Скачать "Мониторинг информационной безопасности в АСУ ТП. Поиск иголки в стоге сена"

Обложка аудиозаписи

Подождите немного, мы готовим ссылки для удобного просмотра видео без рекламы и его скачивания.

Предыдущее видео: Приключения робота Каспера – Ложная информация Следующее видео: Инвентаризация активов в промышленных сетях: вы не можете защитить то, о чем вы не знаете

Инвентаризация активов в промышленных сетях: вы не можете защитить то, о чем вы не знаете

Инвентаризация активов в промышленных сетях: вы не можете защитить то, о чем вы не знаете

Канал: Kaspersky Tech Russia

Приключения робота Каспера – Ложная информация

Приключения робота Каспера – Ложная информация

Канал: Kaspersky Russia

Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра

Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра

Канал: Kaspersky Tech Russia

Евгений Дружинин. Как не сломать: что важно учесть в процессе реализации проекта по защите АСУ ТП?

Евгений Дружинин. Как не сломать: что важно учесть в процессе реализации проекта по защите АСУ ТП?

Канал: Kaspersky Tech Russia

Приключения робота Каспера – Кибербуллинг

Приключения робота Каспера – Кибербуллинг

Канал: Kaspersky Russia

Обнаружение и удаление руткитов

Обнаружение и удаление руткитов

Канал: Kaspersky Russia

Как Касперский звук свиньи придумал

Как Касперский звук свиньи придумал

Канал: Kaspersky Russia

Кибербезопасность автомобилей. Царев Евгений и Владимир Педанов

Кибербезопасность автомобилей. Царев Евгений и Владимир Педанов

Канал: RTM Group

Industrial

Cybersecurity

информационная безопасность

ИБ

защита бизнеса

кибербезопасность

индустриальная кибербезопасность

kaspersky

Лаборатория Касперского

Kaspersky Industrial Cybersecurity Conference 2020

Kaspersky Industrial Cybersecurity Conference

промышленная кибербезопасность

конференция по промышленной кибербезопасности

конференция по кибербезопасности бизнеса

industrial

cybersecurity

00:00:02

добрый день рад вас приветствовать здесь

00:00:05

замечательно что вы присоединились к нам

00:00:07

после обеда долгожданного

00:00:09

для тех кто меня не знает представлюсь

00:00:11

меня зовут по уши в сергей я

00:00:14

руководитель группы которые отвечают за

00:00:17

информационной безопасности наших

00:00:20

производствах систем в компании сир

00:00:21

сталин и я бы хотел бы с вами поделиться

00:00:25

нашим опытом по пасторе нести

00:00:27

мониторинга в рацион безопасности асу тп

00:00:32

как-то на одной из конференций я уже

00:00:34

рассказывал об архитектуре особенности

00:00:37

построения об этом докладе я конечно же

00:00:39

хочу поделиться с этими проблемами

00:00:42

которыми столкнулись при внедрении

00:00:44

системы ну и конечно же как мы эти

00:00:46

проблемы решали ну что ж поехали значит

00:00:50

system monitoring как я сказал мужчин

00:00:52

начали внедрять 2018 году на то время

00:00:56

все события которые мы собирали

00:00:58

насчитывалось порядка 30 источников это

00:01:02

различные операционные системы с windows

00:01:05

linux с операционными системами

00:01:07

активность его оборудования различные

00:01:10

средства защиты систем мониторинга у нас

00:01:13

анализируя данные собираются помощью

00:01:16

таких механизмов как винер н ssh syslog

00:01:20

а также мы анализируем копию

00:01:22

промышленного трафика доход благодаря

00:01:26

данной системе мы во-первых максимально

00:01:30

короткое время и практически в

00:01:32

автоматизированном режиме

00:01:33

инвентаризировать и все актива с у тупым

00:01:36

мы научились контролировать изменение в

00:01:39

критических наших системах

00:01:41

мы довольно-таки хорошо считаю что

00:01:44

повысили у брик уровень кибер гигиены

00:01:46

наших внутренних сотрудников за счет

00:01:48

публичной огласки в тех инцидентов

00:01:50

которым мы велели но и конечно же считаю

00:01:53

что успехом

00:01:54

является то что мы образы увеличили

00:01:56

информативность и обогащенных обогащен

00:01:58

насти тех событий которые поступали к

00:02:01

нам на разбор благодаря чего

00:02:03

расследование студентов но сократилось в

00:02:04

разы так вот например нам иногда порой

00:02:07

приходилось объезжать на площадку для

00:02:09

сбора фактуры по инцидентам вот сейчас

00:02:11

достаточно там пару кликов

00:02:13

на дашбордов или там написать картавый

00:02:15

запрос всем и вся информация необходима

00:02:19

для разбора у тебя уже перед глазами

00:02:20

также вот пример мы можем некоторые виды

00:02:25

выплавлять уже без антивируса

00:02:27

наличие процесса и пизе такси на х стены

00:02:30

свидетельство того что вас а компьютер

00:02:32

заражён селин зомбаки у

00:02:33

но как говорится как бы он не хорошо на

00:02:39

все шло у нас были проблемы репосты

00:02:42

нести мониторинга мы руководствуясь

00:02:44

следующими там соображениями и чем

00:02:46

больше мы будем событий собирать тем

00:02:49

больше инцидента будем мы выделять

00:02:50

что-то самом деле систему нас

00:02:53

периодически перестала работать из-за

00:02:55

большего количества поступающих событий

00:02:57

мы тратили огромное время на выявление

00:03:01

событий которые не трясись confident am

00:03:03

i the falls позитив

00:03:04

а причем большая часть из них этого было

00:03:06

относилась к выпал на хостах

00:03:08

и сети мы не успевали актуализировать

00:03:12

эталонные состояние наших активов ну и

00:03:14

иногда были такие прецеденты что мы

00:03:17

обещали нашем объекте защиты ну не

00:03:20

социальные действия

00:03:21

ну главное наверное проблема наша было

00:03:25

то что мы неправильно изначально отнесли

00:03:27

у нас не боли были неправильно критерии

00:03:29

отнесения событий к инцидентом ну а вот

00:03:32

большое количество фолз позитив было

00:03:33

связано с тем что мы ну не всегда и

00:03:35

качественно

00:03:36

на стравливал 3 стинг объекта защиты то

00:03:39

есть это различные процессы

00:03:41

список условного список разрешенных

00:03:43

подключенных устройств и так далее

00:03:47

примеру могли дать там зеленый свет

00:03:51

какого-нибудь червю который наша система

00:03:55

сути пена прижал бесполезным трафиком

00:03:57

второй проблемой я считаю что было

00:04:00

отсутствие asset management наших

00:04:01

информационных активов

00:04:02

как вы знаете сегодня уже при этом тоже

00:04:05

будут рассказывать вот мы действительно

00:04:07

столкнулись этом на практике к чему-то

00:04:10

приводила то что у нас была не была

00:04:11

актуальной информацией обогащение

00:04:13

инцидентов то есть это тоже

00:04:14

влияло на повышение времени

00:04:16

расследования также систем асутп

00:04:20

к сожалению это не статичной система это

00:04:23

система постоянно меняющейся из

00:04:25

ним и причем меняющейся это была

00:04:27

следующая наша проблема нейтрона систему

00:04:29

нужно было сразу же начинать

00:04:31

эксплуатировать и сопровождать причем

00:04:34

для этого нужны были новые шитье

00:04:35

мало того эти новости и должны обладать

00:04:37

специфическими знания в том числе среди

00:04:38

linux этот персонал должен быть следить

00:04:43

за

00:04:44

актуализации ботинка сценариев он должен

00:04:48

постоянно настраивать различные скрипты

00:04:52

для проверки bar 2 способности

00:04:54

поступлений событий должен быть у нас

00:04:57

