В систему мониторинга безопасности промышленных инфраструктур PT Industrial Security Incident Manager (PT ISIM) добавлен пакет экспертизы с поддержкой сетевых протоколов для управления и обмена данными компании Honeywell — одного из мировых лидеров в области технологий автоматизации промышленности и управления производственными процессами. Теперь PT ISIM детально разбирает трафик семейства Experion PKS. Выявляются опасные команды, эксплуатация уязвимостей, изменения параметров технологических процессов и другие аномалии, которые потенциально могут указывать на вмешательство злоумышленников.
Оборудование Honeywell востребовано в разных отраслях промышленности, включая нефтегазовую. Вендор, по данным исследования компаний «УльтимаТек», Positive Technologies и «Аквариус», на протяжении многих лет входит в четверку ключевых игроков на отечественном рынке АСУ ТП, являясь основным поставщиком специализированных решений для 27% предприятий.
В свою очередь, распределенные системы управления (РСУ) семейства Experion PKS установлены на критически важных промышленных объектах во многих странах мира. В частности, они помогают контролировать работу атомных электростанций и управлять процессами транспортировки газа.
С новым пакетом экспертизы, поддерживающим анализ специализированных протоколов Honeywell, PT ISIM своевременно обнаруживает следующие киберугрозы и сообщает о них операторам:
- умышленную смену атакующими различных параметров технологических процессов;
- нелегитимные операции перепрошивки и изменения конфигурации ПЛК: инциденты, вызванные такими операциями, могут повлечь остановку производственных линий, ухудшение качества изготавливаемой продукции, репутационные и финансовые потери;
- неавторизованную передачу сервисных команд, нетипичных для работы автоматизированных систем управления в штатных режимах. Такие действия сигнализируют о возможном присутствии хакеров в сети и требуют внимания специалистов по кибербезопасности.
Добавленные в продукт сигнатуры и события информационной безопасности помогают службам ИБ и ИТ быстрее реагировать, устраняя вредоносную активность, принимать компенсирующие меры, расследовать инциденты и минимизировать их последствия.
Кроме того, правила в составе пакета экспертизы позволяют PT ISIM фиксировать внутри сети попытки эксплуатации уязвимостей нулевого дня в решениях Honeywell, которые были найдены исследователями безопасности и закрыты производителем. Среди них — CVE-2023-24474, CVE-2023-25770, CVE-2023-24480, CVE-2023-26597, CVE-2023-25178.
