непохожа на первоисточник байки. Только в остальных версиях и в Вики упоминался газопровод.
Для начала — год совсем другой. Затем — там был не газопровод, а продуктопровод (ШФЛУ). Который изначально вообще проектировался как нефтепровод. И вряд ли имел SCADA. Ну и опять же — я не верю, что троян в SCADA может вызвать трещину в трубе.
Для начала — год совсем другой. Затем — там был не газопровод, а продуктопровод (ШФЛУ). Который изначально вообще проектировался как нефтепровод. И вряд ли имел SCADA. Ну и опять же — я не верю, что троян в SCADA может вызвать трещину в трубе.
Понятно. Мопед не ваш, вы просто разместили объяву.
Не нашел там ничего про сибирский нефтепровод. Только про сибирский газопровод какой-то — и то без подробностей. И с пометкой «Likely But Unconfirmed».
Про Газпром пометка аналогична. И тоже без подробностей — чем повредили, как повредили… Разве что упомянут инсайдер — ну да инсайдер в принципе может много чего интересного сделать. Метнуть по топору в САУ и САЗ, например, на объекте.
Ну и в целом я не смог на ваших ресурсах найти упоминание, скажем, червя на атомной станции Davis–Besse, а случай был очень резонансный. И подтверждается многочисленными упоминаниями этого события.
Из чего у меня лично делается вывод, что упомянутый вами ресурс несколько ангажирован либо как-то странно формирует свою БД.
Не нашел там ничего про сибирский нефтепровод. Только про сибирский газопровод какой-то — и то без подробностей. И с пометкой «Likely But Unconfirmed».
Про Газпром пометка аналогична. И тоже без подробностей — чем повредили, как повредили… Разве что упомянут инсайдер — ну да инсайдер в принципе может много чего интересного сделать. Метнуть по топору в САУ и САЗ, например, на объекте.
Ну и в целом я не смог на ваших ресурсах найти упоминание, скажем, червя на атомной станции Davis–Besse, а случай был очень резонансный. И подтверждается многочисленными упоминаниями этого события.
Из чего у меня лично делается вывод, что упомянутый вами ресурс несколько ангажирован либо как-то странно формирует свою БД.
Не обнаружил информации о BlackEnergy, а ведь довольно эпично электроенергию отключали http://blog.checkpoint.com/2016/01/14/check-point-threat-alert-blackenergy-trojan/
Пошел по ссылке почитать про то, что это такое Adaptive Defense 360 и после строк: «Основные характеристики Panda Adaptive Defense 360
Будучи облачным сервисом, вся инфраструктура данного решения расположена в облаке – в дата-центрах Microsoft на платформе Windows Azure, с высочайшим уровнем физической и информационной безопасности.» — стало понятно, что ребята делают решение в виде очередного «сферического коня в вакууме» для нужд ИБ систем АСУТП… Вы на скольких реальных объектах ТП были??? У вас вообще есть в штате специалисты по АСУТП, чтобы понимать куда вы пытаетесь продвигать подобные решения? Такое ощущение, что следуя всеобщему мейнстриму по срубанию бабла на поприще ИБ для АСУТП туда сейчас лезут все кому не лень. Какой-то кавардак. Отдельно радуют страшилки в виде перечисления мифических атак, из которых 99,9% вся информация только на уровне слухов, или как тут мне недавно выдал один из «спецов» по ИБ: «про это говорили даже на саммите по ИБ в Майами»… Я аж прослезился про такие критерии оценки достоверности информации. А потом обижаются — вот АСУТПшники идиоты, ничего не понимают в ИБ. Да, мы не понимаем — как вообще вы такими методами собираетесь обеспечивать ИБ там, где нифига сами не понимаете как это должно работать, чтобы не организовать очередную техногенную катастрофу своими наворотами по этой безопасности. Утрируя: прежде чем ставить «антивирус» — выясните, а действительно ли он там нужен, и не достаточно ли будет обеспечить эту самую ИБ обычными административными мерами, насколько повлияет этот «антивирус» на сам технологический процесс и не приведет ли его работа и влияние на систему АСУТП к более фатальным последствиям. А то сразу к облаку подключить… хех…
