Новый пакет экспертизы для программно-аппаратного комплекса глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) позволяет подразделениям ИБ детектировать атаки связанные со скрытым туннелированием и эксфильтрацией данных из АСУ ТП.
Пакет экспертизы 1, в частности, содержит набор правил, предназначенных для обнаружения техник Command and Control, которые используются для организации связи атакованной системы с контрольным сервером злоумышленников с помощью маскировки таких коммуникаций под доверенный трафик. Система может обнаруживать попытки соединений на уровне приложений, обфускацию данных и выявлять зловредные соединения даже в закодированном трафике. Также PT ISIM детектирует техники эксфильтрации (Exfiltration) — то есть передачи данных из технологической сети жертвы на контролируемые злоумышленниками ресурсы.
«Успешное проникновение злоумышленника в инфраструктуру промышленного предприятия может остаться незамеченным: например, если антивирусное ПО на узле технологической сети пропустило запуск вредоносного объекта, ― объясняет Роман Краснов, эксперт по информационной безопасности промышленных систем Positive Technologies. — После успешного проникновения задача номер один для злоумышленников — наладить канал связи между жертвой и командным центром (C&C- или C2-сервером) для последующего управления развитием атаки. И именно в этот момент PT ISIM помогает выявить и нейтрализовать скрытую угрозу еще до того, как будут произведены какие-то деструктивные действия».
По статистике Positive Technologies, три четверти APT-группировок (77%) обмениваются информацией с C2-сервером по известным протоколам прикладного уровня (standard application layer protocol). При этом большинство из них шифруют канал связи с C2-серверами, чтобы скрывать вредоносный трафик. Каждая вторая группа (46%) с этой целью использует известные алгоритмы (standard cryptographic protocol), например RC4 или простое XOR-суммирование, а 38% — их модифицированные версии (custom cryptographic protocol).
«Эффективное обнаружение скрытого туннелирования и эксфильтрации данных сегодня является необходимым элементом в обеспечении ИБ промышленного предприятия», — комментирует Денис Суханов, директор по разработке средств защиты промышленных систем Positive Technologies.
Данный пакет экспертизы PT ISIM в числе прочего расширяет поддержку обнаружения эксплуатации уязвимостей компонентов операционных систем Microsoft Windows, Linux и их сторонних реализаций, а также повышает эффективность детектирования попыток атак на распределенную систему управления CENTUM компании Yokogawa — этот инструмент сегодня используют более 10 тысяч предприятий нефтегазовой, химической, энергетической сфер, водоканалы и компании других отраслей.
- Начиная с лета 2020 года, базу индикаторов промышленных киберугроз программно-аппаратного комплекса глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) можно пополнять пакетами экспертизы ИБ. Первый экспертный пакет для PT ISIM был выпущен в начале августа — он включает в себя правила обнаружения угроз для оборудования и систем австрийской компании B&R Industrial Automation. Эти продукты применяются в нефтегазовой, горнодобывающей, перерабатывающей промышленности и других отраслях.