SP
Судя по материалам на сайте, хотя прямо это нигде не написано (или я не нашел) они как-то эту фазу обходят
Size: a a a
2018 October 31
DP
Sergey Pariev
Судя по материалам на сайте, хотя прямо это нигде не написано (или я не нашел) они как-то эту фазу обходят
- Learns “normal” behavior over 12-48 hours and establishes baseline characteristics of the network, services on network, and devices
- Real-time monitoring for behavior outside of “normal” - alarms/notifications
- Real-time monitoring for behavior outside of “normal” - alarms/notifications
DP
похоже на простое самообучение по статистике протокол, IP, порт, направление установки соединения, может быть еще на хостах процесс установивший соединение учитывается :)
DP
но, возможно, я слишком пессиместичен
AI
Сигналы об аварии при этом будет считаться нормальным поведением АСУ ТП?
v
Сигналы об аварии при этом будет считаться нормальным поведением АСУ ТП?
заблокирует что оператор не волновался)
DP
Сигналы об аварии при этом будет считаться нормальным поведением АСУ ТП?
у меня сомнение, что эта система будет разбирать протокол отделяя аварийные сигналы в особую категорию трафика.
DP
vadim.s.
заблокирует что оператор не волновался)
SNOK ничего не блокирует... это чисто IDS
AI
Просто как она запомнит нормальный режим если некоторый трафик может не появляться месяцами и годами? Он попадет в аномалии тогда. И как минимум сгенерирует инцидент ИБ
DP
Просто как она запомнит нормальный режим если некоторый трафик может не появляться месяцами и годами? Он попадет в аномалии тогда. И как минимум сгенерирует инцидент ИБ
Тогда такую систему необходимо обучать весь период проведения испытаний. Где проверяется прохождение всех аварийных сигналов и предупреждений... хотя опять же не факт, что всех
AI
Вот и я о том же
DP
Вот и я о том же
значит будет фолсить каждый раз как чего-то случится... это будет повод проверить собитие на причастность к инциденту ИБ.
DP
вспоминая бородатый анекдот, вопрос сводится к тому, нужны ли нам часы или вентилятор? :)
SP
vadim.s.
заблокирует что оператор не волновался)
)))
SP
Dmitry Ponomarev
Тогда такую систему необходимо обучать весь период проведения испытаний. Где проверяется прохождение всех аварийных сигналов и предупреждений... хотя опять же не факт, что всех
А потом придет главный инженер и скажет поменять уставки )
DP
Sergey Pariev
А потом придет главный инженер и скажет поменять уставки )
например, потому что трансформатор очень старый и по нему все время тревоги сыпятся, а заменить денег нет :)
DP
думаю и все решения по мониторингу кибербезопасности ждет та же участь... что будет ручной ввод угодных руководству событий :)
SP
Dmitry Ponomarev
думаю и все решения по мониторингу кибербезопасности ждет та же участь... что будет ручной ввод угодных руководству событий :)
Сейчас есть тренд на MDR в части организации процесса мониторинга и на появление оконечных устройств, более пригодных для мониторинга
SP
Контроллеры начинают syslog отдавать в частности
SP
И имхо есть готовность вендоров отдавать ещё и другую информацию, что позволит мониторингу не гадать по трафику, а что же там за контроллер стоит, а иметь четкую информацию - кто, где и зачем )