AK
Можно прямо в прикладном по функцию заложить, фотографировать на вебкамеру пользователя который команды подаёт или в случае появления алертов.
Size: a a a
2018 November 09
AV
Dmitry Darensky
Спорное утверждение. Потому что необходимо контролировать коммуникации в обе стороны. Конечно плохо, когда внутрь что-то пролетает. Но многие зловреды например или те же боты устанавливают внешние соединения и только тогда начинают вредить. Занести их могут и "ногами", а вот ломиться они будут наружу уже изнутри.
Да. Надо разделять проникновение и дальнейшую "работу" зловредов. Первое может быть и влоб через пнриметр, теоретически. А вот потом... Реверсивные техники с середины нулевых рулят как у троянов так и у лигитимных штук.
DP
Dmitry Darensky
Спорное утверждение. Потому что необходимо контролировать коммуникации в обе стороны. Конечно плохо, когда внутрь что-то пролетает. Но многие зловреды например или те же боты устанавливают внешние соединения и только тогда начинают вредить. Занести их могут и "ногами", а вот ломиться они будут наружу уже изнутри.
Дим, такие несанкционированные коммуникации вредоносов по идее должны уметь отлавливать средства анализа трафика на уровне ПОБИ АСУТП. Такие решения существуют и они особой заточки на АСУТП не имеют, т.к. вне управляющих сегментов сети расположены.
DP
Я имел ввиду проблему, которую как решать не очень понятно. Например, есть флэшки для быстрой прогрузки конфигурации/ обновления прошивки в оборудовании. Как защитить такой штатный канал? Опять же флэшки с обновлениями системного и прикладного ПО/проектов скады и т.п.
Тут нужна поддержка крипты на стороне всех устройств к которым такие носители подключаются.
Тут нужна поддержка крипты на стороне всех устройств к которым такие носители подключаются.
DD
Это не технический вопрос, а процессный. Если на предприятии нет процесса и людей которые данные процессы реализуют, то никакие технические решения её спасут.
DD
Например, у Honeywell есть решение по контролю съёмных носителей. Ок. Внедрили. Дальше что? Дальше самое интересное)
DP
Dmitry Darensky
Это не технический вопрос, а процессный. Если на предприятии нет процесса и людей которые данные процессы реализуют, то никакие технические решения её спасут.
Я говорю от технической стороне решения. Бумажки службы ИБ заказчиков и сами пишут.
DD
А я не о бумажках)
DD
Это процесс контроля использования внешних носителей.
DP
Тогда поясни
DP
Так в этом мой вопрос и был, такими тех мерами этот процесс контроля можно обеспечить?
АК
Dmitry Ponomarev
Особенно полезно было бы ввести контроль за содержимым доверенных носителей.
Как правило подобный контроль упирается. Пользователь подавший заявку обманывает в заявке и это можно проверить только постфактум. Спасает антивирус.
DD
Написал выше. Обратитесь к Honeywell, у них что-то было на эту тему
DP
Dmitry Darensky
Написал выше. Обратитесь к Honeywell, у них что-то было на эту тему
Ок
AS
Dmitry Ponomarev
Ок
Ребята, неужели вы забыли /Device Control / Whitelisting в KICS for Nodes? 🤨
DD
Не забыли, а не знали) мало рекламы просто😆
DS
DP
Ребята, неужели вы забыли /Device Control / Whitelisting в KICS for Nodes? 🤨
Так он же только серийник флэшки проверяет, а содержимое не контролирует.
DP
Да и то только на узлах с windows
AS
Dmitry Ponomarev
Так он же только серийник флэшки проверяет, а содержимое не контролирует.
Как это, а остальные движки? А что в содержимом надо контролировать?