Как работают безопасники: обследование промышленной инфраструктуры / Комментарии / Хабр

Forum3 31 мая 2022 в 15:58

Спасибо. Интересно.

Balpak 31 мая 2022 в 16:39

Добавлю свои 5 копеек

Использует ли персонал флешки и прочие съемные носители информации? Кто имеет к ним доступ

Тут наверное есть смысл разделить персонал на Операторов (непосредственное управление технологическим процессом) и Инженеров (любые модификации касательно АСУТП). Для первых естественно любые съёмные носители заблокированы на уровне групповых политик домена. Инженеру, на конкретном выделенном АРМ, можно использовать флешку, информация на которую предварительно записывается на компьютере с линуксом и проверяются хеши всех файлов. Эту флешку нельзя втыкать ни в какой другой компьютер.

Присвоена ли каждому оператору АРМ персональная учетная запись

Этот вопрос является предметом многолетних спроров между внешними аудиторами и специалистами АСУТП. Иногда очень тяжело доказать человеку из мира IT то, что это не обычный компьютер и некоторые практики из корпоративной сети тут неприменимы.

компьютеры не блокируются при бездействии

для Оператора АРМ это невозможно

Чаще всего встречаются проблемы с антивирусной защитой. Она либо отсутствует, либо не настроена, либо базы не обновляются

У каждого вендора есть чёткие требования какой антивирус можно использовать и какие директории надо исключить из сканирования. Например конкретно Symantec Endpoint Protection 14.2 RU2 и никаких касперских :-)

Отдельная головная боль это установка патчей от Майкрософт, которые славятся своей непредсказуемостью. Как правило вендор раз в месяц предоставляет список того, что было протестировано на совместимость с программным обеспечением АСУТП, но бывает ситуация когда корпоративные специалисты по кибербезопасности настаивают на установке свежего патча «вот прям счас» и это всегда боль и ненужные разборки между департаментами.

Shaman_RSHU 31 мая 2022 в 16:40

Спасибо за статью. Приятно окунуться в атмосферу, когда 11 лет назад вот так же обследовали, проектировали, внедряли...

Неужели и в сегодняшней современности всё так же? Или сейчас уже обследования проводятся по другому, просто не хотите выдавать своих современных методик? :)

Vshavernev 1 июн 2022 в 10:37

Конечно в отрасли есть новшества, есть и секреты фирмы, но из-за специфики оборудования, а порой и просто из-за «устаревшей» инфраструктуры, ими не получается воспользоваться и приходится обследовать «вручную», как и обследовали 11 лет назад.

tlv 1 июн 2022 в 15:16

Ох как у вас выглядит возможным написать "ПО для инвентаризации мы не рискуем запускать - а вдруг негативно скажется на работе АРМ" рядом с "Конечно напишем в рекомендациях что отсутствие антивирусов на АРМ недопустимо и требует срочного устранения"

-2

antej90 6 июн 2022 в 07:43

В конце статьи сказано про технологическое окно, в которое это надо делать.