в контроллеры ESD не могут вносится изменения без останова контроллера
Зависит от характера изменений, но любой серьёзный ESD контроллер позволяет так называемые Online modifications без останова исполнения основной логики. Более того, никто не позволит вам остановить производство (или отдельную установку) для изменения уставки или добавления нового отсечного клапана. Слишком велика цена простоя. А если это крупный завод, скажем 3-4 тысячи входов/выходов, то изменения вносятся постоянно, может быть раз в 2 месяца. Но большие модификации откладываются на период капремонта, тут полностью согласен.
с контроллерами ESD на практике всегда проблемы
А про какие конкретно контроллеры идёт речь? По крайней мере лично не сталкивался с проблемами при перезагрузке S7-1500, Triconex и Honeywell FSC/SM
Использует ли персонал флешки и прочие съемные носители информации? Кто имеет к ним доступ
Тут наверное есть смысл разделить персонал на Операторов (непосредственное управление технологическим процессом) и Инженеров (любые модификации касательно АСУТП). Для первых естественно любые съёмные носители заблокированы на уровне групповых политик домена. Инженеру, на конкретном выделенном АРМ, можно использовать флешку, информация на которую предварительно записывается на компьютере с линуксом и проверяются хеши всех файлов. Эту флешку нельзя втыкать ни в какой другой компьютер.
Присвоена ли каждому оператору АРМ персональная учетная запись
Этот вопрос является предметом многолетних спроров между внешними аудиторами и специалистами АСУТП. Иногда очень тяжело доказать человеку из мира IT то, что это не обычный компьютер и некоторые практики из корпоративной сети тут неприменимы.
компьютеры не блокируются при бездействии
для Оператора АРМ это невозможно
Чаще всего встречаются проблемы с антивирусной защитой. Она либо отсутствует, либо не настроена, либо базы не обновляются
У каждого вендора есть чёткие требования какой антивирус можно использовать и какие директории надо исключить из сканирования. Например конкретно Symantec Endpoint Protection 14.2 RU2 и никаких касперских :-)
Отдельная головная боль это установка патчей от Майкрософт, которые славятся своей непредсказуемостью. Как правило вендор раз в месяц предоставляет список того, что было протестировано на совместимость с программным обеспечением АСУТП, но бывает ситуация когда корпоративные специалисты по кибербезопасности настаивают на установке свежего патча «вот прям счас» и это всегда боль и ненужные разборки между департаментами.
Невнимательно прочитал, извините. В их блоге есть видео есть видео как менять оба значения, но нет рекомендаций по конкретным значениям. Я так понимаю Эластику надо давать больше в силу прожорливости
Java Heap sizes in Graylog and ElasticSearch | Graylog
Смотрел в сторону OpenOPC лет 5 назад, но ни один нормальный аудит не пропустит запуск левого софта на реальной SCADA системе.
клиент не вычитывает теги, в названии которых присутствуют символы, отличающиеся от латинских
А также если присутствует пробел. Далеко не все OPC сервера поддерживают переименование items.
Если SCADA сервера резервированные, то нужно ещё определять кто из них активный. Иногда OPC сервис\приложение не может быть запущено на том сервере, который в данный момент в статусе «backup»
Ну и возможные проблемы при переезде с XP на Win10/2019
У себя решил подобную задачу через скрипт на Powershell
Ах да, я ж забыл что мы живём в правовом государстве. Вы прекрасно всё обосновали с юридической точки зрения, но хотя сейчас уже не дикие 90-е, у Уаси всё равно могут быть большие проблемы. Зависит от того, насколько крупный бизнес у пострадавших и размера ущерба. Естественно из-за $10-20К никто Уасю кошмарить не будет, а если компания попала, к примеру, на $500К, то после неофициального визита службы безопасности Уася с радостью отдаст и бонус, и квартиру, и почку.
Просто поверьте на слово что так бывает, хотя вы могли с такими крайностями и не сталкиваться.
Хакерские атаки с использованием обратной социальной инженерии реализуются именно при помощи добровольного запуска команды.
Полностью согласен, но речь в статье не об этом.
Однако же и злой умысел и статья УК там вполне доказуемы.
Возможно. Но в нашем случае мы имеем вот что:
Я (Уаня) положил на тротуар (интернет) собачью какашку (совет). Случайный прохожий (Уася) подошёл и наступил на неё ногой (запустил команду) чтобы посмотреть что там внутри и ботинок стал плохо пахнуть (упал сервер). Как доказать что я имел злой умысел испортить обувь именно Уасе? Остальные умные прохожие обошли стороной этот предмет с характерной формой и запахом.
И в конечном итоге Уаня может быть наказан собственником этого бизнеса методом «в лесу» по делу.
