PT ICS выявляет атаки на системы промышленной автоматизации под управлением Redkit SCADA

В систему мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM, которая входит в состав решения PT Industrial Cybersecurity Suite (PT ICS), добавлен пакет экспертизы для контроля безопасности систем диспетчеризации на базе Redkit SCADA 2.0 (применяется на предприятиях электроэнергетики и нефтегазовой сферы). Благодаря обновлениям, теперь можно выявлять неудачные попытки входа в систему, изменение пароля и парольной политики, модификацию конфигурационных файлов¹ и другие подозрительные действия.

На промышленных предприятиях очень важно вовремя обнаруживать нелегитимные команды операторов. Скорость выявления таких действий на производстве критична, от нее зависит, удастся ли остановить кибератаку на раннем этапе. Опыт расследований инцидентов Positive Technologies показывает, что во многих SCADA-системах внутренний злоумышленник или атакующий, который получил доступ к рабочей станции инженера, может легко устранить следы своей активности.

Пакет экспертизы выявляет действия, которые могут повлиять на функционирование АСУ ТП (подмену исполняемых файлов, запуск и остановку критичных сервисов и приложений и др.), регистрирует события информационной безопасности (например, вход пользователей в систему и выход из нее, изменение пароля и парольной политики, создание, удаление и блокировку пользователей). Кроме того, фиксируются такие события, как изменение технологических параметров, отправка команд управления оборудованием и т. д.

Новый пакет экспертизы PT ICS уже доступен для установки через службу технической поддержки и совместим с последней версией MaxPatrol SIEM (8.4).

1. В конфигурационных файлах задаются настройки компонентов системы. Кроме того, они содержат множество параметров для корректного функционирования системы.