PT ISIM 5: единая точка мониторинга безопасности промышленных инфраструктур

Компания Positive Technologies выпустила новую версию системы мониторинга безопасности промышленных инфраструктур PT Industrial Security Incident Manager (PT ISIM). В этом поколении продукта появился компонент PT ISIM Endpoint, который выявляет киберугрозы на конечных узлах технологической сети. В числе других ключевых изменений — более удобная визуализация сети, а также новый модуль контроля технологических процессов.

Для комплексного мониторинга безопасности промышленных ИТ-инфраструктур предприятиям необходим единый инструмент, который не только контролирует технологический трафик, но и отслеживает происходящее на хостах. Чтобы вовремя обнаруживать сложные, таргетированные кибератаки, необходимо выявлять аномалии и подозрительные действия в сетевом трафике, разбирать события безопасности на уровне операционных систем, распознавать опасные технологические команды и операции в прикладном ПО АСУ ТП, а также отслеживать логические взаимосвязи между всеми этими инцидентами.

В ответ на появившийся в промышленности запрос на комплексную защиту технологической инфраструктуры в PT ISIM 5 добавили еще один компонент — агенты PT ISIM Endpoint, которые выявляют аномалии, нелегитимные операции и подозрительную активность на рабочих станциях и серверах SCADA. Теперь агенты подключаются к PT ISIM View Sensor, единой точке для мониторинга всех событий безопасности в промышленной инфраструктуре. 

Новый компонент учитывает особенности работы систем промышленной автоматизации и содержит правила выявления киберугроз, специфичных для таких сетей. Так, например, продукт своевременно уведомит специалистов по ИБ о несанкционированном запуске инженерных утилит, попытках подбора паролей к SCADA и подмены проектов в них, а также о других потенциально опасных воздействиях на промышленные системы. Для этого в PT ISIM Endpoint заложены пакеты экспертизы, позволяющие предотвращать атаки на программное обеспечение российских (AdAstra, «Прософт-Системы», «МПС Софт» и другие) и мировых (Yokogawa Electric, Siemens, AVEVA и прочие) производителей АСУ ТП.

Таким образом, в одной системе аккумулируются события с узлов технологической сети и те, что зарегистрированы в результате анализа сетевого трафика. Кроме того, для контроля безопасности изолированных производственных площадок организаций, с требованиями к физической изоляции, предусмотрена схема подключения PT ISIM Endpoint через однонаправленные диоды данных.

Еще одно важное изменение в PT ISIM 5 — новая карта сетевых взаимодействий, которая позволяет специалистам по ИБ удобно и легко ориентироваться в крупных распределенных промышленных инфраструктурах с десятками тысяч узлов. В ее основе лежит новый подход к мониторингу потоков данных между группами узлов. Благодаря этому обновлению продукт теперь быстрее выявляет нарушения изоляции технологического сегмента, в частности, факты подключения к интернету и корпоративной сети, нелегитимные соединения между производственными площадками или отдельными сегментами. 

Кроме того, в новой версии расширены функции модуля, который контролирует технологический процесс. Появился также обновленный стартовый дашборд: на нем теперь собираются последние инциденты, уведомления о появлении новых узлов, неавторизованных соединений и сведения об инвентаризации компонентов технологической сети.