Маловероятный сценарий развития. Скорее всего нагнут именно Уасю вместо того чтобы искать мифического советчика. И за компанию того, кто допустил неумного сотрудника к боевому серверу.
Потому что если кто-то хочет решать экономические проблемы с помощью насилия, то этот кто-то — бандит
А терерь поставите себя на место владельцев бизнеса, которым клиенты выставили финансовые претензии. Вы лично готовы простить Уасю и покрыть издержки из своего кармана? Вот просто так, по доброте душевной?
По сути статьи: Есть простое, как дверь от сарая, жизненное правило — никогда не делай другим того, чего не хочешь чтобы сделали тебе. Уане оне не знакомо, поэтому имеем то, что имеем. Но в чём его вина? В том, что захотел напакостить незнакомому человеку? Ну так он ему руки не выкручивал, Уаня запустил команду добровольно. Как тут можно доказать именно злой умысел?
Тёплый ламповый интернет, где все друг друга любили и помогали, давно кончился и превратился в большую помойку. И если Уася этого до сих пор не осознал, то ССЗБ.
Боевой скрипт показать не могу, сейчас нет доступа к корпоративной сети. Помню что идею брал отсюда и допилил под конкрктные хосты\графики. Только что проверил — работает с версией 4.0
А что не так с получением графиков в формате .png в версии 3.4? У нас самописный powershell, который вытаскивает ~ 20 картинок через API и формирует отчёт в pdf каждое утро. Работает без проблем, хотя у графаны конечно графики красивее выглядят.
В прошлом году компания Хоневелл анонсировала нечто подобное, говорят в Америке пользуется спросом. Наверно потому, что теперь думать вообще не надо, достаточно следовать подсказкам на экране.
Хотел показать коллеге, но он австалиец и специально для этого не будет учить русский язык. В принципе там и так всё понятно для тех кто в теме, просто хотелось бы версию для АСУшников за пределами СНГ.
Помимо синхронизации бытовых часов этот сигнал можно использовать как источник времени для промышленных ПЛК. Выдержка из спецификации оборудования Honeywell:
«In addition to the diagnostic messages, the DBM module is provided
with a real-time clock function, which is synchronized to the DCF-77
radio time beacon. This time beacon istransmitted at a frequency of
77.5 kHz (long wave) from a transmitter near Frankfurt (Germany),
and has a time deviation of less than 1 second in 300,000 years.
During bad radio receive conditions, the 10006/2/2 module will switch
to the local (DCF-synchronized, quartz-controlled) real-time clock to
continue providing the current time.»
А что конкретно интересует? Вот тут все преимущества расписаны.
LTSB 1609 уствновлена на 28 машин, 2 типовые конфигурации железа, на трёх машинах установлена 32-бит версия, раз в месяц накатываю свежий cumulative security patch, вроде пока проблем не было.
В сети доступны десятки инструкций (даже с картинками) по установке Zabbix xxx на Linux xxx. Если не помогает, то да, "Начальное развертывание PRTG гораздо проще, поскольку оно заключается всего лишь в установке программы на ПК с ОС Windows. Это задача, которая выполняется всего за несколько минут" это наше всё.
Настоятельно рекомендую не воспринимать данное «исследование» всерьёз. Последние несколько лет Honeywell активно продвигает свои решения на тему cyber-security, но большинство материалов по теме написано маркетологами, а не инженерами. В итоге подобные страшилки напоминают проблему Y2K, на которой ушлые продавцы срубили сотни нефти на пустом месте.
Учитывая что Honeywell является одним из ключевых поставщиков систем управления технологическими процессами довольно странно видеть рассуждения на тему использования USB в принципе. Решение очевидно — на всех станциях, к которым есть физический доступ заводского персонала, все порты USB должны быть отключены на уровне BIOS и/или средствами групповых политик. И будет всм счастье (ну почти).
Зависит от характера изменений, но любой серьёзный ESD контроллер позволяет так называемые Online modifications без останова исполнения основной логики. Более того, никто не позволит вам остановить производство (или отдельную установку) для изменения уставки или добавления нового отсечного клапана. Слишком велика цена простоя. А если это крупный завод, скажем 3-4 тысячи входов/выходов, то изменения вносятся постоянно, может быть раз в 2 месяца. Но большие модификации откладываются на период капремонта, тут полностью согласен.
