Lors du dernier The Standoff, des experts du PT Expert Security Center , en l'occurrence représentant l'équipe du SOC global du cyber polygone, ont suivi les actions des équipes d'attaquants et de défenseurs de la copie numérique de la métropole FF, la confrontation a eu lieu en temps réel et a duré 123 heures. Plus tôt, nous avons écrit sur la façon dont le SOC mondial surveillait tout ce qui se passait dans l'infrastructure de la ville virtuelle, comment le service de détection des logiciels malveillants a attrapé et enquêté sur les chevaux de Troie de «redirecteurs» à l'aide de PT Sandbox, et comment nous avons surveilléderrière toutes les ressources Web du cyber polygone en utilisant PT Application Firewall. Parlons maintenant de la sécurité des réseaux technologiques d'objets de la ville virtuelle et des résultats de la surveillance réalisée à l'aide de l'analyse approfondie du trafic technologique PT Industrial Security Incident Manager (PT ISIM).
Dans cet article, nous parlerons des attaques sur le segment technologique du réseau d'équipements de la ville qui ont été détectées par le système, et noterons comment ces menaces correspondent au niveau réel de sécurité des systèmes industriels.
Ce qui a été attaqué à The Standoff
Le modèle de la ville sur le cyber-polygone The Standoff comprenait des copies numériques d'objets d'infrastructure contrôlés par de vrais systèmes SCADA et des automates programmables: les mêmes exactement sont installés dans de vraies entreprises. Voici les éléments et objets qui peuvent avoir été attaqués par les concurrents des équipes de lecture:
systèmes de commande d'aiguilles et de barrières sur la voie ferrée,
bande bagage à l'aéroport,
passerelle télescopique à l'aéroport,
grue dans le port maritime,
Centre d'affaires HVAC,
une grande roue dans un parc d'attractions,
feux tricolores dans le centre d'affaires,
réverbères,
poste (électricité de toute la ville),
vannes d'arrêt d'une station de distribution de gaz automatisée,
Turbine CHP,
armoire de contrôle d'incendie pour CHP,
éoliennes dans une centrale électrique,
systèmes de contrôle de production dans une usine pétrochimique,
systèmes de contrôle de la production pétrolière.
, , , SOC The Standoff PT ISIM.
Back2oaz odeby Nuft, . red teams SCADA , — . - , .
:
RDP 172.20.61.2 SCADA 172.20.22.11 ( 01:30). SCADA-.
CIP SCADA 172.20.22.11 172.20.23.11 (09:02). ( , : 0x349, 0x68 (SFC Forces), 0x6b (SymbolObject)). , .
CIP. , , . , , MaxPatrol SIEM, PT Sandbox, PT NAD PT ISIM. , . , : SCADA- .
, . , , , . , , , .
FF 25 Hours, . Back2oaz, SCADA . — , .
:
TCP 172.17.61.17 SCADA 172.17.22.11 (03:29). , .
SMB 172.17.61.17 SCADA 172.17.22.11 (06:06). . , .
RDP 172.17.61.17 SCADA 172.17.22.11 (08:07). SCADA-.
, SCADA 172.17.22.11 172.17.23.11 (08:25). SCADA — . , . SCADA- , . , NTA ( , PT ISIM proView Sensor).
PT ISIM.
, . , . , , MaxPatrol SIEM, PT Sandbox, PT NAD PT ISIM. , . , , , . , . , .
Nuft — . Back2oaz. SCADA RDP, , - — . , , , , , .
:
RDP 172.20.61.17 SCADA 172.20.22.10 (19:30). SCADA-.
, SCADA 172.20.22.10 172.20.23.10 (01:51 ). , . . , , .
PT ISIM .
The Standoff, , , . , . , . , . — SIEM-, ; .
: , Positive Technologies