Привыкли к использованию утилит удаленного администрирования (Remote Admin Tools) в корпоративной сети. Критичность такого инцидента, как и в принципе успешной связи с Интернетом в закрытой технологической сети, – огромна. То же самое касается установки новой системной службы на технологическом АРМ, факту выявления ВПО, который требует обязательного расследования и т.д.

Немалые ограничения в работу Use-Case вносят и ограничения на внедрение СЗИ (обычно технологические сегменты ими не очень богаты), и использование устаревших, legacy-версий операционных систем (да и на установку Sysmon технологи смотрят с недоверием).

И все же очень большой объем Use-Case корпоративной среды может успешно применяться к сегменту АСУ ТП и обеспечивать достаточно высокий уровень общего контроля инфраструктуры.

SCADA-систем. Если на уровне СЗИ, операционных систем и сетевых потоков все сегменты хоть немного, но похожи, то при движении вглубь возникают ключевые различия. В терминах корпоративных сетей и сегментов все грезят о бизнес-мониторинге и подключении бизнес-приложений. И процесс этот, хотя и сложный (логи мутируют и не хотят притворяться CEF, нормальная информация может быть получена только из базы, но администраторы ругаются и жалуются на спад быстродействия), но в целом реализуемый. В технологическом сегменте при подключении систем верхнего и среднего уровня эти проблемы возводятся в абсолют в связи с космической критичностью технологического простоя.

Для того чтобы сделать первые шаги к подключению источника, нужно:

1. Собрать стенд и проверить успешность получения событий;

2. Нарисовать общее архитектурное решение со всеми техническими подробностями;

3. Согласовать его за несколько месяцев с вендором;

4. Провериться еще раз на стенде заказчика с эмуляцией боевой нагрузки;

5. Очень осторожно (как в анекдоте про ежиков) внедрить решение в продуктив.

Как правило, оборудование АСУ ТП отличается достаточно емким, полным, понятным и качественным журналированием.

Обычно в сегментах АСУ ТП может быть реализован другой подход. Большинство протоколов в них не подразумевают шифрования или маскирования передаваемой информации. Поэтому одним из частых подходов для мониторинга и разбора управляющих команд является внедрение индустриальных систем обнаружения вторжений или индустриальных межсетевых экранов, которые позволяют работать с копией или фактическим сетевым трафиком и разбирать протоколы и управляющие команды с последующим журналированием.

Часть из них, в том числе, имеет внутри встроенный базовый корреляционный движок (избавляя нас от ужаса нормализации, категорирования и профилирования событий), но не являясь при этом полноценной заменой SIEM-системе.