Будучи облачным сервисом, вся инфраструктура данного решения расположена в облаке – в дата-центрах Microsoft на платформе Windows Azure, с высочайшим уровнем физической и информационной безопасности.» — стало понятно, что ребята делают решение в виде очередного «сферического коня в вакууме» для нужд ИБ систем АСУТП… Вы на скольких реальных объектах ТП были??? У вас вообще есть в штате специалисты по АСУТП, чтобы понимать куда вы пытаетесь продвигать подобные решения? Такое ощущение, что следуя всеобщему мейнстриму по срубанию бабла на поприще ИБ для АСУТП туда сейчас лезут все кому не лень. Какой-то кавардак. Отдельно радуют страшилки в виде перечисления мифических атак, из которых 99,9% вся информация только на уровне слухов, или как тут мне недавно выдал один из «спецов» по ИБ: «про это говорили даже на саммите по ИБ в Майами»… Я аж прослезился про такие критерии оценки достоверности информации. А потом обижаются — вот АСУТПшники идиоты, ничего не понимают в ИБ. Да, мы не понимаем — как вообще вы такими методами собираетесь обеспечивать ИБ там, где нифига сами не понимаете как это должно работать, чтобы не организовать очередную техногенную катастрофу своими наворотами по этой безопасности. Утрируя: прежде чем ставить «антивирус» — выясните, а действительно ли он там нужен, и не достаточно ли будет обеспечить эту самую ИБ обычными административными мерами, насколько повлияет этот «антивирус» на сам технологический процесс и не приведет ли его работа и влияние на систему АСУТП к более фатальным последствиям. А то сразу к облаку подключить… хех…
Проблема заключается в том, что ряд технологических процессов могут управляться с «обычных» компьютеров, тем более, если они интегрированы во внутреннюю сеть или даже имеют выход в Интернет в силу развития концепций по расширению взаимодействия между различными системами управления и т.д. Поэтому Panda Adaptive Defense 360 может обеспечить защиту таких компьютеров, чтобы оградить кибер-угрозы от воздействия на объекты критической инфраструктуры, когда через скомпрометированный компьютер кибер-преступники смогут осуществить ряд других операций, способных повлиять на работу таких объектов.
Естественно, мы не говорим о том, что антивирус нужно поставить везде. И, конечно, Вы правы, что помимо самих только решений ИБ, есть масса других мер, которые необходимо предпринимать. Причем в первую очередь необходимо говорить о соответствующих организационных мерах. Кстати, если Вы посмотрите наши другие статьи, то мы об этом пишем очень часто. Но сейчас мы оставили все это за скобками, т.к. в данной статье смотрим на данную проблему со стороны своей сферы — ИБ. Мы говорим о том, что проблема есть, она вполне реальна, и примеров уже достаточно. О многих из них мы не можем сказать в силу целого ряда причин, но мы знаем о них, т.к. работаем по всему миру.
Естественно, мы не говорим о том, что антивирус нужно поставить везде. И, конечно, Вы правы, что помимо самих только решений ИБ, есть масса других мер, которые необходимо предпринимать. Причем в первую очередь необходимо говорить о соответствующих организационных мерах. Кстати, если Вы посмотрите наши другие статьи, то мы об этом пишем очень часто. Но сейчас мы оставили все это за скобками, т.к. в данной статье смотрим на данную проблему со стороны своей сферы — ИБ. Мы говорим о том, что проблема есть, она вполне реальна, и примеров уже достаточно. О многих из них мы не можем сказать в силу целого ряда причин, но мы знаем о них, т.к. работаем по всему миру.
1) Очень хочу видеть конкретное перечисление реальных АСУТП, где «обычные» ПК, управляющие технологическим процессом интегрированы во внутреннюю сеть, или ДАЖЕ имеют прямой выход в Интернет!
2) Очень хочу увидеть документы проектов таких систем, чтобы знать, кто тот безрукий и безголовый архитектор, который спроектировал подобные структуры и допустил их использование на реальных технологических объектах!
Я понимаю, что второй вопрос — это лично мое, но вот по первому вопросу — пока не расскажете о таких, или не приведете примеры, все это слова слова и маркетинговые рассказки.
2) Очень хочу увидеть документы проектов таких систем, чтобы знать, кто тот безрукий и безголовый архитектор, который спроектировал подобные структуры и допустил их использование на реальных технологических объектах!
Я понимаю, что второй вопрос — это лично мое, но вот по первому вопросу — пока не расскажете о таких, или не приведете примеры, все это слова слова и маркетинговые рассказки.
По вашему первому пункту могу назвать два нефтезавода. Выхода в интернет нет, но ПК, принтеры и прочая лабуда находится в одной сети с контроллерами Siemens, управляющими техпроцессом. Авторы подобного — российские интеграторы. Без имён, извините.
Ага и доступ к этим ПК у любого с улицы? Или за этими ПК сидят кто угодно и таскают туда все что ни попадя на флешках? Так может туда не средства ИБ ставить, а для начала мозг в черепную коробку эксплуатации, а затем сделать систему правильно, чтобы не было бардака такого?
