PT ISIM
Единая точка мониторинга безопасности промышленных ИТ-инфраструктур
Positive Technologies, одна из лидирующих компаний в области результативной кибербезопасности, представила PT ISIM 6 — новое поколение системы обеспечения киберустойчивости промышленных инфраструктур. Продукт получил встроенные возможности систем класса SIEM, включая безагентный сбор и анализ событий безопасности. Теперь в одном решении объединены различные инструменты для полного обеспечения ИБ технологического сегмента: контекст по активам, уязвимостям, сетевым взаимодействиям и событиям безопасности. Это позволяет быстрее обнаруживать угрозы и снижать риск критического для производственного процесса ущерба.
Сбор данных с узлов при помощи агентов не всегда позволяет получить полное представление о возможных инцидентах безопасности в ОТ-инфраструктуре. Этому могут препятствовать устаревшее оборудование, несовместимые c агентами ОС и внутренние ограничения на установку программных компонентов. Вместе с тем, согласно приказу ФСТЭК № 2391, регистрация событий обязательна для объектов КИИ всех категорий значимости.
1 Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
В шестой версии PT ISIM расширены возможности для сбора и анализа всего диапазона сведений о технологической сети благодаря интеграции технологий, которые результативно проявили себя в системах класса SIEM. Так, была добавлена функция безагентного сбора данных из журналов событий Windows (Windows Event Log) и по протоколу syslog2. В дальнейшем список источников событий будет расширяться. Это позволило осуществлять мониторинг событий ИБ на серверах инфраструктуры и АСУ ТП, операторских и инженерных рабочих станциях, а также сетевом оборудовании. Эффективность обнаружения инцидентов обеспечивает встроенная база правил и индикаторов угроз кибербезопасности PT ISTI, поставляемая центром промышленной экспертизы Positive Technologies.
В обновленном PT ISIM модуль сбора и анализа событий также включен в состав PT ISIM Collector, поэтому теперь можно отслеживать различную активность в распределенных системах управления и изолированных сегментах инфраструктуры. Улучшился интерфейс поиска событий: для их фильтрации добавлен текстовый язык запросов, а также появилась функция группировки. Это помогает быстрее выявлять подозрительные действия или признаки атаки в большом потоке разрозненных данных. Кроме того, для регулярного мониторинга событий настроенные параметры можно сохранять в виде готовых шаблонов — пользовательских представлений.
PT ISIM защищает промышленные сети, вместе с этим шестое поколение продукта становится полноценным источником информации для централизованных систем хранения больших данных (озер данных, data lakes) и решений класса SIEM, установленных в корпоративной инфраструктуре. В них поступают сведения о событиях безопасности и активах, что позволяет специалистам по ИБ централизованно контролировать защищенность промышленного объекта.
2 Syslog — стандартный протокол для сбора, централизованной передачи и хранения сообщений о происходящих в системе событиях.
«Обеспечить полную киберустойчивость АСУ ТП невозможно, пока данные в технологической сети разрознены. Именно поэтому внедрение безагентного сбора событий стало важным шагом для полной видимости промышленной инфраструктуры. Такой подход позволяет точнее расставлять приоритеты при реагировании на инциденты, поскольку открывает доступ к данным даже из тех сегментов, где установить стороннее программное обеспечение затруднительно или вовсе невозможно. Мы будем и дальше наполнять продукт экспертизой, внедрять новые функции и совершенствовать возможности интеграции с различными промышленными системами».