работающий спота ционный мониторинг

00:04:59

причем не только уровня железа мной

00:05:01

уровне сценариев также хочу обратить

00:05:07

внимание на заметку вам не используйте

00:05:10

старайтесь не использовать протокол и

00:05:12

без гарантии на заставке событий всегда

00:05:15

следите за базами данных защита чтобы

00:05:18

они не переполняли см и мы используем

00:05:20

zabbix для этих целей а также при

00:05:23

установке сенсоров которые будут

00:05:25

анализировать трафик сети но учтите тот

00:05:27

факт что технологии arsplant

00:05:29

ремонт span который представляет трафик

00:05:31

от коммутатора к коммутатору может

00:05:33

некорректно работать ну на старых

00:05:35

версиях сетевого оборудования

00:05:38

причем вызывать их сбой и

00:05:39

соответствующие могут быть простой также

00:05:43

1 момент у которых мы заметили что и при

00:05:47

использовании активного сбора который мы

00:05:49

изначально использовали так или иначе на

00:05:53

объекте защиты которые мы подключали систем мониторинга

00:05:55

необходимо было устанавливать службу

00:05:58

ну а для корректной установки службы

00:06:00

приходилось перезагружать хасты сами

00:06:02

понимаете что если критичные объект

00:06:05

защиты волна участвуют непрерывном

00:06:07

процессе с точки зрения переустановки о

00:06:10

это времени сроки согласования а иногда

00:06:12

даже если некоторые средства защиты

00:06:14

требовали перезагрузки времени

00:06:15

эксплуатации но представьте такую

00:06:17

ситуацию работает оператор на посту

00:06:22

управления горячего стана в котором считанные

00:06:26

секунды проверяет пролетает там 10

00:06:28

десятки метров скале о на металлах

00:06:30

подойти и сказать мне нужно необходимо

00:06:32

перезагрузить ваш компьютер для того

00:06:34

чтобы собрать трассировку для

00:06:36

расследования студентов

00:06:37

старайтесь все-таки использовать и

00:06:38

пассивные алгоритма сбора трафика также

00:06:42

важная информация про обновление системы

00:06:45

вот не древности мониторинга так или

00:06:47

иначе про избавляется различные апдейты

00:06:50

причем бывает даже по два раза в год их

00:06:53

необходимо устанавливать

00:06:54

следите за тем чтобы эти вот апдейты они

00:06:57

не сказывались на рапу способности

00:07:00

вашей системы в том числе они не

00:07:04

требовали более повышенных ресурсов ваши

00:07:05

аппаратной платформе и закладываете ваш

00:07:08

аппаратную платформу с учетом будущих

00:07:09

апдейтов также ну некоторые

00:07:11

производители выйти апдейты включают

00:07:14

кактусы которая как бы в общем-то

00:07:17

ослабляют обще защищена с ваших

00:07:19

производственных систем и при

00:07:21

возможности если у вас есть такие

00:07:22

компетенции проводите поиск там нтв в

00:07:25

этих кустах и также фиксируйте в актах

00:07:29

перечень

00:07:31

обновленных моделей и библиотек и также

00:07:35

за за правило возьмите что все

00:07:36

обновления нужно фиксировать актом в

00:07:38

которой будет указано что это обновление

00:07:40

не повлиять на способность вашей системы

00:07:42

и показатель эффективности не будут

00:07:44

уменьшены ну как я говорил что у нас

00:07:49

используются очень много сценариев

00:07:51

порядка 140 арсенале не инцидентов как

00:07:54

практика показала

00:07:55

большинство этих целях являются

00:07:58

неэффективными тут как говорится

00:08:00

работает принцип парето примерно 20

00:08:04

сценариев результат порядка 80

00:08:08

инцидентов на данном слайде приведены

00:08:11

перечень таких ну основных сценарий по

00:08:14

которым было больше всего полз позитив

00:08:16

