🏭 Производственные системы
Сейчас все чаще натыкаюсь на статьи о взломах 🧐 производственных / медицинских / транспортных систем, систем физической безопасности, *подставь нужное*.
Особенностью таких систем является необходимость работы с конкретным стеком технологии контроллеров 🤖 и часто еще и со скоростью обмена данными. А это всегда приводит к использованию только определенных ОС 🪟 и ПО, которые обновляются настолько редко ⏳, что не закрывают львиную долю уязвимостей.
В медицинских организациях вообще имеется целый зоопарк приборов разных производителей и разного назначения, что превращает сеть в лоскутное одеяло.
Своевременно обновлять такие системы сложно, соответственно, необходимо рассматривать компенсирующие меры:
🟢однозначный, но умный харденинг;
🟢распределение систем по критичности;
🟢сегментация сети и жесткие правила МЭ (можно рассмотреть однонаправленное взаимодействие);
🟢повышение защищенности протоколов связи и аутентификации (постараться исключить NTLM), криптографии;
🟢применение PAM-систем для доступа администраторов;
🟢по возможности двухфакторная аутентификация.
Это далеко не все меры, но базово они снизят вероятность компрометации учетки администратора 👹 и горизонтального перемещения злоумышленника.
💬 Закрыться от всевозможных атак, скорее всего, не получится, так что цель — защита наиболее критичных систем, минимизация вероятности и возможного ущерба. А резервное копирование и планы реагирования/восстановления позволят быстро «очухаться».