А про какие конкретно контроллеры идёт речь? По крайней мере лично не сталкивался с проблемами при перезагрузке S7-1500, Triconex и Honeywell FSC/SM
Добавлю свои 5 копеек
Тут наверное есть смысл разделить персонал на Операторов (непосредственное управление технологическим процессом) и Инженеров (любые модификации касательно АСУТП). Для первых естественно любые съёмные носители заблокированы на уровне групповых политик домена. Инженеру, на конкретном выделенном АРМ, можно использовать флешку, информация на которую предварительно записывается на компьютере с линуксом и проверяются хеши всех файлов. Эту флешку нельзя втыкать ни в какой другой компьютер.
Этот вопрос является предметом многолетних спроров между внешними аудиторами и специалистами АСУТП. Иногда очень тяжело доказать человеку из мира IT то, что это не обычный компьютер и некоторые практики из корпоративной сети тут неприменимы.
для Оператора АРМ это невозможно
У каждого вендора есть чёткие требования какой антивирус можно использовать и какие директории надо исключить из сканирования. Например конкретно Symantec Endpoint Protection 14.2 RU2 и никаких касперских :-)
Отдельная головная боль это установка патчей от Майкрософт, которые славятся своей непредсказуемостью. Как правило вендор раз в месяц предоставляет список того, что было протестировано на совместимость с программным обеспечением АСУТП, но бывает ситуация когда корпоративные специалисты по кибербезопасности настаивают на установке свежего патча «вот прям счас» и это всегда боль и ненужные разборки между департаментами.
Невнимательно прочитал, извините. В их блоге есть видео есть видео как менять оба значения, но нет рекомендаций по конкретным значениям. Я так понимаю Эластику надо давать больше в силу прожорливости
Принципиальной разницы нет, в восьмой версии yum это симлинк на dnf. Но согласен - неаккуратненько.
Один Initial, другой Maximum
А также если присутствует пробел. Далеко не все OPC сервера поддерживают переименование items.
Если SCADA сервера резервированные, то нужно ещё определять кто из них активный. Иногда OPC сервис\приложение не может быть запущено на том сервере, который в данный момент в статусе «backup»
Ну и возможные проблемы при переезде с XP на Win10/2019
У себя решил подобную задачу через скрипт на Powershell
Просто поверьте на слово что так бывает, хотя вы могли с такими крайностями и не сталкиваться.
Возможно. Но в нашем случае мы имеем вот что:
Я (Уаня) положил на тротуар (интернет) собачью какашку (совет). Случайный прохожий (Уася) подошёл и наступил на неё ногой (запустил команду) чтобы посмотреть что там внутри и ботинок стал плохо пахнуть (упал сервер). Как доказать что я имел злой умысел испортить обувь именно Уасе? Остальные умные прохожие обошли стороной этот предмет с характерной формой и запахом.
Маловероятный сценарий развития. Скорее всего нагнут именно Уасю вместо того чтобы искать мифического советчика. И за компанию того, кто допустил неумного сотрудника к боевому серверу.
А терерь поставите себя на место владельцев бизнеса, которым клиенты выставили финансовые претензии. Вы лично готовы простить Уасю и покрыть издержки из своего кармана? Вот просто так, по доброте душевной?
По сути статьи: Есть простое, как дверь от сарая, жизненное правило — никогда не делай другим того, чего не хочешь чтобы сделали тебе. Уане оне не знакомо, поэтому имеем то, что имеем. Но в чём его вина? В том, что захотел напакостить незнакомому человеку? Ну так он ему руки не выкручивал, Уаня запустил команду добровольно. Как тут можно доказать именно злой умысел?
Тёплый ламповый интернет, где все друг друга любили и помогали, давно кончился и превратился в большую помойку. И если Уася этого до сих пор не осознал, то ССЗБ.
И тем не менее в любой момент может произойти всякое
Тенгиз
Карачаганак
Да, будем что-то придумывать.
ZBXNEXT-4717
«In addition to the diagnostic messages, the DBM module is provided
with a real-time clock function, which is synchronized to the DCF-77
radio time beacon. This time beacon istransmitted at a frequency of
77.5 kHz (long wave) from a transmitter near Frankfurt (Germany),
and has a time deviation of less than 1 second in 300,000 years.
During bad radio receive conditions, the 10006/2/2 module will switch
to the local (DCF-synchronized, quartz-controlled) real-time clock to
continue providing the current time.»
LTSB 1609 уствновлена на 28 машин, 2 типовые конфигурации железа, на трёх машинах установлена 32-бит версия, раз в месяц накатываю свежий cumulative security patch, вроде пока проблем не было.
Учитывая что Honeywell является одним из ключевых поставщиков систем управления технологическими процессами довольно странно видеть рассуждения на тему использования USB в принципе. Решение очевидно — на всех станциях, к которым есть физический доступ заводского персонала, все порты USB должны быть отключены на уровне BIOS и/или средствами групповых политик. И будет всм счастье (ну почти).