Реагирование на Cyber Intrusion в системе SCADA

Реагирование на Cyber Intrusion в системе SCADA
Реагирование на Cyber Intrusion в системе SCADA
Anonim
Image
Image

Реагирование на Cyber Intrusion в системе SCADA

Продолжение статьи: Обнаружение Cyber Intrusion в системе SCADA

Три R в качестве ответа

«Три R» ответа на кибер-вторжение:

  1. R,
  2. И
  3. R estoring.

Теоретически, было бы желательно записывать все передачи данных на все устройства подстанции и из них.

Таким образом, если злоумышленник успешно атакует систему, записи могут быть использованы для определения того, какой метод использовал злоумышленник, чтобы модифицировать систему и закрыть эту конкретную уязвимость. Во-вторых, запись будет неоценимой в попытке идентифицировать злоумышленника.

Кроме того, если запись сделана таким образом, что она явно неокончательно, то она может быть допустимой в качестве доказательства в суде, если нарушитель будет задержан.

Alstom и Cisco разработают решение для автоматизации цифровой цифровой подстанции

Однако из-за высокой частоты обмена SCADA, низкой стоимости оборудования для связи подстанции и того факта, что подстанции удалены от сотрудников корпоративной безопасности, может быть нецелесообразно записывать все сообщения.

Да, но

,

На практике, хотя теоретически желательно, владельцы систем, вероятно, отложит любые попытки записи данных подстанции до тех пор, пока:

  1. Разработаны носители информации, которые бывают быстрыми, объемными и недорогими, или
  2. Разработаны SCADA-ориентированные IDS, которые могут отфильтровывать не подозрительный обычный трафик и записывать только отклоняющиеся шаблоны.

Но даже если последовательность сообщений, ответственных за вторжение, не обнаруживается и не регистрируется, когда это происходит, тем не менее важно, чтобы были разработаны процедуры для восстановления службы после кибер-атаки.

Крайне важно, чтобы утилита поддерживала резервные копии программного обеспечения всех программируемых подстанций и документации относительно стандартных параметров и настроек всех СВУ (Системы обнаружения вторжений). Эти резервные копии и документация должны храниться в надежном хранилище, обычно недоступном для сотрудников, работающих на подстанции.

Было бы желательно, чтобы эти резервные копии хранились в месте, отличном от самой подстанции, чтобы уменьшить количество ущерба, который может быть нанесен злоумышленником.

Simatic WinCC Scada V6 и V11 с оборудованием, таким как двигатель, насос, VFD, клапан, авто-ручная станция и т. Д.

После того, как утилита сделает вывод о том, что какое-то конкретное программируемое устройство было скомпрометировано (действительно, если оно просто подозревает успешное вторжение), программное обеспечение должно быть перезагружено из защищенной резервной копии.

Если параметры IED были незаконно изменены, исходные настройки должны быть восстановлены.

Если характер нарушения безопасности не известен и может быть исправлен, утилита должна серьезно подумать о том, чтобы отключить устройство или сделать его недоступным для предотвращения будущей эксплуатации той же уязвимости.

Ресурс: Инженерные электростанции - JD McDonald (Получить его от Amazon)