ну мои рекомендации все-таки эти

00:08:19

сценарии

00:08:20

ализу это на более высокой уровень

00:08:22

зрелости вашей компании хотя некоторые

00:08:25

за эти сценарии помогут вам получить

00:08:26

больше видимость вашей ит-инфраструктуры

00:08:28

так вот например поскольку используются

00:08:31

там протоколу hype они связаны с

00:08:35

задержкой передача событий и некоторые

00:08:37

системы детектирует и как брутфорсом

00:08:39

также сканирование сети

00:08:42

ну очень много у нас система там ибо и

00:08:44

так далее они

00:08:46

их вы взаимодействия включаются там

00:08:49

сканы ну там на несколько сетей это тоже

00:08:53

может скрыть редактироваться как сканер

00:08:55

носите но лучше все-таки

00:08:56

оставайтесь сценарий она потом точки

00:08:59

зрения изменения контроль измените

00:09:02

значит поскольку сети как группы

00:09:05

меняются постоянный из существующий

00:09:06

профиль беленый он тоже требует

00:09:09

изменения если у вас нет нет ресурсов

00:09:11

акцентируйте свое внимание в первую

00:09:13

очередь на такие сценарии как появление

00:09:16

новых остав

00:09:17

ну один из индикаторов и так как раз на

00:09:22

речам ок устройств и обязательно для

00:09:25

того чтобы работал тот сценарий у вас

00:09:26

должна быть какая-то база с mac-адресами

00:09:31

причем make a mac адреса для в этой базе

00:09:33

должны быть привязаны к портам и кому и

00:09:36

коммутатором в которых первые появился

00:09:38

этот mac-адрес ну и желательно чтобы

00:09:39

период ранение этой базы было как

00:09:41

минимум месяц для наша компания для

00:09:44

такой папа старения такой базы мы

00:09:46

используем несколько инструментов и

00:09:48

таланта полог и

00:09:50

а по менеджерам очень полезно

00:09:52

инструменты для мониторинга в течение

00:09:57

двух лет не эксплуатации систем

00:09:59

мониторинга мы для себя

00:10:01

можно сказать так определили ключевые

00:10:03

факторы успеха благодаря которым вот

00:10:05

внедрили систему не только ну по-моему

00:10:08

субъективное мнение будет на более

00:10:09

эффективным из 3 на защищённой системы

00:10:11

асу тп тоже будет эффективным и давайте

00:10:15

подробнее остановимся на этих факторов

00:10:18

ну очевидно что как бы отдельно лети к

00:10:21

сути по это как томас haft он будет

00:10:24

вовлечено все ваши процессы он может

00:10:25

быстро и

00:10:27

квалифицировано написать любой сценарий

00:10:31

он может быстро перейти на внести

00:10:33

изменения в любой съем любой дашборд

00:10:36

будет вовлечен у вас в процесс

00:10:38

масштабирование мониторинга ну

00:10:40

соответственно тем самым и расследования

00:10:42

студенты будут происходить быстрее и как

00:10:45

бы этот ваш ресурс которому будете

00:10:46

управлять

00:10:47

стран то что там есть корпоративный сок

00:10:50

там своей аналитике есть также мало того

00:10:54

что внедрить систему мониторинга ее

00:10:55

нужно сразу же сопровождать как я

00:10:57

говорил для сопровождения у нас компании

00:11:00

выделено дед 3,4 ftn и для того чтобы

00:11:05

как-то их мотивировать мы разработали

00:11:07

определенных кипиани для этих

00:11:09

сотрудников причем эти кипиани

00:11:10

завязанные в премии и тебя и так условно

00:11:14

разделили на три категории это

00:11:16

операционные тактически и стратегически

00:11:18

пример тебя поглажу показано на слайде

00:11:24

примеру операционные теперь значит они

00:11:28

отражают общий уровень охвата систем

00:11:31

мониторинга и влияют на комплексный

00:11:34

показатель защищённость систем асутп

00:11:36

ну например процент активного

00:11:39

оборудования в т.п.

