Про какие-то конкретные команды по IEC104 сказать не могу. В случае с IEC - заблокировать можно любую команду, отфильтровав её по любым возможным полям, но конкретный перечень блокируемых команд вместе с их содержимым зависит от того, какие команды используются на предприятии, и с какими данными они гоняются. Данный перечень индивидуален и составляется на этапе настройки FW на предприятии.
Исходя из нашего опыта - часто на FW устанавливают правила, задающие допустимые команды, и уведомляющие администратора ИБ в случае отправки команд не из разрешённого перечня. Правила напрямую блокирующие недопустимые действия (режим IPS) применяются действительно значительно реже, как раз из-за рисков, описанных вами в п.2
Из потенциальных кейсов - у вас есть SCADA система под управлением INEA ME RTU, доступ к которой получили с использованием уязвимости в самой системе (допустим, CVE-2023-2131). К SCADA подключены контроллеры, управляемые по протоколу DNP3. Потенциальный злоумышленник может направить на контроллеры команды, способные нарушить нормальный производственный цикл. FW с корректно настроенными правилами СОВ способен предотвратить отправку команд, которые определены как потенциально вредоносные, на контролируемые устройства. Подробнее про атаки с использованием DNP3 можно прочитать здесь.
Если данные команды могут быть направлены легитимным пользователем - можно установить расписание сработки правил таким образом, чтобы запретить выполнение подобных команд только в то время, когда администратор не должен их направлять.
Примеры успешно реализованных атак, где злоумышленники получив доступ к SCADA системе, направили вредоносные команды на подключенные устройства можно найти, например, здесь и здесь.
Кейсы с тегами приведены скорее для иллюстрации написания парсера, в реальной среде обычно применяются правила СОВ, ограничивающие именно управляющие команды.
Написав парсеры для необходимых протоколов, можно применять сурикатные правила запрещающие передачу потенциально вредоносных команд на устройство (допустим, установить условие для проверки допустимых значений адреса ASDU)
Здесь имеется в виду, что для того чтобы отправить вредоносную команду на подчинённое устройство, необходимо сперва сбросить его существующее подключение к мастер-устройству.
Информация
В рейтинге
Не участвует
Откуда
Санкт-Петербург, Санкт-Петербург и область, Россия
Про какие-то конкретные команды по IEC104 сказать не могу. В случае с IEC - заблокировать можно любую команду, отфильтровав её по любым возможным полям, но конкретный перечень блокируемых команд вместе с их содержимым зависит от того, какие команды используются на предприятии, и с какими данными они гоняются. Данный перечень индивидуален и составляется на этапе настройки FW на предприятии.
Исходя из нашего опыта - часто на FW устанавливают правила, задающие допустимые команды, и уведомляющие администратора ИБ в случае отправки команд не из разрешённого перечня. Правила напрямую блокирующие недопустимые действия (режим IPS) применяются действительно значительно реже, как раз из-за рисков, описанных вами в п.2
Из потенциальных кейсов - у вас есть SCADA система под управлением INEA ME RTU, доступ к которой получили с использованием уязвимости в самой системе (допустим, CVE-2023-2131). К SCADA подключены контроллеры, управляемые по протоколу DNP3. Потенциальный злоумышленник может направить на контроллеры команды, способные нарушить нормальный производственный цикл. FW с корректно настроенными правилами СОВ способен предотвратить отправку команд, которые определены как потенциально вредоносные, на контролируемые устройства. Подробнее про атаки с использованием DNP3 можно прочитать здесь.
Если данные команды могут быть направлены легитимным пользователем - можно установить расписание сработки правил таким образом, чтобы запретить выполнение подобных команд только в то время, когда администратор не должен их направлять.
Примеры успешно реализованных атак, где злоумышленники получив доступ к SCADA системе, направили вредоносные команды на подключенные устройства можно найти, например, здесь и здесь.
Кейсы с тегами приведены скорее для иллюстрации написания парсера, в реальной среде обычно применяются правила СОВ, ограничивающие именно управляющие команды.
Написав парсеры для необходимых протоколов, можно применять сурикатные правила запрещающие передачу потенциально вредоносных команд на устройство (допустим, установить условие для проверки допустимых значений адреса ASDU)
Здесь имеется в виду, что для того чтобы отправить вредоносную команду на подчинённое устройство, необходимо сперва сбросить его существующее подключение к мастер-устройству.