Добро пожаловать обратно, мой начинающий инженер по безопасности SCADA!
Как вы знаете, системы SCADA/ICS по всему миру подвергаются атакам. Эти промышленные системы составляют инфраструктуру экономики любой страны и являются главными целями любой кибервойны. В такой войне эти системы можно легко обнаружить с помощью различных инструментов, таких как:
В этом уроке я продемонстрирую еще один превосходный источник для поиска в Интернете промышленных систем — Censys.
Обзор Censys можно найти в моем руководстве здесь .
Censys для SCADA/ICS
Censys использует эвристические методы для категоризации хостов по «тегам». Эти теги просто представляют хосты со схожей «эвристикой». Эвристика может быть выражена примерно так: «Если что-то ходит как утка и крякает как утка, то с ОЧЕНЬ высокой вероятностью это утка!»
Но, как мы знаем, подобные эвристические системы подвержены некоторым ошибкам. Считайте эти результаты не совсем детерминированными, но с высокой вероятностью верными.
На рисунке ниже представлен список наиболее часто встречающихся «тегов», которые Censys идентифицирует в Интернете.
Мы можем использовать эти теги для поиска систем, которые «квакают» как SCADA-системы. SCADA-системы настолько сильно отличаются от других систем, что при сканировании с помощью Zmap или Nmap вероятность того, что они являются SCADA-системами, очень высока.
Мы можем сузить наш поиск, используя множество вариантов, но если бы мы искали системы SCADA, в которых ПЛК были бы произведены немецким промышленным гигантом Siemens (их ПЛК стали целью атаки Stuxnet на Иран), мы могли бы создать такой поиск:
теги:scada и метаданные.производитель:siemens
Мы можем еще больше сузить наш поиск до тех, которые находятся в определенной стране, например, в Германии, используя логическое И, а затем добавив дополнительное условие location.country_code и задав ему значение DE (Германия) .
теги:scada и метаданные.производитель:siemens и местоположение.код_страны
E
Повышение
Одна из функций Censys, которая мне больше всего нравится, — это концепция «усиления». Это удобно, если у вас есть два поля, одно из которых гораздо важнее другого. Логическое «И» обычно придаёт обоим параметрам одинаковый вес. Таким образом, можно обозначить, что одно поле важнее другого. Более того, это усиление можно взвешивать.
Например, если бы я искал системы с протоколом Modbus и у меня был тег «SCADA», я бы, вероятно, придал большее значение протоколу Modbus и меньшее — тегу SCADA от Censys. Помните, что тег формируется эвристикой и не всегда будет верным.
Мы могли бы передать Censys эту невзвешенную важность, добавив «^» и число, регистрирующее вес, который вы хотите придать этому полю.
теги: scada и протоколы: «502/modbus»^3
Как видно из приведенных выше результатов, нам удалось извлечь информацию о сайтах, помеченных как SCADA И использующих протокол Modbus с большим акцентом на «modbus».
Краткое содержание
Мы можем найти системы SCADA/ICS, подключенные к Интернету с помощью различных инструментов, таких как Shodan и nmap, но Censys может дополнить эти данные данными, поступающими почти в реальном времени из самых разных областей, собранными с помощью Zmap .
Я считаю, что Censys выводит нас на новый уровень понимания поверхности атаки практически любой системы на планете практически в режиме реального времени. Это делает Censys невероятно мощным инструментом для мониторинга ландшафта угроз
вашей компании и геополитического ландшафта кибервойны.
Как вы знаете, системы SCADA/ICS по всему миру подвергаются атакам. Эти промышленные системы составляют инфраструктуру экономики любой страны и являются главными целями любой кибервойны. В такой войне эти системы можно легко обнаружить с помощью различных инструментов, таких как:
В этом уроке я продемонстрирую еще один превосходный источник для поиска в Интернете промышленных систем — Censys.
Обзор Censys можно найти в моем руководстве здесь .
Censys для SCADA/ICS
Censys использует эвристические методы для категоризации хостов по «тегам». Эти теги просто представляют хосты со схожей «эвристикой». Эвристика может быть выражена примерно так: «Если что-то ходит как утка и крякает как утка, то с ОЧЕНЬ высокой вероятностью это утка!»
Но, как мы знаем, подобные эвристические системы подвержены некоторым ошибкам. Считайте эти результаты не совсем детерминированными, но с высокой вероятностью верными.
На рисунке ниже представлен список наиболее часто встречающихся «тегов», которые Censys идентифицирует в Интернете.
Мы можем сузить наш поиск, используя множество вариантов, но если бы мы искали системы SCADA, в которых ПЛК были бы произведены немецким промышленным гигантом Siemens (их ПЛК стали целью атаки Stuxnet на Иран), мы могли бы создать такой поиск:
теги:scada и метаданные.производитель:siemens
Мы можем еще больше сузить наш поиск до тех, которые находятся в определенной стране, например, в Германии, используя логическое И, а затем добавив дополнительное условие location.country_code и задав ему значение DE (Германия) .
теги:scada и метаданные.производитель:siemens и местоположение.код_страны
E
Повышение
Одна из функций Censys, которая мне больше всего нравится, — это концепция «усиления». Это удобно, если у вас есть два поля, одно из которых гораздо важнее другого. Логическое «И» обычно придаёт обоим параметрам одинаковый вес. Таким образом, можно обозначить, что одно поле важнее другого. Более того, это усиление можно взвешивать.
Например, если бы я искал системы с протоколом Modbus и у меня был тег «SCADA», я бы, вероятно, придал большее значение протоколу Modbus и меньшее — тегу SCADA от Censys. Помните, что тег формируется эвристикой и не всегда будет верным.
Мы могли бы передать Censys эту невзвешенную важность, добавив «^» и число, регистрирующее вес, который вы хотите придать этому полю.
теги: scada и протоколы: «502/modbus»^3
Как видно из приведенных выше результатов, нам удалось извлечь информацию о сайтах, помеченных как SCADA И использующих протокол Modbus с большим акцентом на «modbus».
Краткое содержание
Мы можем найти системы SCADA/ICS, подключенные к Интернету с помощью различных инструментов, таких как Shodan и nmap, но Censys может дополнить эти данные данными, поступающими почти в реальном времени из самых разных областей, собранными с помощью Zmap .
Я считаю, что Censys выводит нас на новый уровень понимания поверхности атаки практически любой системы на планете практически в режиме реального времени. Это делает Censys невероятно мощным инструментом для мониторинга ландшафта угроз
вашей компании и геополитического ландшафта кибервойны.