00:11:40

в 2020 году с активным сбору

00:11:44

событий по syslog ssh должен состоять 80

00:11:47

процентов от общего состава коммутаторов

00:11:50

тактические же кипиа я они уже отражают

00:11:53

общую эффективности работы системы

00:11:56

мониторинга и служб и б к примеру

00:11:59

доля инцидента были на в автоматическом

00:12:02

режиме то есть система мониторинга по

00:12:03

отношению к долей инцидентов были в

00:12:06

ручном режиме ну например к аудиту

00:12:07

должна составлять 90 процентов ну

00:12:10

стратегически теперь они отражают уже

00:12:12

эффективной системы с точки зрения

00:12:15

бизнеса у нас это мой простое в том

00:12:19

диска обороне по причине кибер

00:12:21

инцидентов значит

00:12:25

система не только у нас обсуждают две

00:12:28

службы это и б подразделения и судьба

00:12:31

автоматизации для данных для

00:12:35

освобождения от процесса

00:12:37

регламентировали выделили 7 верхние

00:12:40

уровни в процессов от процесса заведения

00:12:43

объекта защиты до объявления проводки инцидентов до

00:12:47

данные инциденты мы сгруппировали в под

00:12:51

блоки и разработали матрицу раки для них

00:12:55

значит в данный регламент описаны

00:12:58

периодичность обслуживания какие

00:13:00

необходимые операции выполнить и более

00:13:03

того пофамильно закрепили множественных

00:13:05

лесам конечно же мы снесли изменить

00:13:08

ужасной инструкции об служащему

00:13:10

персоналом чтобы как бы какой-то было

00:13:12

комплаенс также уделили внимание

00:13:18

локальным нормативным актом в принципе

00:13:20

на слайде действие перечислены пакет

00:13:22

документов котором разработали начиная

00:13:24

от положения общей выше верхнего уровня

00:13:27

заканчивая инструкциями арен и планами

00:13:32

реагирования как я говорил в процессе

00:13:40

эксплуатации тем мониторинга у нас было

00:13:43

очень много событий и нас стала задача

00:13:46

приоритизации какой же incident 1 взять

00:13:49

в работу и мы поняли что нам нужно

00:13:51

выделить критичные объекты защиты с

00:13:54

которых в первую очередь будем работать

00:13:56

и на котором больше внимания будем

00:13:58

уделять такими критичными объектом

00:14:01

защиты мы были несколько групп на это

00:14:03

все станции операторов на которых

00:14:05

условию на scada система всех все

00:14:07

различных вендоров которые управляют

00:14:10

технологическими процессами

00:14:11

это инженерной станции с помощью которых

00:14:14

инженеры у нас программирует те же самые

00:14:16

станции операторов и программируют

00:14:18

носить изменив проекты

00:14:19

контроллеров почти все серо в dmz супы

00:14:23

ну и часть активности о бруды первую

00:14:26

очередь от игр активностью обратно с

00:14:27

которым мы собираем копию трафика ты-то

00:14:29

что изменило следить неизменность эти

00:14:31

конфигурации ну и некоторые коммутаторе

00:14:33

регидрон

00:14:34

для каждых объекта защиты мы создали

00:14:37

специальный профиль безопасности на

00:14:39

основании которого

00:14:40

подредактирую немножко инцидента ну по

00:14:42

профилю безопасности я вам чуть попозже

00:14:44

расскажу о акция для того чтобы у них

00:14:47

как-то маркировать мы сделали

00:14:49

специальные метки наших этим гибель вот

00:14:53

пример таких меток показан на экране

00:14:55

например режим работы станции режим

00:15:00

станций оператор режим станции

00:15:01

визуализации режим станциям инженерный

00:15:04

сейчас я бы хотел бы немножко останется

00:15:07

на ассет менеджменте

00:15:10

для первичной занесения информации по

00:15:13

нашим активом мы используя несколько

00:15:15

инструментов

00:15:16

такие как первую очередь таких солдат

00:15:18

форекс таланта полок который уже сегодня

00:15:21

при на лоб и менеджер ну еще там с

00:15:23

десятка наверно источников благодаря

00:15:27

которому у нас было более менее

00:15:29

достоверная информация в сентябре

00:15:31

дальше мы решили что как бы нам не очень

00:15:34

удобно актуализировать эту информацию во

00:15:37

всех средства защиты и мы сделали

00:15:38

интеграцию с энди без нашей 7 и таким

00:15:42

образом получили единый источник в

00:15:46

туалет информации первичным ключом

00:15:50

со связке с mdb и всем это начнем с mac

00:15:56

адрес и объектов защиты и

00:15:58

api адреса сервера с которым эти данные

00:16:02

поступали также главной задачей главным

00:16:06

процессом которым занимаюсь простая

00:16:08

система мониторинга это вот объекта

00:16:10

защиты защищенным исполнением если этого

00:16:13

не сделать то будет очень много краса

00:16:15

шибок без настройки

00:16:19

байки стинга и мы это сделали в

00:16:21

автоматическом режиме у нас разработан

00:16:23