Я уже как-то приводил аналогию в одной из тем обсуждения ИБ в АСУ ТП:
Да, давайте теперь из-за этого придумаем специальные операционные системы, специальное ПО, анализирующее весь трафик в АСУ ТП, чтобы избежать использования подобных ситуаций злоумышленниками… Как там у Жванецкого: «Так может все же что-то в консерватории поправить?». А то смахивает на ситуацию, что после ремонта коридора кто-то ведро оставил подвешенное к потолку и теперь все кто по нему идут больно бьются об него головой, поэтому было придумано всем обязательно носить каски, разработаны методики по одеванию и снятию касок всех идущих по коридору, создано бюро по выдачи этих касок и даже повешена система видеонаблюдения за этим участком, чтобы выявлять тех, кто не одел каску и приложился лбом к ведру… В интернете куча сообществ людей, которые имеют дипломы по прохождению коридора с ведром без последствий, много форумов кишит обсуждениями как удобнее пригинаться или в какую сторону уклоняться от ведра в зависимости от скорости движения по коридору. Вот только, почему-то, снять это ведро и убрать — никому в голову не приходит. А зачем — ведь столько рабочих мест, столько инноваций, такой рынок сбыта.
Ваши примеры — это примеры реальной безграмотности построения систем и дилетантства, подкрепленные безалаберностью и пофигизмом эксплуатации-заказчика, но никак не примеры реальных АСУ ТП. Вот за такие системы как раз надо в первую очередь лицензий лишать тех, кто их создает и проектирует, и на пушечный выстрел не подпускать к АСУ ТП (это уже как раз ко второму моему вопросу).
Я уже как-то приводил аналогию в одной из тем обсуждения ИБ в АСУ ТП:
Да, давайте теперь из-за этого придумаем специальные операционные системы, специальное ПО, анализирующее весь трафик в АСУ ТП, чтобы избежать использования подобных ситуаций злоумышленниками… Как там у Жванецкого: «Так может все же что-то в консерватории поправить?». А то смахивает на ситуацию, что после ремонта коридора кто-то ведро оставил подвешенное к потолку и теперь все кто по нему идут больно бьются об него головой, поэтому было придумано всем обязательно носить каски, разработаны методики по одеванию и снятию касок всех идущих по коридору, создано бюро по выдачи этих касок и даже повешена система видеонаблюдения за этим участком, чтобы выявлять тех, кто не одел каску и приложился лбом к ведру… В интернете куча сообществ людей, которые имеют дипломы по прохождению коридора с ведром без последствий, много форумов кишит обсуждениями как удобнее пригинаться или в какую сторону уклоняться от ведра в зависимости от скорости движения по коридору. Вот только, почему-то, снять это ведро и убрать — никому в голову не приходит. А зачем — ведь столько рабочих мест, столько инноваций, такой рынок сбыта.
Ваши примеры — это примеры реальной безграмотности построения систем и дилетантства, подкрепленные безалаберностью и пофигизмом эксплуатации-заказчика, но никак не примеры реальных АСУ ТП. Вот за такие системы как раз надо в первую очередь лицензий лишать тех, кто их создает и проектирует, и на пушечный выстрел не подпускать к АСУ ТП (это уже как раз ко второму моему вопросу).
Воу воу, палегчэ! :) Мой посыл был не в том, что давайте защищать такие дыры всяким странным ПО, а в том, что нужно изначально делать правильно, тогда и это ПО не понадобится.
Понимаете, где я только не сталкивался с АСУТП (нефтянка), везде всем пофиг, как сделано, лишь бы работало. На мои замечания — а у вас все коммутаторы с паролем по умолчанию и ИБП можно выключить по сети без пароля мне отвечали — да кому это надо, мы сами тут ничо не понимаем, иди иди отсюда, не умничай.
Мои примеры это примеры реального подхода к АСУТП у нас в стране. Эксплуатация не понимает, что им делают на уровне железа и ПО, а интеграторам вообще пофиг, с них не требуют.
Тут еще поднимается вопрос компетенции кадров. Не каждый АСУшник спец в ИБ, и наоборот. Обычно даже ИБ-шника нет, а его функции делегируют АСУшнику. А тот ни в зуб ногой, и от слова Cisco падает в обморок. Поэтому вот эти всякие панды и идут на рынок. В каких то случаях проще навтыкать софта и хоть как-то защититься, чем полностью переделывать архитектуру АСУТП.
