Комментарии 5
Много, очень много чего упущено! Но, надеюсь рано или поздно полная история будет написана :-)
Взлом Colonial Pipeline выявил уязвимость современного общества. Атака привела к распространению панических настроений в городах, скупке топлива, дефициту бензина и повышению цен на него.
Вопрос №0 - в честь чего элемент критически важной инфраструктуры оказывается физически подключенным к публичным сетям?
Когда-то на HN читал два возможных объяснения:
а) это тяжкое наследие 90-х, когда Интернет был безопаснее, и все хотели всё к нему подключить (стимулируемые, в том числе, теми фирмами, которые это подключение делали).
б) некоторыми особо удаленными объектами дешевле управлять дистанционно, чем держать там инженера, которому 99% времени будет нечего делать. Ну а на безопасности, соответственно, сэкономили.
UPD: а, вот ещё - из статьи про безопасность электроустановок:
Тогда было принято считать, что если хакеры и заберутся в сеть провайдера достаточно глубоко для того, чтобы начать щёлкать переключателями, то сотрудникам просто придётся выгнать их из сети и снова включить электричество. «Мы сможем справиться с этим, как с последствиями обычного шторма, — вспоминает Ассанте слова коллег. – Считалось, что это будет похоже на аварийное отключение энергии, и что мы просто восстановимся и всё – таковы были пределы модели рисков».
Вероятно есть доля истины в таких объяснениях.
Здесь, в Канаде, мне пришлось участвовать в проекте внедрения мер безопасности сети [censored]. В ней использовался чудовищный блок "белых" IP-адресов. И в этой сети даже последний принтер, IP-камера и over 100500 другого оборудования имели белые айпишники и прямой выход в инет. Некоторое особо крупное и ценное оборудование имело кастомные прошивки, написанные еще в "те" времена и ip-адрес был туда "зашит".
И про такие вещи, как NAT, VLAN, ACL, Firewall, 802.1X в [censored] узнали только три года назад.
На мой вопрос - какого хрена у вас происходит? а почему так печально, в 20ХХ году-то? - мне популярно пояснили, что предприятие большое, его донатит правительство денег много, всем было пофиг ценное и крупное оборудование - вообще, монитровалось в эпоху, когда TCP/IP только появился и небыло никаких russian hacker's киберугроз. А зашевелились только после того, как имели место несколько печальных фактов кибератак, и в ответ на жалобы пользователей особо крупного и ценного оборудования дяди из правительства сильно возмутились обещали дать денег еще, на сети.
К сожалению, реальность такова, что air gap таких сетей настолько усложняют обслуживание подключенного оборудования, что оперативный персонал часто в обход СБ подключают станции HMI к незащищенной сети через смартфон и выдают доступ по TeamViewer удаленным инженерам поддержки каких-нибудь вендоров контроллеров. Безопаснее подключать критическую сеть к общей и регламентировать доступ, но это ж экспертиза нужна, а её всегда не хватает.
Эволюция Ransomware