для каждого типа объекта защиты для

00:16:25

каждой операционной системы различные

00:16:27

скрипты автоматизации которые делают ну

00:16:29

простейшие настройки то есть это

00:16:30

создание учетной записи необходимо для

00:16:32

работы сканеров это настройки журналов

00:16:37

аудитов настройки службы в нём ну еще

00:16:40

там порядка 20 параметров

00:16:41

вот и значит с помощью настроенных эти

00:16:44

параметров мы очень быстро привели

00:16:47

во-первых существующие объекты защиты а

00:16:49

во вторых еще и регламентировали этот

00:16:51

процесс для введения новых объектов

00:16:53

защиты также у нас настроен тонком плане

00:16:56

защищенности

00:16:57

то есть мы видим есть у нас установлены

00:17:01

средства базовой защиты антивирусы

00:17:03

патч менеджмент выполнила ли насколько у

00:17:05

нас хорошо бы копируются системы и в

00:17:08

случае отклонения

00:17:09

этих показателей от целевых

00:17:13

насчет создается заявка и служба

00:17:16

автоматизации которые отвечают за

00:17:18

сопровождение инфраструктуры они ну

00:17:20

соответственно выполняет отрабатывает их

00:17:23

как я уже сказал есть у нас и

00:17:26

эффективность с нами значит что мы

00:17:29

считаем потыкать эмоционально

00:17:30

соответственно это где меньше всего было

00:17:32

борзов и которые приводили к реальным

00:17:34

инцидентом вот такой выбор ткани большая

00:17:38

представлен на слайде и давайте тоже

00:17:40

коротко

00:17:41

парнем на пробежимся как для вас надо

00:17:47

будет не секрет что одним из каналов там

00:17:52

раз построения различных вы по

00:17:53

это съемные носители у нас принципе

00:17:56

статистика тоже это подтверждало в

00:17:58

первую очередь мы занялись вопросом байт

00:18:01

листинга подключаемых съемных носителей

00:18:04

а носят ветви на контроле

00:18:07

которые будут нам выделять не социальные

00:18:09

эти действия значит от во первых во

00:18:12

кристинка ли zolan с помощью как

00:18:15

продуктов kaspersky

00:18:17

облака у нас там хостов в суд и поэтому

00:18:19

не больше там тысячи

00:18:21

на одной площадке поэтому этот контроль

00:18:24

хорошо работает на слайде здесь принципе

00:18:27

представлены технические параметры

00:18:29

журналов веток реестра с помощью которых

00:18:31

можно выделить

00:18:32

индикаторы подключения более немножко

00:18:37

временем нам пришлось потратить на

00:18:38

поклон и индикаторы

00:18:40

фактов подключения различных мобильных

00:18:41

телефонов причем в разных ипостасях там

00:18:45

в режиме зарядки в режиме передачи

00:18:47

файлов и благодаря эти контролем в

00:18:49

принципе можем определить кто что

00:18:53

подключал когда подключил и где

00:18:54

подключал следующий контроль это уже

00:18:59

только более продвинутый контроль по

00:19:01

появлению технологических узлов в сети

00:19:04

как ты давил что мы же можем используем

00:19:07

определить и изменение то монако адреса

00:19:10

на бортах коммутаторов можем определить

00:19:13

подключается к нашей культуре

00:19:15

хвост из сети ну из активов наши

00:19:20

компании либо то подрядчик подключился

00:19:23

если сказать про эффективность данном

00:19:28

сценарии то

00:19:30

за последние там месяца 4 наверно у нас

00:19:33

бывали на было выявлено порядка там 8 9

00:19:37

подключение ну несанкционированных все

00:19:40

эти сутки как и говорил что мы для

00:19:44

некоторых критичных листов настраиваем

00:19:46

профиль безопасности и безопасности это

00:19:48

такой новый токио-2 обширный перечень

00:19:52

устройств причем эти значения параметров

00:19:55

причем эти параметры они динамически не

00:19:57

меняются поэтому их очень мало гарета

00:20:02

что будет сильно получить эти события

00:20:04

вот в принципе параметры такие здесь

00:20:06

представлены это контроль изменится на

00:20:09

записи вести контроль и использование

00:20:12

соцсеть для работы также принципе мы

00:20:15

поигрались с контролем изменения самой

00:20:17

конфигурации с помощью сравнения хэшей

00:20:21

но это показала неэффективность сценарий

00:20:23

потому что очень часто специалиста у нас

00:20:26

работают с данными проектами

00:20:31

также есть еще у нас один сценарий

00:20:34

который выявляет не социальные изменения

00:20:37

наших проектов контроллеров и scada

00:20:40

систем для работы это сценарий у нас в

00:20:43

принципе несколько есть источников

00:20:44

давайте коротенько пробегусь по ним

00:20:47

значит это во-первых перечень

00:20:50

ежедневной станций отделенных с которых

00:20:52

только с которых разрешено подключаться

00:20:53

к этой инфраструктуре инфраструктуры

00:20:56

контроллеров и скат значит дальше у нас

00:20:59

есть перечень

00:21:02

[музыка]