Понимаете, где я только не сталкивался с АСУТП (нефтянка), везде всем пофиг, как сделано, лишь бы работало. На мои замечания — а у вас все коммутаторы с паролем по умолчанию и ИБП можно выключить по сети без пароля мне отвечали — да кому это надо, мы сами тут ничо не понимаем, иди иди отсюда, не умничай.
Мои примеры это примеры реального подхода к АСУТП у нас в стране. Эксплуатация не понимает, что им делают на уровне железа и ПО, а интеграторам вообще пофиг, с них не требуют.
Тут еще поднимается вопрос компетенции кадров. Не каждый АСУшник спец в ИБ, и наоборот. Обычно даже ИБ-шника нет, а его функции делегируют АСУшнику. А тот ни в зуб ногой, и от слова Cisco падает в обморок. Поэтому вот эти всякие панды и идут на рынок. В каких то случаях проще навтыкать софта и хоть как-то защититься, чем полностью переделывать архитектуру АСУТП.
Забыл, по поводу:
Да, сидят. Да, таскают. Маленький город на 85к населения, свежепостроенный нефтезавод. Люди наспех отучивались на оператора НПЗ за счет ЦЗ и шли работать. Компетенция нулевая. Поначалу даже крали ключи защиты софта, думали, что флэшки, обратно так и не вернули. Что вы хотите от этих людей, а других нет.
Или за этими ПК сидят кто угодно и таскают туда все что ни попадя на флешках?
Да, сидят. Да, таскают. Маленький город на 85к населения, свежепостроенный нефтезавод. Люди наспех отучивались на оператора НПЗ за счет ЦЗ и шли работать. Компетенция нулевая. Поначалу даже крали ключи защиты софта, думали, что флэшки, обратно так и не вернули. Что вы хотите от этих людей, а других нет.
На самом деле, я думаю, есть некоторое недопонимание. Попытаюсь здесь сразу ответить на сказанное выше и ниже.
В данной статье в разделе «Технические характеристики» изначально было отмечено о том, что в силу развития технологий и самих потребностей предприятий развиваются новые системы на базе гибридных архитектур, которые представляют собой сочетание ИТ-сетей и ОТ-сетей. Т.е. есть точки соприкосновения, и эти точки — это компьютеры. Мы пишем о том, что сами системы контроля работы критических инфраструктур, конечно же, должны быть изолированы от Интернета и даже от общей внутренней сети, но существуют такие системы контроля SCADA, которые видны во внутренней сети (а в некоторых случаях, даже имеют доступ в Интернет). Т.е. сами они не принимают участие непосредственно в управлении ТП, но они могут использоваться как шлюз для получения конфиденциальной информации о той же АСУТП для планирования других атак.
Наше решение как раз и предназначено для того, чтобы защищая обычные компьютеры на основе новой модели безопасности максимально предотвратить и исключить их компрометацию. Т.е. защита этих самых точек соприкосновения.
Технологии не стоят на месте и они постоянно развиваются, конечно же, со своими плюсами и минусами. Есть определенные потребности во взаимодействии различных систем управления и мониторинга ТП. И зачастую для этого используются ИТ-ресурсы, даже тот же Интернет. Понятно, что гораздо проще все закрыть полностью и сделать обособленным, но это не всегда та схема, которая необходима для гибкого и оперативного управления. А потому здесь есть новые риски, и о них идет речь в статье.
Вы это серьезно говорите? Неужели Вы действительно думаете, что Вам кто-то это когда-то предоставит: список АСУТП со схемами, характеристиками и другой конфиденциальной информацией? Вы бы тоже стали раздавать свои проекты направо-налево?
Те случаи атак (как и многие другие), которые описаны в данной статье, — это те случаи, о которых много говорили и есть определенная «публичность» этих событий. И даже в этом случае нет 100% подтверждений и доказательств (как и нет доказательств обратному, что этого не было или это было не из-за кибер-атак). А многие случаи остались «за кадром». Наши специалисты знают о многих таких случаях, но по понятным причинам (надеюсь, Вы понимаете их?) мы не можем говорить о них публично.
Данная статья — это попытка обратить внимание на то, что передовые критические инфраструктуры — не те, что были 20 лет назад, они интегрируются в определенное информационное пространство со всеми вытекающими отсюда новыми рисками и угрозами. Это реальность. Конечно, это надо делать профессионально и с многоуровневой системой безопасности. Жить «по-старинке» и что-то там ваять «на коленке» — это бесперспективно.
