Positive Technologies выпустила новую версию системы глубокого анализа промышленного трафика PT Industrial Security Incident Manager (PT ISIM). Среди главных изменений — автоматизированное построение графа инцидента (цепочка развития атаки), возможность управлять встроенными правилами и тонкая настройка продукта под инфраструктуру компании, а также увеличение производительности.
По оценкам Positive Technologies, промышленные предприятия продолжают быть одной из главных целей хакерских группировок. В то же время, согласно результатам проектов по анализу защищенности, в 91% промышленных организаций внешний злоумышленник может проникнуть в корпоративную сеть, а в 56% случаев — добраться до систем управления технологическими процессами. Остановить и своевременно обезвредить хакеров непросто из-за нехватки квалифицированных специалистов, понимающих специфику защиты технологических сетей, а также из-за низкой скорости внедрения современных мер на предприятиях. В этих условиях на первый план выходят системы глубокого мониторинга технологического трафика (промышленные NTA 1 — и NDR 2 -системы), которые можно быстро развернуть, чтобы повысить защищенность технологической сети.
«PT ISIM 4 позволяет выявлять последовательность действий злоумышленников в сети и фиксировать атаку на каждом этапе, а не просто отслеживать отдельные уведомления, как, например, это делают обычные IDS 3. Таким образом, продукт дает возможность специалистам по ИБ быстрее отвечать на вопросы: есть ли сейчас злоумышленник в сети АСУ ТП 4? куда он добрался? — а значит, и решать главную задачу: как его остановить», — рассказывает Илья Косынкин, менеджер продукта PT ISIM, Positive Technologies.
PT ISIM 4 включает механизм управления инцидентами, основанный на ранжировании активов технологической сети по степени их критичности, которую для себя определяет конкретная компания. В сочетании с автоматизированным построением графа инцидента это дает возможность быстро определять направление и стадию атаки и превентивно оценивать ее последствия.
Помимо этого, в новой версии PT ISIM расширились возможности настройки и адаптации продукта под инфраструктуру.
«Внедрение продукта для анализа трафика всегда связано с тонкой настройкой, которая должна учесть политики безопасности предприятия, а также технологические особенности систем, трафик которых он анализирует. Несмотря на обширные возможности для автоматического обучения, в технологической среде всегда есть вероятность ложных срабатываний, которые нужно корректно обработать, не снизив при этом уровень защищенности. В PT ISIM 4 появились дополнительные возможности для управления встроенными правилами, которые позволяют быстро и гранулярно произвести подобную настройку. В итоге специалист по ИБ получает только нужную информацию о происходящем в сети, максимально очищенную от „шума“, и может сосредоточиться на поиске настоящих следов злоумышленника», — комментирует Роман Краснов, руководитель направления информационной безопасности промышленных предприятий Positive Technologies.
В новую версию продукта также вошло серьезное обновление базы индикаторов промышленных угроз PT ISTI и добавлена поддержка новых промышленных протоколов, среди которых ANSL (B&R), Bachmann RPCTCP, DICOM, FINS (Omron), INA2 (B&R), Phoenix, SLMP (Mitsubishi Electric), «ЭЛНА». Доработан и разбор протоколов ADS 5, CIP 6, OPC UA 7, INA2000 (B&R).
Архитектура пассивного мониторинга PT ISIM 4, как и в предыдущих версиях, исключает любое нежелательное воздействие на технологический процесс. Продукт обеспечивает полное соответствие требованиям законодательства (Федеральный закон № 187-ФЗ, приказы ФСТЭК № 31 и 239, требования ГосСОПКА).
- Network traffic analysis.
- Network detection and response.
- Intrusion Detection System.
- Автоматизированная система управления технологическим процессом.
- Automation Device Specification — протокол для обмена данными между станками с числовым программным управлением и программно-логическим контроллером.
- Common Industrial Protocol — протокол, разработанный для промышленных приложений, обеспечивает метод представления данных и управления соединениями.
- Open Platform Communication Unified Architecture — кроссплатформенный стандарт для обмена данными между датчиками и системой управления приложениями.