A mai posztot már korábban előkészítettem, aztán a napi rohanásban simán meg is feledkeztem róla, de most rátaláltam és elég érdekesnek tartom, hogy közre is adjam.
A SANS ICS security blog-járól ezúttal Mark Bristow írása ér meg szerintem több figyelmet. A különböző ICS rendszerek, bár egyre gyakrabban használnak IP-alapú hálózati kommunikációt, mind a mai napig nagyban építenek a soros porton keresztüli adatátvitelre, különösen a különböző (ipari) végponti berendezések környékén. Mostanáig a támadók (ahogy az az utóbbi évek jelentősen ICS kiberbiztonsági incidensei, mint például a BlackEnergy, Havex esetén is látható volt) az esetek döntő többségében az ICS rendszer általános informatikai elemeit vették célba és azok kompromittálásával érték el céljaikat. Ahogy az újabb incidensek után a biztonsági szakemberek ezekre a területekre kezdenek koncentrálni, eljöhet a pillanat, amikor a támadóknak már könnyebb lesz a fizikailag jobban védett és nehezebben hozzáférhető, de egyéb szempontokból könnyebb célpontot jelentő soros porti kommunikációt célba venni.
Mark Bristow blogposztja bemutatja a soros porti kommunikáció monitorozásának nehézségeit és lehetőségeit, majd egy Raspberry PI és egy Y soros porti kábel segítségével be is mutatja, hogyan lehet a soros porti kommunikáció csomagjait egy IP alapú hálózatba kitükrözni, hogy már meglévő eszközökkel integrálva el lehessen végezni a szükséges elemzéseket.
További részleteket a SANS ICS Security Blog-ján lehet olvasni.