В данной статье в разделе «Технические характеристики» изначально было отмечено о том, что в силу развития технологий и самих потребностей предприятий развиваются новые системы на базе гибридных архитектур, которые представляют собой сочетание ИТ-сетей и ОТ-сетей. Т.е. есть точки соприкосновения, и эти точки — это компьютеры. Мы пишем о том, что сами системы контроля работы критических инфраструктур, конечно же, должны быть изолированы от Интернета и даже от общей внутренней сети, но существуют такие системы контроля SCADA, которые видны во внутренней сети (а в некоторых случаях, даже имеют доступ в Интернет). Т.е. сами они не принимают участие непосредственно в управлении ТП, но они могут использоваться как шлюз для получения конфиденциальной информации о той же АСУТП для планирования других атак.
Наше решение как раз и предназначено для того, чтобы защищая обычные компьютеры на основе новой модели безопасности максимально предотвратить и исключить их компрометацию. Т.е. защита этих самых точек соприкосновения.
Технологии не стоят на месте и они постоянно развиваются, конечно же, со своими плюсами и минусами. Есть определенные потребности во взаимодействии различных систем управления и мониторинга ТП. И зачастую для этого используются ИТ-ресурсы, даже тот же Интернет. Понятно, что гораздо проще все закрыть полностью и сделать обособленным, но это не всегда та схема, которая необходима для гибкого и оперативного управления. А потому здесь есть новые риски, и о них идет речь в статье.
Очень хочу видеть конкретное перечисление реальных АСУТП, где «обычные» ПК, управляющие технологическим процессом интегрированы во внутреннюю сеть, или ДАЖЕ имеют прямой выход в Интернет!
Очень хочу увидеть документы проектов таких систем, чтобы знать, кто тот безрукий и безголовый архитектор, который спроектировал подобные структуры
Вы это серьезно говорите? Неужели Вы действительно думаете, что Вам кто-то это когда-то предоставит: список АСУТП со схемами, характеристиками и другой конфиденциальной информацией? Вы бы тоже стали раздавать свои проекты направо-налево?
Те случаи атак (как и многие другие), которые описаны в данной статье, — это те случаи, о которых много говорили и есть определенная «публичность» этих событий. И даже в этом случае нет 100% подтверждений и доказательств (как и нет доказательств обратному, что этого не было или это было не из-за кибер-атак). А многие случаи остались «за кадром». Наши специалисты знают о многих таких случаях, но по понятным причинам (надеюсь, Вы понимаете их?) мы не можем говорить о них публично.
Данная статья — это попытка обратить внимание на то, что передовые критические инфраструктуры — не те, что были 20 лет назад, они интегрируются в определенное информационное пространство со всеми вытекающими отсюда новыми рисками и угрозами. Это реальность. Конечно, это надо делать профессионально и с многоуровневой системой безопасности. Жить «по-старинке» и что-то там ваять «на коленке» — это бесперспективно.
Данная статья — это попытка обратить внимание на то, что передовые критические инфраструктуры — не те, что были 20 лет назад, они интегрируются в определенное информационное пространство со всеми вытекающими отсюда новыми рисками и угрозами. Это реальность.
Это не реальность, это безалаберность и отсутствие понимания.
решение в виде очередного «сферического коня в вакууме» для нужд ИБ систем АСУТП
По поводу «сферического коня в вакууме»… Это синоним теоретического построения или утверждения, недостижимого на практике.
Panda Adaptive Defense 360 эффективно работает на сотнях тысячах корпоративных устройств в различных компаниях (в т.ч. и с объектами критической инфраструктуры) во многих странах мира, включая Россию. В этом предложении акцент на фразе «эффективно работает». Т.е. как минимум уже достижимо на практике, что ставит под сомнение Вашу оценку продукту.
Давайте не путать «корпоративные устройства» с АСУ ТП.
Мне вот даже интересно стало: из этих сотен тысяч — реальных из АСУ ТП сколько? Или это все сотни тысяч АСУ ТП по всему миру? Тогда интересно было бы узнать какие именно?
Мне кажется вы тут подменяете понятия — говоря о том, что вы защищяя ПК рядового офисного планктона начинаете думать, что способны обеспечить то же самое и для АСУ ТП. Это как бы разные вещи, и судя по вашим статьям — вы не особо вообще себе представляете что такое АСУ ТП.
Мне вот даже интересно стало: из этих сотен тысяч — реальных из АСУ ТП сколько? Или это все сотни тысяч АСУ ТП по всему миру? Тогда интересно было бы узнать какие именно?
Мне кажется вы тут подменяете понятия — говоря о том, что вы защищяя ПК рядового офисного планктона начинаете думать, что способны обеспечить то же самое и для АСУ ТП. Это как бы разные вещи, и судя по вашим статьям — вы не особо вообще себе представляете что такое АСУ ТП.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Самые громкие кибер-атаки на критические инфраструктуры