В систему мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM, которая входит в состав решения PT Industrial Cybersecurity Suite (PT ICS), добавлен пакет экспертизы для контроля безопасности систем диспетчеризации на базе Redkit SCADA 2.0 (применяется на предприятиях электроэнергетики и нефтегазовой сферы). Благодаря обновлениям, теперь можно выявлять неудачные попытки входа в систему, изменение пароля и парольной политики, модификацию конфигурационных файлов1 и другие подозрительные действия.
«Согласно нашему исследованию, в 2023 году каждая вторая атака на промышленные предприятия приводила к нарушению их деятельности. Избежать подобных угроз помогает высокая видимость технологической сети и инфраструктуры в целом. За счет этого специалисты службы ИБ могут выявлять опасные действия операторов, а также атаки внешних и внутренних злоумышленников (то есть злонамеренных сотрудников). Многие команды, которые отправляют операторы, фактически невозможно отследить встроенными в АСУ ТП средс...
На промышленных предприятиях очень важно вовремя обнаруживать нелегитимные команды операторов. Скорость выявления таких действий на производстве критична, от нее зависит, удастся ли остановить кибератаку на раннем этапе. Опыт расследований инцидентов Positive Technologies показывает, что во многих SCADA-системах внутренний злоумышленник или атакующий, который получил доступ к рабочей станции инженера, может легко устранить следы своей активности.
Пакет экспертизы выявляет действия, которые могут повлиять на функционирование АСУ ТП (подмену исполняемых файлов, запуск и остановку критичных сервисов и приложений и др.), регистрирует события информационной безопасности (например, вход пользователей в систему и выход из нее, изменение пароля и парольной политики, создание, удаление и блокировку пользователей). Кроме того, фиксируются такие события, как изменение технологических параметров, отправка команд управления оборудованием и т. д.
Новый пакет экспертизы PT ICS уже доступен для установки через службу технической поддержки и совместим с последней версией MaxPatrol SIEM (8.4).
- В конфигурационных файлах задаются настройки компонентов системы. Кроме того, они содержат множество параметров для корректного функционирования системы.