00:21:04

перечень

00:21:05

самих устройств полка и скат есть у нас

00:21:09

система вершин док с помощью которой

00:21:12

происходит негативная загрузка этих

00:21:14

проектов есть секретная система в

00:21:18

которой фиксируются заявки на

00:21:20

санкционирован изменим проектов ну и

00:21:22

конечно же мы контролируем сами факты

00:21:24

подключения с помощью дипак inspection

00:21:27

кекса networks выявляем остальные там

00:21:31

четыре параметра по контролем и to do

00:21:32

not a plot star 3 стартом перевод режим

00:21:36

от контроллера в разные

00:21:39

нам разные режимы и вот группируя

00:21:43

различные

00:21:45

эмулирует сценарий эти мы можем с

00:21:48

точностью там глубинке будет большой

00:21:51

определить что вот изменение

00:21:52

конфигурации не является нелегитимным

00:21:55

как я уже говорил у нас была тоже

00:21:58

большие количества сложных событий при

00:22:02

инцидентах связанных с сетевыми

00:22:04

средствами защиты вот если взять наши

00:22:08

межсетевые экраны

00:22:09

там вот мы за последние наверно 3-4

00:22:13

месяца нам удалось снизить количество

00:22:15

ложных событий почти в 10 раз у нас тут

00:22:18

было две проблемы первое гигабайты

00:22:23

терабайт и может быть даже а событий

00:22:26

связанные со сканированием сети мы

00:22:28

первую очередь определить все наши

00:22:29

инфраструктурные

00:22:30

сервисы которые могут инициировать эти

00:22:34

сканы и добавили их в network access

00:22:38

policy байт resting и разделили наши

00:22:41

модули gps на два таких больших слоя

00:22:44

это динамический слой мы используем

00:22:46

cisco asa значит это варпа

00:22:49

recommendation и

00:22:51

используем статический слой сигнатур на

00:22:54

которой как бы у нас включаются на все

00:22:58

сетевые средства защиты и комплекс этих

00:23:01

мероприятий действительно дал результаты

00:23:03

и наши аналитики теперь не копаются в

00:23:05

миллионах событиях вот буквально там за

00:23:07

недели могут просто пробежаться по всем

00:23:09

событиям и не пропустить какие-то

00:23:13

вредоносцы поскольку год 2000 заминался

00:23:18

знаменита нашей пандемии у нас появились

00:23:22

все подрядчики которые к сожалению не

00:23:23

смог не смогли приехать на нашу площадку

00:23:25

и для них необходимо было организовать

00:23:28

при внедри новых систем удаленный доступ

00:23:30

значит подрядчики у нас подключаются

00:23:32

через терминальный сервер а раз

00:23:34

размещенных дым за каждый производства

00:23:36

под каждой подрядчика создается свой

00:23:38

терминальный сервер и вот наша была

00:23:40

задача как раз контролировать чтобы

00:23:42

первых существующих 30 насиров не повез

00:23:45

ног учетной записи в 3 что-то

00:23:47

терминальный сервер он

00:23:49

соответствуют нашим требованиям там

00:23:51

одиннадцатом спринт в закрытом буфер

00:23:54

обмена также установлен базы средства

00:23:56

защиты

00:23:57

но и вообще в принципе не проверяются

00:23:59

определенных юнитах эти терминальной

00:24:00

севера без нашего согласования и вот

00:24:04

благодаря таким технологиям тоже этот

00:24:07

вопрос закрыли как говорится мы не стоим

00:24:12

на месте система

00:24:14

мы не только наша постоянно развивается

00:24:15

и в дальнейшем мы хотим повысить наш

00:24:20

охватом система мониторинга хотим

00:24:22

перейти на полевой уровень уже

00:24:24

контролировать начать контролировать

00:24:26

теги между в scada системы и полка для

00:24:30

того чтобы объявляйте так называемая

00:24:32

студенты anti-fraud то есть инциденты

00:24:34

бизнес инцидента подступы

00:24:36

с помощью контролирования определенных

00:24:39

параметров критичных которые от которых

00:24:42

зависит там качество продукции и так

00:24:45

далее соответственно очень также

00:24:47

какой-то будущее за мониторингом нашли и

00:24:49

это будет хороший там бизнес эффекты но

00:24:54

внедрение систем мониторинга мы как бы

00:24:57

считал что нас удалось за два года

00:25:00

эксплуатации были было выявлено порядка

00:25:03

там 20

00:25:05

вирусов долгожителей даже были

00:25:08

предотвращены заражения вирусом шифра

00:25:11

ящиков и нескольких агрегатов что не

00:25:13

допустила к простое техническое

00:25:14

оборудование и выявлены были

00:25:19

несанкционированные каналы с которым там

00:25:22

у подрядчика мог потенциально получить

00:25:25

удаленный доступ систему с тупым но вот

00:25:28

я надеюсь что наш опыт будет вам полезен

00:25:32

в принципе я на этом хочу свой доклад

00:25:35

закончить если у вас есть вопросы ко мне

00:25:39

к технические любой характер я здесь

00:25:41

буду на сегодня до конца дня завтра до

00:25:44

обеда готов к лорак ответить спасибо за

00:25:48

внимание

Описание:

