Эксперты рекомендуют выплачивать вознаграждения за поиск уязвимостей в SCADA-системах

image

Теги: SCADA, уязвимость, Siemens

По мнению исполнительного директора Digital Bond, современные SCADA-решения используют устаревший и слишком низкокачественный код.

Исследователи безопасности из США предложили разработчикам SCADA-систем пересмотреть свой подход к безопасности объектов критической инфраструктуры. По их словам, выпуск исправлений, даже своевременный, является только частью решения проблемы. Об этом сообщает Dark Reading.

Участники конференции S4x13 SCADA, которая на позапрошлой неделе проходила в Майами, показали, как можно легко и быстро обнаружить уязвимости в SCADA системах, чем проиллюстрировали необходимость применения новых подходов.

Для усиления безопасности промышленных вычислительных систем эксперты рекомендуют производителям налаживать связи с ИБ-сообществом, а также создавать программы по поощрению поиска уязвимостей.

Эта идея нашла поддержку в Siemens Product CERT в лице Тобиаса Лиммера (Tobias Limmer), который публично выступил в поддержку того, чтобы его компания серьёзно задумалась о создании программы поощрения исследователей, как, например, у Google.

Дейл Петерсон (Dale Peterson), исполнительный директор Digital Bond, в свою очередь, отметил, что программа поощрения поиска уязвимостей может помочь далеко не всем используемым на сегодняшний день SCADA-системам.

«Это может сработать, но нужно осторожно выбирать, с чем именно работать. Множество продуктов, которые мы изучали, просто не готовы к программам вознаграждения за заявленные уязвимости. Они просто старые, с некачественным кодом. Это не сработает», - отметил эксперт.

Петерсон рекомендует применить программу поощрения к программам нового поколения, безопасность которых проектировалась на этапе их создания.


или введите имя

CAPTCHA
firstDismay
30-01-2013 04:38:50
Столько времени говорят о безопасности SCADA никак не могу понять о чем вообще речь то идет. Единственное что худо бедно безопасно в SCADA это лицензия на саму SCADA. Большинство из них использует собственную убогую систему авторизации. Если таки чудом разобрались с платформенными средствами то это сделано не менее убого. Смена пароля может повлечь неконтролируемые последствия. SCADA использующие OPC в настройках предлагают использовать пользователя с правами администратора для обмена. Евревану полный доступ, руби баха даешь металл. Единственный действенный способ защиты это на уровне архитектуры сети либо инкапсуляция, но это не дает защиты от дурака...
0 |
firstDismay
30-01-2013 04:43:08
По поводу поощрений могу сказать одно. Даже при тыканье носом или предложении диетических продуктов для мозга со слабым желудком и при наличии партнерских отношений добиться исправления чего либо почти невозможно. общение напоминает зачастую ответ девочки Панкратову Черному из ералаша: -Дяденька, а я знаю что у вас сломалось - машина...
0 |