Ahogy minden évben, idén is volt az SANS-nek egy Industrial Control Systems Summit nevű konferenciája Orlando-ban (a Disney World-ben, illetve közvetlenül mellette), aminek a Solutions Track része online és ingyen is nézhető volt (és utólag is elérhető, visszanézhető a SANS Webcast-ok között).
Az első előadás, amit meg tudtam nézni, Richard Springer-é, a Fortinet egyik vezetőjéé volt. Előre kell bocsátanom, hogy nem én vagyok a Fortinet, mint cég és termékeik legnagyobb rajongója, több szempontból is vannak fenntartásaim a céggel illetve a termékeikkel szemben, de ez az előadás most nem ezek miatt nem tetszett. Szerintem teljesen mindegy, hogy egy terméket, megoldást én személy szerint mennyire tartok jónak vagy rossznak, egy alapvetően IT környezetbe, IT hálózatokba tervezett megoldás, még ha a létező és elérhető legjobb is az adott feladatra, nem gondolom, hogy ugyanúgy alkalmazható lenne egy OT környezetben. Ezt a konkrét gondolatot Richard-nak az a diája váltotta ki bennem, ahol a FortiNAC OT környezetekben történő alkalmazásáról és a posture folyamaton elbukó eszközök automatikus kizárásáról beszélt. Ezt szerintem egyetlen OT üzemeltető illetve egyetlen gyártó sem fogja soha engedélyezni, mert egy hibás működés vagy konfiguráció azonnal olyan szintű rendelkezésre állási incidenseket okozhat, amik akár a safety kockázatok növekedését is okozhatják (még ha nem is törvényszerűen lesz egy ilyen incidensből sérülés vagy halál).
A Claroty előadását sajnos nem tudtam megnézni és egyelőre időm se volt visszanézni, utána viszont a KeySight és a Nozomi Networks munkatársai tartottak közösen előadást az ICS visibility témában. Ebben az előadásban sok újdonság azok számára nincs, akik foglalkoznak az ICS/OT hálózatok forgalmának biztonsági elemzésével, immár lassan 10 éve egyre több (ma már legalább tucatnyi) különböző megoldás létezik erre a feladatra, sőt, a SCADAfence felvásárlása után már olyan ICS/OT vendor is van (a Honeywell), aki nem csak támogatja egy vagy több ICS/OT network visibility megoldás használatát az általa gyártott és üzemeltetett OT hálózatokban, de maguk is kínálnak ilyen megoldást. Ez a felállás (hogy az OT vendor ad OT visibility megoldást) rendelkezik egy vitathatatlan versenyelőnnyel az OT vendor-független megoldásokkal szemben, nevezetesen azt, hogy a Honeywell a SCADAfence-hez ad aktív polling lehetőséget, amit egyetlen másik termék esetén sem támogat semelyik OT visibility megoldás esetén sem (és persze a többi gyártó sem akar hallani erről a SCADAfence esetén, szóval ez igazán akkor előny, ha egy szervezetnél csak Honeywell-megoldások biztosítják az ipari folyamatautomatizálást).
Sajnos nem tudtam több előadást megnézni az ideiek közül, így kíváncsian várom, mikor lesznek elérhetőek a felvételek.