Система мониторинга ИБ позволят нам видеть всю промышленную инфраструктуру (контроллеры, коммутаторы, межсетевые экраны, рабочие станции и серверы) и автоматически уведомляет о нештатных событиях ИБ, таких как смена конфигурации, использование уязвимостей и десятки других. Однако, не всегда понятно, что же делать с подобными событиями? Системы генерируют сотни гигабайт событий — как выделить из них инциденты на раннем этапе развития атаки? Сергей Повышев, старший менеджер-руководитель ПАО «Северсталь», рассматривает несколько эффективных сценариев выявления инцидентов. Подробнее о конференции: https://kas.pr/93j4

Готовим варианты загрузки

Популярные

HD видео

Только звук

Все форматы

* — Если видео проигрывается в новой вкладке, перейдите в неё, а затем кликните по видео правой кнопкой мыши и выберите пункт "Сохранить видео как..."

** — Ссылка предназначенная для онлайн воспроизведения в специализированных плеерах

Вопросы о скачивании видео

Как можно скачать видео "Мониторинг информационной безопасности в АСУ ТП. Поиск иголки в стоге сена"?

Сайт http://unidownloader.com/ — лучший способ скачать видео или отдельно аудиодорожку, если хочется обойтись без установки программ и расширений. Расширение UDL Helper — удобная кнопка, которая органично встраивается на сайты YouTube, Instagram и OK.ru для быстрого скачивания контента.
Программа UDL Client (для Windows) — самое мощное решение, поддерживающее более 900 сайтов, социальных сетей и видеохостингов, а также любое качество видео, которое доступно в источнике.
UDL Lite — представляет собой удобный доступ к сайту с мобильного устройства. С его помощью вы можете легко скачивать видео прямо на смартфон.

Какой формат видео "Мониторинг информационной безопасности в АСУ ТП. Поиск иголки в стоге сена" выбрать?

Наилучшее качество имеют форматы FullHD (1080p), 2K (1440p), 4K (2160p) и 8K (4320p). Чем больше разрешение вашего экрана, тем выше должно быть качество видео. Однако следует учесть и другие факторы: скорость скачивания, количество свободного места, а также производительность устройства при воспроизведении.

Почему компьютер зависает при загрузке видео "Мониторинг информационной безопасности в АСУ ТП. Поиск иголки в стоге сена"?

Полностью зависать браузер/компьютер не должен! Если это произошло, просьба сообщить об этом, указав ссылку на видео. Иногда видео нельзя скачать напрямую в подходящем формате, поэтому мы добавили возможность конвертации файла в нужный формат. В отдельных случаях этот процесс может активно использовать ресурсы компьютера.

Как скачать видео "Мониторинг информационной безопасности в АСУ ТП. Поиск иголки в стоге сена" на телефон?

Вы можете скачать видео на свой смартфон с помощью сайта или pwa-приложения UDL Lite. Также есть возможность отправить ссылку на скачивание через QR-код с помощью расширения UDL Helper.

Как скачать аудиодорожку (музыку) в MP3 "Мониторинг информационной безопасности в АСУ ТП. Поиск иголки в стоге сена"?

Самый удобный способ — воспользоваться программой UDL Client, которая поддерживает конвертацию видео в формат MP3. В некоторых случаях MP3 можно скачать и через расширение UDL Helper.

Как сохранить кадр из видео "Мониторинг информационной безопасности в АСУ ТП. Поиск иголки в стоге сена"?

Эта функция доступна в расширении UDL Helper. Убедитесь, что в настройках отмечен пункт «Отображать кнопку сохранения скриншота из видео». В правом нижнем углу плеера левее иконки «Настройки» должна появиться иконка камеры, по нажатию на которую текущий кадр из видео будет сохранён на ваш компьютер в формате JPEG.

Сколько это всё стоит?

Нисколько. Наши сервисы абсолютно бесплатны для всех пользователей. Здесь нет PRO подписок, нет ограничений на количество или максимальную длину скачиваемого видео.