Система анализа защищенности АСУ ТП SCADA-Аудитор


#1

Обсуждение в группе Безопасность АСУ ТП / ICS / SCADA:

ART S, [01.06.18 17:23]
Подскажите пожалуйста кто-нибудь пользовался системой анализа защищенности АСУ ТП SCADA-Аудитор?
Антон Корнюшин, [01.06.18 18:24]
Он еще живой? Лет так 7назад юзал. Станкоинформзащита?
ART S, [01.06.18 18:46]
Да он самый, Станкоинформзащита!
Как он вообще, есть толк? В описании просто не совсем понятно, что он делает.
Anton Shipulin, [01.06.18 20:33]
Напиши авторам и попросите демо
ART S, [01.06.18 20:46]
Да я думаю так и сделаю)
Anton Shipulin, [01.06.18 20:51]
Но я бы не назвал бы их лидерами среди решений по анализу уязвимостей для применения в сегменте АСУ ТП (да, их можно применять при определенных условиях). Есть другие достойные решения
Антон Корнюшин, [01.06.18 21:33]
Дешево и сердито
А какие есть достойные решения?
Anton Shipulin, [02.06.18 01:36]
MaxPatrol чем не достойное решение?

А каково ваше мнение?

  • Мне нравится SCADA-аудитор
  • Мне не нравится SCADA-аудитор
  • Я не использовал SCADA-аудитор / не могу его оценить

0 голосов


#2

Описание на сайте вендора: https://ntcsiz.ru/product/view/?id=4
Ссылка на Каталог СрЗИ: https://zlonov.ru/catalog/scada-аудитор/


#3

Информация о сертификате ФСТЭК из реестра:

  • № сертификата 3165
  • Дата внесения в реестр 28.05.2014
  • Срок действия сертификата 28.05.2020
  • Наименование средства (шифр) программный комплекс сканера «SCADA-аудитор»
  • Предназначение средства (область применения), краткая характеристика параметров / (оценка возможности использования в информационных системах персональных данных (ИСПДн)) Соответствует требованиям документов: РД НДВ(4)
  • Схема сертификации серия
  • Испытательная лаборатория ОАО «БИТК»
  • Орган по сертификации ФГУ «ГНИИИ ПТЗИ ФСТЭК России»
  • Заявитель ЗАО «НТЦ «Станкоинформзащита»
  • Реквизиты заявителя (индекс, адрес, телефон) 127572, г. Москва, Абрамцевская ул., д. 9, корп. 1, (495) 790-1660

#4

Продолжение обсуждения в группе Безопасность АСУ ТП / ICS / SCADA:

Антон Корнюшин, [02.06.18 14:32]
[In reply to ART S]
MaxPatrol продукт более широко профиля - Scada-аудитор сканер уязвимостей только технологических систем. К Maxpatrolу стоит добавить и Nesus.
Anton Shipulin, [02.06.18 17:03]
[In reply to Антон Корнюшин]
И что это за подход сканировать несколько уязвимостей которые знают разработчики этого сканера? :slight_smile:
Peter Destructive, [02.06.18 17:10]
[In reply to Anton Shipulin]
Так-то хз, но когда у тебя большая система, в которой время от времени появляются новые елементы или меняется состояние старых, то проверка на банальные баги самое то. Нельзя быть на 100% уверенным в том, что изменения не будут содержать банальных или давно известных ошибок. Здесь скорее вопрос в цене, т.е. сколько стоит такая оптимизация и если ли смысл за неё платить или же самим настроить различные утилиты а-ля msf.
[In reply to Антон Корнюшин]
Кстати, а когда nessus и maxpatrol стали SCADA-аудиторами? )
Роман Мылицын, [02.06.18 17:22]
я вообще слабо доверяю всем этим автоматическим сканерам уязвимостей
Peter Destructive, [02.06.18 17:23]
[In reply to Роман Мылицын]
Почему?
Роман Мылицын, [02.06.18 17:24]
[In reply to Peter Destructive]
часто делают выводы о наличии уязвимости только исходя из версии ПО
Peter Destructive, [02.06.18 17:25]
[In reply to Роман Мылицын]
Не всегда, да и почему следует не обращать на это внимание?
Роман Мылицын, [02.06.18 17:27]
[In reply to Peter Destructive]
обращать внимание нужно, но что делать, если в Linux включен какой нибудь модуль защиты типа selinux, apparmor или parsec - есть в реальности уязвимость или нет, сканер не скажет, исходя только из версии уязвимого ПО
Peter Destructive, [02.06.18 17:28]
[In reply to Роман Мылицын]
А вдруг хонипот? Можно провести опрос, часто ли подобное происходит во время пентестов )
Peter Destructive, [02.06.18 17:29]
[In reply to Peter Destructive]
Соответственно и в реальной жизни
Dmitry Kuznetsov, [02.06.18 18:17]
[In reply to Роман Мылицын]
Капитан Очевидность подсказывает, что наличие модуля защиты не отменяет необходимость установки обновления :slight_smile:
Peter Destructive, [02.06.18 18:19]
[In reply to Dmitry Kuznetsov]
Здесь речь скорее про такие моменты, как например, наличие прав на запись у ftp сервера для работы эксплоита. Но это не отменят того, что мало кто занимается настройкой прав и т.п.
Peter Destructive, [02.06.18 18:21]
Самое веселое, это когда находишь множество ненастроенных СЗИ. Купить то купли, а вот ума настроить не хватило.
Роман Мылицын, [02.06.18 18:25]
[In reply to Dmitry Kuznetsov]
реальная польза такого сканера тогда в чем? и так понятно, что надо ставить последние версии продуктов
Роман Мылицын, [02.06.18 18:25]
[In reply to Peter Destructive]
сплошь и рядом
Peter Destructive, [02.06.18 18:25]
[In reply to Роман Мылицын]
Не все сканеры смотрят только на версии, а про пользу писал выше.
[In reply to Peter Destructive]
Здесь всё сказано. Решение платить или нет, это уже за местными безопасниками остаётся.
Роман Мылицын, [02.06.18 18:26]
я разговаривал с разработчиками таких сканеров, не очень то я нашел у них понимания
Peter Destructive, [02.06.18 18:27]
Понимание чего? )
Роман Мылицын, [02.06.18 18:27]
[In reply to Peter Destructive]
я спрашивал, как они проверяют, имеется ли реальная уязвимость в системе или это false positive
Anton Shipulin, [02.06.18 18:29]
[In reply to Peter Destructive]
Так давно уже. Информация публичная. Чем сканер уязвимостей SCADA отличается от сканера уязвимостей вообще?
Peter Destructive, [02.06.18 18:30]
У них есть свой отдел исследователей, которые ищут уязвимости, и пишут для них PoC. Далеко идти не надо, у нас есть сканер от PT. Понятия не имею, есть ли у них там сплоиты под ICS. Но отдельные небольшие тулы для проверки псоледних уязвимостей видел. В паблике такого нет. Значит нужно либо держать свою команду исследователей, либо покупать то, что есть. Повторюсь, выбор за местными безопасниками.
[In reply to Anton Shipulin]
Наличием сплоитов под ICS? )
[In reply to Роман Мылицын]
А это уже не задача сканера, а местной службы кибербезопасности.
Роман Мылицын, [02.06.18 18:33]
[In reply to Peter Destructive]
логично
Anton Shipulin, [02.06.18 18:34]
[In reply to Peter Destructive]
Во дела! А зачем ПТ тратит ресурсы и ищет уявзмости а компонентах АСУ ТП? Это было всегда известно чтобы превращать их детекты в продуктах, основной из которых MaxPatrol. Когда уже кто-нибудь из ПТ придет в этот разговор и расскажет :slight_smile:
Peter Destructive, [02.06.18 18:35]
[In reply to Anton Shipulin]
Думаю так же, но подтвердить не могу, не из ПТ я, простите )
Anton Shipulin, [02.06.18 18:35]
[In reply to Peter Destructive]
Детекты под ICS у МП и Nessus были давно
Peter Destructive, [02.06.18 18:36]
[In reply to Anton Shipulin]
У меня скорее всего версии не те, ибо нет такого. Но оно и понятно,использую данное ПО не для ICS.
Anton Shipulin, [02.06.18 18:37]
[In reply to Peter Destructive]
https://www.tenable.com/plugins/nessus/families/SCADA
Peter Destructive, [02.06.18 18:38]
[In reply to Anton Shipulin]
Спасибо, пойду ознакамливаться )
Anton Shipulin, [02.06.18 18:39]
[In reply to Anton Shipulin]
Вот еще помню👆
[In reply to Peter Destructive]
Старенькая информация правда
Peter Destructive, [02.06.18 18:39]
Anton а ваши не планируют, что-то подобное выпустить?
Anton Shipulin, [02.06.18 18:42]
[In reply to Peter Destructive]
Активного сетевого сканера уязвимостей в роадмапе компании не видел. Kaspersky Security Center делает анализ узявимых компонет через агента
Но мы же понимаем что применять сканер в АСУ ТП нужно при определенных условиях: Технологические окна, Credentialed Scan, стенд, бэкап и прочие меры предосторожности. А то и пассивное прослушивание трафика и обнаружение признаков уязвимостей
Хотя нет, есть свежие плагины этого года
Sergey Storchak, [02.06.18 19:57]
Поставьте, пожалуйста, плюсики, кто использует MaxPatrol в сети АСУ ТП, в том числе во время технологических окон
Ну или другие сканеры уязвимостей
Anton Shipulin, [02.06.18 20:02]
Вы хотите выдать незрелость процессов инвентаризации/управления активами за неприменимость отдельного класса решений? :slight_smile:
Ну так СОБ КИИ/ГосСОПКА уже определилили использование данного класса решений!
Anton Volkov, [02.06.18 20:06]
[In reply to Anton Shipulin]
Иногда миллионы мух действительно не могут ошибаться :slight_smile:
Dmitry Kuznetsov, [02.06.18 20:08]
[In reply to Роман Мылицын]
Реальная польза - знать, ставятся ли обновления на самом деле или только на словах.
Spektr, [03.06.18 08:15]
[In reply to Dmitry Kuznetsov]
А ещё есть пентесты. Заплатил денег и тебе приносят красивые картинки уязвимостей (про которые и так все знают), можно постращать бизнес и выбить ещё финансов .
[In reply to Sergey Storchak]
Использовали. Насканили кучу дыр в огрызках древних линупсов (и даже чутка win emb) в отдельных моделях контролёров . Самое интересное, что с этим всем потом делать.
Конспиративный Мишка, [03.06.18 08:24]
[In reply to Spektr]
Так сделайте нормальный пентест))
Dmitry Darensky, [03.06.18 08:26]
Пентест всех уязвимостей вам не покажет.
Anton Shipulin, [03.06.18 08:39]
[In reply to Spektr]
Это как с доктором: “сходил к доктору, прошел обследования, доктор показал болячки. Самое интересное, что с этим всем потом делать”