Как стать автором
Обновить

Комментарии 5

Очень интересно, спасибо. Stuxnet - был первой ласточкой, вот и Шнайдер взломали.

На счёт архитектуры ПАЗ - я бы поспорил. В моем опыте ПАЗ реализована непосредственно а контроллерах управления, так что никаких сетевых экранов или низкоуровневых интерфейсов не может быть применено в принципе.

А как противостоять таким атакам, тема не раскрыта. Это все понятно, что следить за безопасностью, читать логи и т.д. Но это уже следствие. А как бороться с причиной, с тем что никто не задумывается о необходимости таких действий...

Это атаки совершенно разного уровня. Stuxnet пролез через обновления прошивки, подписанные вендором оборудования, здесь имеем многоуровневую, но обычную атаку на эшелонированную сеть под виндами, плюс конкретный эксплойт на уязвимость нулевого дня в ПЛК цели (а на подобных железках обновление firmware после стартовой настройки — редкость сама по себе).


Как противостоять таким атакам — ну например, не доводить до самой атаки на ПЛК/ПАЗ, отлавливая попытки проникновения на этапе влезания в сеть (есть уже NGFW, умеющие определять атакующие паттерны), поднимать алерты на доступ через RDP на критичные узлы сети, лучше всего на уровне сетевого оборудования (т.е. если получен пакет с флагом SYN dst.ip=XXXX dst.port=3389, кинуть трап в заббикс или ещё куда), не выпускать 53 порт наружу кроме как с DNS-сервера (ему положено), ещё наверно с десяток идей можно найти, но главное — на это всё реагировать адекватным образом.

Ошибаетесь: stuxnet инфицировал среду разработки, а загружал прошивку все же инженер. Другой вопрос что тот инженер принес вредонос на флешке, а тут загрузили по сети.

А мероприятия противодействия, которые вы описали - не обязательные, не входят в стандарты, поэтому, происходит то что описано в статье. Может, внести из в 61508, или какие то другие стандарты? А может, существуют стандарты информационной безопасности на производствах???

Почему-то про атрибуцию Triton ни слова.

Мы можем судить об атаке Trisis по отчету FireEye. Последние связывали хакерскую группировку, которая стоит за Trisis/Triton, с российским НИИ. Но обсуждать атрибуцию атаки, когда не видел семплов ВПО, крайне сложно и не очень правильно.
В посте речь все-таки о том, как защититься от угрозы, а откуда она исходит – это тема отдельного исследования.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.