CoLaboratory: Industrial Cybersecurity Meetup #3

Только что вернулся со встречи Industrial Cybersecurity Meetup #3, организованной Лабораторией Касперского. Доводилось смотреть их доклады в записи, вживую присутствовал впервые. Коротко поделюсь впечатлениями.

«Сказ о том, как нубы АСУ ТП ломают» Степана Носова направлен на демонстрацию того, что доля IT-компонентов в современных АСУ ТП так велика (и будет увеличиваться), что сломать технологическую сеть можно просто «за компанию» с офисной. Были описаны актуальные приёмы разнесения в хлам корпоративных сетей на внутренних пентестах: Powershell Empire, Mimikatz, Responder и, естественно, эксплойты АНБ. Доклад понравился, узнал о существовании PyEmpire, буду изучать.

«Machine Learning for Anomaly Detection» я, честно скажу, не понял. Не сомневаюсь в компетенции Андрея Лаврентьева как специалиста в области машинного обучения, но было похоже, что на уровне ПЛК просто прикрутили нейронки для распознавания паттернов и, естественно, аномалий. На их же собственном примере: стендик тащит деревянную детальку по конвейеру, сверлит её 3 секунды, тащит дальше. Нейронка обучилась предсказывать, что если 10000 раз сверлили 3 секунды, то и на 10001-й будут сверлить 3 секунды. Если сверлят 5 секунд — это аномалия и выбрасывается оповещение. Если детальку убрали с конвейера — это аномалия и выбрасывается оповещение. Ну, такое. После доклада развязалось обсуждение из которого стало ясно, что ограничений масса: историческим данным клиента доверять нельзя, подход работает только для повторяющихся процессов (то есть, сверлим всегда 3 секунды) и так далее. Выходит, если на протяжении последних 5 лет на заводе каждый месяц воровали лишние 10 тонн топлива, то после обучения по имеющимся данным нейронка будет считать это нормой и алерт выпадет, если в текущем месяце топлива украдут меньше. Впрочем, моя экспертиза в этом вопросе, мягко говоря, не ахти. Но похоже на то, что технология уязвима всё к тем же атакам на переобучение, что и простенькие WAF на нейронках.

Наконец, Борис Савков рассказал о состоянии дел проекта Free SCADA.  На 1 июля намечен релиз! Это очень здорово. Оказалось, что на PHD7 был их стенд. Жаль, что сфоткал и прошёл мимо, надо было попробовать себя.

Очень надеюсь на то, что исходники действительно релизнутся 1 июля. Подготовлюсь, куплю Raspberry Pi и опишу процесс взлома стенда.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *