Разработчики: | Positive Technologies (Позитив Текнолоджиз) |
Дата премьеры системы: | 2016 |
Дата последнего релиза: | 2024/05/15 |
Технологии: | ИБ - Межсетевые экраны |
Основная статья: Межсетевой экран (Firewall)
2024
Поддержка протоколов АВВ и «Энергомеры»
Обновленная версия системы глубокого анализа трафика в технологических сетях PT Industrial Security Incident Manager упрощает контроль информационной безопасности крупных распределенных производственных структур. В PT ISIM появились функции, которые ускоряют доставку правил и индикаторов угроз, а также повышают удобство администрирования системы. Кроме того, в продукт была добавлена поддержка протоколов АВВ и «Энергомеры» для выявления опасных команд и аномалий. Об этом Positive Technologies сообщили 15 мая 2024 года.
PT ISIM Overview Center теперь может автоматически скачивать с серверов Positive Technologies обновления PT ISTI (базы экспертных правил Positive Technologies для выявления угроз на промышленные инфраструктуры) и распространять их по защищенным каналам на все подключенные сенсоры PT ISIM. Это дает возможность пользователям сразу же получить доступ к актуальной информации об атаках и способах их выявления, — отметил Илья Косынкин, руководитель разработки продуктов для безопасности промышленных систем Positive Technologies. |
В обновленной версии пользователь может входить в любой сенсор PT ISIM в иерархии с помощью учетной записи MaxPatrol SIEM. Для этого необходимо настроить интеграцию PT ISIM Overview Center и всех сенсоров PT ISIM с модулем PT Management and Configuration (PT MC). А если PT MC интегрирован c Active Directory, то можно входить под доменной учетной записью во все подключенные сенсоры PT ISIM.CommuniGate Pro: итоги первого года работы законного правообладателя
В PT ISIM 4.5 теперь можно разграничить доступ к функциям PT ISIM Overview Center между аналитиками SOC и ИТ-администраторами. Появилась возможность подключать сенсоры, установленные в нескольких независимых организациях или дочерних зависимых обществах, к одной консоли PT ISIM Overview Center. Все пользователи смогут работать на общем сервере, но им будут доступны данные только от сенсоров своей организации.
В PT ISIM 4.5 вместе с добавленным пакетом экспертизы также появилась поддержка протоколов ABB и «Энергомеры». В частности, поддержка протокола CE_A компании «Энергомера», лидера российского рынка приборов для учета электроэнергии, позволяет обнаружить попытки эксплуатации уязвимостей в ее устройстве сбора и передачи информации CE805M.
Добавление пакета экспертизы с поддержкой пяти промышленных протоколов
В систему глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) добавлен пакет экспертизы с поддержкой пяти промышленных протоколов. Четыре из них используются в оборудовании компании ABB, одного из производителей АСУ ТП, а один — в устройствах «Энергомеры», лидера российского рынка приборов для учета электроэнергии. Теперь PT ISIM может своевременно выявлять еще больше опасных технологических команд и аномалий, сигнализирующих об активности злоумышленников. Об этом Positive Technologies сообщили 26 апреля 2024 года.
Промышленные компании входят в тройку наиболее частых мишеней для кибератак. Для проникновения в инфраструктуру и обхода средств защиты информации злоумышленники могут использовать штатные возможности систем управления технологическими процессами, поэтому важно своевременно анализировать выполняемые команды. В данном пакете экспертизы мы разобрали операции в пяти промышленных протоколах. Это поможет выявить киберугрозы до того, как злоумышленники успеют нанести компании значительный ущерб, — сказал Антон Баев, руководитель группы исследований промышленных систем, Positive Technologies. |
Данная экспертиза позволяет PT ISIM отслеживать команды настройки и взаимодействия с системой АСУ ТП ABB MicroSCADA, ПТК ABB Freelance и операции с программируемыми логическими контроллерами (ПЛК) ABB, включая попытки взлома учетной записи методом подбора логина и пароля (брутфорса), внесение изменений в собственную базу данных ПЛК и аварийную остановку устройств. Кроме того, с помощью нового пакета экспертизы продукт теперь выявляет эксплуатацию опасных уязвимостей CVE-2023-0425 и CVE-2023-0426 в контроллерах типа AC 900F и AC 700F — эти недостатки безопасности были обнаружены ранее экспертами Positive Technologies.
Протокол CE_A создан компанией «Энергомера». Он обеспечивает обмен информацией между устройством сбора и передачи данных (УСПД) и системами коммерческого учета электроэнергии — АСКУЭ. УСПД применяется для учета энергоресурсов и устанавливается на подстанциях, в распределительных щитах промышленных предприятий, жилых и офисных зданий. Обновление экспертизы позволяет выявлять события, связанные с учетом, обработкой, хранением и передачей информации, а также с управлением объектом автоматизации и контролем его состояния.
представленный пакет экспертизы доступен всем пользователям версии PT ISIM 4.4 и выше.
Расширение поддержки РСУ DeltaV от Emerson и добавление 3000 индикаторов угроз
Positive Technologies 17 января 2024 года выпустили пакет экспертизы для системы глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM). В продукте расширилась поддержка распределенной системы управления (РСУ) DeltaV компании Emerson. Теперь PT ISIM выявляет больше событий информационной безопасности и позволяет еще эффективнее обеспечивать защиту. В продукт включено свыше 3000 правил для обнаружения актуальных киберугроз, все они имеют детализированные описания, которые помогают специалистам по ИБ оперативно разбирать события и инциденты.
В обновленном пакете экспертизы — углубленный разбор протокола для управления и обмена данными РСУ Emerson DeltaV. PT ISIM анализирует команды управления контроллером и параметры технологического процесса (значения системных и диагностических тегов), которые передаются в промышленной сети. Это позволяет системе выявлять больше событий информационной безопасности, которые могут сигнализировать о кибератаках. В частности, PT ISIM фиксирует перевод контроллеров РСУ в отладочный режим, изменение состояния блокировки, загрузку в контроллер управляющей микропрограммы. Кроме того, PT ISIM может обнаруживать подозрительные действия управления модулями контроллера и эксплуатацию его уязвимостей по сетевому протоколу Telnet и по проприетарному протоколу РСУ DeltaV.
Мы разобрали операции в проприетарном протоколе для управления и обмена данными РСУ DeltaV, и теперь PT ISIM понимает, как устройства взаимодействуют друг с другом, какие команды используют и в каких случаях это небезопасно, — сказал Роман Осташкин, эксперт по исследованию промышленных систем Positive Technologies. — Некоторые события ИБ происходят в инфраструктуре не так часто, но именно они могут повлечь за собой значительный ущерб. Поэтому их нужно своевременно анализировать, и здесь как раз будет полезен мониторинг штатных операций — вокруг них хакеры могут выстраивать векторы атак и пути обхода средств защиты информации. События ИБ, которые мы разобрали в новом пакете экспертизы, а также актуализированная база правил обнаружения атак помогут своевременно устранить угрозы для промышленных компаний. |
Важное изменение в пакете экспертизы — обновление базы сигнатур для обнаружения нарушений безопасности. В PT ISIM появилось более 3000 индикаторов актуальных угроз для промышленных предприятий. К ним были добавлены детализированные описания, которые упрощают работу специалистов и позволяют им сразу же получать полное представление о срабатываниях продукта. Кроме этого, 2000 устаревших сигнатур удалены из базы.
В числе обновлений — правило выявления ICMP-туннелей. Протокол ICMP часто бывает разрешен к использованию на межсетевых экранах. С помощью него злоумышленники могут в обход средств защиты информации установить связь с управляющими серверами, вывести данные из технологической сети или внедрить в инфраструктуру вредоносное ПО. Добавленное правило позволит на раннем этапе обнаружить использование протокола не по назначению.
Обновления также коснулись существующих сигнатур, в частности правила обнаружения атак типа ARP Spoofing. Это сетевая атака на протокол ARP; хакеры используют ее для перехвата данных, которые передаются между устройствами. Данное правило менее зависимо от инфраструктуры компании и срабатывает точнее.
Обновленный пакет экспертизы доступен всем пользователям PT ISIM 4.4 и выше.
2023
PT Industrial Security Incident Manager 4.4 с расширенным контролем сетевых коммуникаций на цифровых энергообъектах по стандарту МЭК-61850
Система глубокого анализа технологического трафика PT Industrial Security Incident Manager 4.4 теперь включает в себя расширенный контроль сетевых коммуникаций на цифровых энергообъектах по стандарту МЭК-61850. В продукте появился microView Sensor, который устанавливается на компактные промышленные ПК и предназначен для использования на небольших объектах автоматизации: подстанциях 6–10 кВ, тепловых пунктах, в цехах и инженерных системах ЦОД и зданий. Также упростился пользовательский интерфейс. Об этом 29 ноября 2023 года сообщила компания Positive Technologies (Позитив Текнолоджиз).
В PT ISIM реализован расширенный контроль цифровых коммуникаций по стандарту МЭК-61850. Он используется в электроэнергетике для описания эталонной системы автоматизации при проектировании цифровых подстанций и других энергообъектов. Продукт может выявлять аномальные сетевые соединения, отказы и ошибки коммуникации по протоколам MMS и GOOSE, свидетельствующие о неправильной эксплуатации, некорректной настройке оборудования или попытках компрометации устройств.
MicroView Sensor — упрощенная версия сенсора NetView Sensor, — сказал Илья Косынкин, руководитель разработки продуктов для безопасности промышленных систем, Positive Technologies. — В данном сенсоре такая же функциональность, как в других версиях, кроме регистрации и хранения всего потока событий, — фиксируются только ключевые. Благодаря этому снизилась стоимость продукта. Кроме того, обновленные требования к аппаратным ресурсам дают возможность использовать систему на недорогих безвентиляторных промышленных ПК. |
В обновленной версии PT ISIM усовершенствован механизм ручного объединения и разъединения узлов на схеме сети. Значительно изменился алгоритм автоматического объединения интерфейсов в узлы: теперь он работает стабильнее в сетях со сложной структурой. Алгоритм изменяет существующую схему сети только при выявлении новых интерфейсов, чтобы не вносить изменений там, где пользователь уже скорректировал все вручную.
В Overview Center появилась возможность открыть единый список инцидентов на одном экране, скрыв при этом географическую карту. Также упростился переход на детальное расследование инцидента в PT ISIM.
Обновление предыдущих версий теперь полностью централизованно для всех поддерживаемых операционных систем — ручное обновление дополнительных модулей не требуется.
Расширение поддержки контроллеров Emerson и GE Fanuc
Компания Positive Technologies 31 июля 2023 года выпустила пакет экспертизы для системы глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM). Обновление позволяет улучшить работу с протоколом GE-SRTP компании GE Fanuc (Emerson), обнаруживать дополнительные команды по протоколу FINS в контроллерах OMRON и отслеживать передачу конфигураций систем автоматизации в сети. Кроме этого, в пакет добавлено более 640 сигнатур для обнаружения вредоносного ПО (троянов и шифровальщиков) и фактов нарушения политик безопасности.
Протокол GE-SRTP, разработанный компанией GE Fanuc, предназначен для сетевого обмена данными между контроллерами GE Fanuc и инженерным ПО (Proficy Machine Edition), SCADA-системами и OPC-серверами. Обновленный пакет экспертизы PT ISIM позволяет специалистам по мониторингу ИБ реагировать на инциденты, связанные с взаимодействием с контроллерами по протоколу GE-SRTP. Обновленные правила и события отслеживают изменение статуса и уровня привилегий доступа, установку времени, загрузку и выгрузку аппаратной и программной конфигурации, а также принудительную установку значений на входах и выходах контроллеров.
Кроме этого, в пакет добавлены правила и события для систем Wonderware InTouch (Schneider Electric), SIMATIC WinCC (Siemens), CENTUM VP (Yokogawa Electric), TRACE MODE («АдАстра»), MasterSCADA 3 и MasterSCADA 4D («МПС софт»). Они регистрируют передачу файлов конфигураций систем автоматизации в сети.
Отслеживание изменений конфигурации систем автоматизации, осуществленных с помощью сети, позволяет выявлять вмешательства на раннем этапе. Подмена файлов может привести к некорректному отображению данных и к неработоспособности SCADA-системы в целом, — сказал Сергей Щукин, эксперт по исследованиям промышленных систем Positive Technologies. — Важно обнаруживать внешних и внутренних злоумышленников на начальной стадии атаки, чтобы остановить их продвижение во внутреннем периметре и предотвратить повторение инцидента. |
В 2023 году Positive Technologies обнаружила уязвимость в контроллерах OMRON серии CP1L, позволяющую злоумышленникам изменять произвольные области памяти устройства по протоколу FINS. PT ISIM находит использование недокументированных команд чтения и записи данных. Это позволяет избежать последствий, таких как полный отказ в обслуживании или выполнение произвольного кода.
PT ISIM — часть комплексной платформы PT Industrial Cybersecurity Suite (PT ICS) для защиты промышленных инфраструктур и обеспечения киберустойчивости производства, поэтому пользователи PT ICS тоже получат эти и другие пакеты экспертизы и обновления.
Загрузка пакета экспертизы для выявления атак на SCADA Trace Mode 6
Positive Technologies 12 апреля 2023 года сообщила о том, что дополнила программно-аппаратный комплекс глубокого анализа технологического трафика PT Industrial Security Incident Manager пакетом экспертизы для выявления атак на SCADA TRACE MODE 6 — одну из SCADA-систем, разработанную компанией «АдАстра». Обновление позволяет выявить неавторизованную работу с монитором реального времени (МРВ), подключения к TRACE MODE 6 в режиме SPY (с помощью удаленного отладчика распределенного проекта) и манипуляции злоумышленников с ПЛК[2]. Это помогает обнаруживать кибератаки на ранних стадиях и предотвращать их повторение.
Данный пакет экспертизы PT ISIM будет полезен российским компаниям для выполнения требований регуляторов: с 2025 года государственные организации обязаны использовать на объектах критической информационной инфраструктуры исключительно отечественное ПО.
Обновление PT ISIM расширило возможности выявления потенциально опасных действий, выполняемых с удаленных компьютеров, и теперь с помощью новых правил можно обнаруживать:
- Неавторизованную работу с монитором реального времени. Продукт позволяет отследить подключения злоумышленников к работающей SCADA-системе и обнаружить факт нелегитимной установки IDE TRACE MODE на автоматизированные рабочие места операторов АСУ ТП.
- Подключения к TRACE MODE 6 в режиме SPY. PT ISIM распознает подключения к МРВ в режиме слежения, а также позволяет увидеть, какие действия были выполнены атакующими.
- Воздействие злоумышленников на ПЛК на базе исполнительного модуля Micro TRACE MODE. PT ISIM обнаруживает факт получения нелегитимного доступа к ПЛК и предотвращает нарушение технологического процесса.
Злоумышленники умеют устанавливать вредоносное ПО с помощью удаленных компьютеров, которые находятся вне зоны внимания специалистов по информационной безопасности и представляют особую угрозу для предприятия. Проникнув во внутренний периметр сети, хакеры могут подменить данные, которые видит оператор на мнемосхемах, или выполнить нелегитимную команду, что приведет к возникновению нештатного режима функционирования АСУ ТП, — сказал Илья Косынкин, руководитель продукта PT ISIM. — Важно на ранней стадии выявить, откуда производилось воздействие и какие шаги были сделаны третьими лицами. Имея эти данные, специалисты по ИБ могут предотвратить повторную атаку и принять правильные меры по восстановлению корректной работы АСУ ТП. |
Выявление действий злоумышленников в технологических сетях помогает предотвращать возникновение нештатных ситуаций и аварийных режимов. «АдАстра» и Positive Technologies являются технологическими партнерами и активно обмениваются опытом. Данный пакет экспертизы позволяет обнаруживать потенциально опасные воздействия, которые не видны обслуживающему персоналу. Таким образом можно противодействовать хакерам уже на ранних стадиях атаки, — рассказал Владимир Карандаев, руководитель технической поддержки компании «АдАстра». |
PT ISIM 4.3 с добавлением 1000 индикаторов промышленных угроз
Компания Positive Technologies 14 марта 2023 года представила PT ISIM 4.3 — обновленную версию системы для глубокого анализа технологического трафика.
Мы стремимся к тому, чтобы пользователи PT ISIM могли использовать весь объем экспертизы по обнаружению атак на технологическое оборудование сразу после внедрения решения, — сказал Илья Косынкин, руководитель продукта PT ISIM. — Появившиеся возможности продукта по созданию и использованию собственных правил обнаружения атак позволят дополнить его своей экспертизой. Более того, сервис-провайдеры, имеющие локальные команды экспертов смогут предложить более качественные сервисы и услуги за счёт возможности расширения "коробочной" базы правил собственным контентом. |
В PT ISIM 4.3 добавлено свыше 1000 индикаторов промышленных угроз (на март 2023 года их 6300) и более 15 дополнительных промышленных протоколов. Теперь продукт поддерживает разбор протоколов MELSOFT, предназначенных для взаимодействия инженерного ПО (GX Works) с совместимыми контроллерами Mitsubishi Electric. Кроме того, пользователи PT ISIM смогут разбирать протокол HiDiscovery в оборудовании компании Hirschmann, включая обнаружение сетевого сканирования и попытки изменения сетевых параметров. Добавилась также возможность анализа протокола удаленного управления службами Windows штатными средствами (через MS-SCMR/SVCCTL), а также протоколов, которые до этого выходили в виде обновлений базы индикаторов промышленных угроз PT ISTI.
Другое важное изменение связано с возможностью устанавливать актуальные версии PT ISIM на последние версии отечественной операционной системы Astra Linux Special Edition 1.7. PT ISIM версии 4.3 также поддерживает установку на операционную систему Debian 10. Это рекомендуемая операционная система для новых установок продукта в проектах, где нет требований об использовании российских операционных систем.
В обновленной версии PT ISIM также можно настроить автоматическое изменение уровней опасности инцидентов в зависимости от типа инфраструктуры. На узлах, связанных с реализацией недопустимых событий, инциденты могут иметь повышенный уровень. С другой стороны, на узлах, менее интересных специалисту, осуществляющему мониторинг технологической сети (например, на установках, не введенных в эксплуатацию), уровень опасности может снижаться. Для специалистов по мониторингу ИБ также будет важно, что появилась возможность в ручном режиме повысить значимость инцидента по ходу расследования: это позволит не потерять инцидент среди других событий.
PT ISIM — часть комплексной платформы для выявления киберугроз и реагирования на инциденты в промышленных системах PT Industrial Cybersecurity Suite (PT ICS), поэтому пользователи PT ICS тоже получат эти и другие пакеты экспертизы и обновления.
2022
Дополнение пакетом экспертизы с поддержкой протоколов Mitsubishi Electric
6 декабря 2022 года компания Positive Technologies сообщила о дополнении программно-аппаратного комплекса глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) дополнительным пакетом экспертизы. Обновление обеспечивает расширенную поддержку семейства протоколов Mitsubishi Electric.
«Mitsubishi Electric входит в топ-3 на рынке мировых решений для промышленной автоматизации. Широко представлено оборудование этой компании и на российских предприятиях. Для обеспечения взаимодействия между компонентами внутри экосистемы Mitsubishi Electric используется проприетарный стек протоколов, работающий на различных транспортах. В данный пакет экспертизы нами добавлена поддержка протокола MELSOFT и расширена поддержка SLMP», — отмечает Илья Косынкин, руководитель разработки продукта PT ISIM. |
Протокол SLMP (аббревиатура от SeamLess Message Protocol) — прикладной протокол для обеспечения взаимодействия между контроллерами, SCADA-системами, периферийными устройства и другим технологическим оборудованием. Так как служебные функции SLMP могут существенно затрагивать безопасность и корректность выполнения технологического процесса, на наиболее важные из них в случае совершения инцидента сработает PT ISIM. Используя данный пакет экспертизы, программно-аппаратный комплекс поможет определить, например, остановку ПЛК и переход в режим инициализации, включение и отключение пароля или изменение файловой системы.
Протокол MELSOFT служит для взаимодействия между инженерным ПО (GX Works) и совместимыми контроллерами Mitsubishi Electric. В рамках исследования протокола специалистами Positive Technologies были обнаружены уязвимости ПЛК серии MELSEC, связанные с некорректной обработкой входных данных. CVE-2022-25161 приводит к отказу в обслуживании при записи данных в память со специально подобранным смещением. Пакет экспертизы позволяет PT ISIM разбирать протокол MELSOFT, рассчитывать потенциально опасные смещения и сообщать об угрозе оператору. Другая уязвимость, CVE-2022-25162, также связана с отказом в обслуживании и невозможностью доступа к ПЛК по сервисным портам. Данный пакет экспертизы позволяет проверять данные, записываемые по протоколу MELSOFT. В случае попытки эксплуатации уязвимости PT ISIM зафиксирует инцидент, оповестит оператора и передаст событие, например, в MaxPatrol SIEM или IRP-системы.
Пакет экспертизы доступен для PT ISIM 4.1 и более новых версий. Пользователи продукта, подключенные к серверу обновлений, смогут автоматически загрузить и установить его, а для изолированных инсталляций предусмотрено ручное обновление. Для этого необходимо самостоятельно загрузить и установить пакет в PT ISIM.
Возможность загрузить детект протоколов АСУ ТП
Программно-аппаратный комплекс глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) расширил свои возможности. Пользователи версий PT ISIM 4.1 и выше, подключенные к облаку обновлений Positive Technologies, теперь могут загрузить не только индикаторы компрометации промышленных угроз, но и детект протоколов АСУ ТП. Об этом компания Positive Technologies сообщила 8 сентября 2022 года.
Угрозы и трендовые уязвимости появляются крайне часто, поэтому важно обновлять экспертизу в продуктах между переходами на последующие релизы, — сказал Илья Косынкин, руководитель разработки продукта PT ISIM. — Раньше PT ISIM обладал возможностью получать обновления правил обнаружения и индикаторов компрометации для АСУ ТП, а теперь добавился и разбор протоколов без деплоя и настройки параметров вручную. Подключение PT ISIM к серверам базы индикаторов промышленных киберугроз PT ISTI (PT Industrial Security Threat Indicators) позволяет быстро, бесшовно и автоматически обновлять правила обнаружения актуальных угроз, а также расширять набор поддерживаемых протоколов. |
Пакет экспертизы PT ISIM включает дополнительные механизмы обнаружения угроз в оборудовании Siemens, Hirschmann, Yokogawa, Rockwell Automation, а также выявление атак в операционной системе Windows. Например, появилась поддержка протокола HiDiscovery для устройств Hirschmann. Она позволяет обнаружить сетевое сканирование и попытки смены сетевых параметров. Кроме того, расширилась поддержка отдельных функций протокола связи Siemens SIMATIC S7, связанных с отладочными режимами работы и загрузкой программной логики.
Команда экспертного центра безопасности Positive Technologies (PT Expert Security Center) регулярно исследует угрозы, в том числе в промышленных системах. При появлении новых способов атак эксперты взаимодействуют с командой PT ISIM, которая готовит наборы правил обнаружения угроз, индикаторов компрометации и механизмов детального разбора протоколов. Они, в свою очередь, становятся доступны всем пользователям продукта. Таким образом, PT ISIM на регулярной основе получает набор индикаторов компрометации, которые не в теории, а на практике заслуживают пристального внимания специалистов по ИБ. Например, в случае с устройствами Hirschmann эксперты Positive Technologies обнаружили атаки, в которых для изменения конфигурации оборудования в сети использовалась утилита High Discovery. Эта тактика была добавлена в обновленный пакет экспертизы PT ISIM.
Кроме того, PT ISIM получил обновления механизмов обнаружения угроз, которые позволяют:
- обнаружить случаи удаленного управления службами Windows, использующие штатные инструменты операционных систем от Microsoft (например, через MS-SCMR, он же SVCCTL);
- выявлять вредоносный инструмент Bvp47;
- определять попытки эксплуатации уязвимостей CVE-2014-0781 (Yokogawa CENTUM CS 3000) и CVE-2020-12029 (Rockwell Automation FactoryTalk View SE).
Обновление совместимо с PT ISIM версий 4.1 и 4.2. В последних сборках PT ISIM 4.2 даанный пакет экспертизы уже установлен. Установка пакета возможна как по сети при подключении к облачному серверу PT ISIM, так и локально.
Поддержка сетевого протокола DICOM
Система глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) поддерживает разбор и анализ сетевого протокола DICOM, который используется в медицинском оборудовании, включая томографы, рентгеновские аппараты, ультразвуковые сканеры для УЗИ. Теперь PT ISIM выявляет ошибки конфигурации оборудования и следы присутствия злоумышленников в сетях передачи данных медицинских учреждений. Об этом 4 июля 2022 года сообщила компания Positive Technologies.
Digital Imaging and Communication in Medicine (DICOM) — медицинский отраслевой стандарт создания, обработки, хранения, передачи и визуализации цифровых медицинских изображений и документов обследований пациентов. Его поддерживают крупные мировые производители медицинского оборудования и техники. Сетевой протокол DICOM используется в коммуникационных сетях и помогает различным устройствам (включая терминалы и хранилища) взаимодействовать друг с другом. Помимо графических данных, DICOM-файлы содержат специальные атрибуты, позволяющие сопоставить данные конкретного пациента с изображением. Протокол, в свою очередь, облегчает поиск данных о пациентах в сети медучреждения или на конкретном диагностическом оборудовании.
По данным Positive Technologies, медицина уже более четырех лет входит в тройку приоритетных целей для злоумышленников. Например, в I квартале 2022 года медучреждения заняли второе место в мире по количеству атак (11%), уступив лишь госорганам (16%). Главные киберугрозы для организаций из этой отрасли — кража конфиденциальной информации и шифрование файлов с последующей остановкой работы медицинских систем и оборудования. За первые три месяца этого года медицинские данные составили 15% от всей похищенной киберпреступниками информации.
Отсутствие технических средств контроля и мониторинга сетевого обмена — основная причина успешности кибератак на медучреждения. В таких условиях злоумышленники могут свободно развивать атаку и оставаться незамеченными в инфраструктуре, — сказал Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies. — На июль 2022 года PT ISIM — единственное в России специализированное NTA-решение, учитывающее специфику медицинских информационных систем. Система глубокого анализа трафика Positive Technologies обнаруживает передачу подозрительных и вредоносных файлов, выявляет инциденты в сетях медучреждений, а также позволяет проводить ретроспективный анализ сетевых событий. Совместное использование PT ISIM с системами класса EDR (endpoint detection and response), SIEM (security information and event management) и Vulnerability Management позволит качественно повысить степень защищенности медицинских учреждений и сделать неприемлемые для них события невозможными. |
Необходимость в продукте с техническими возможностями, позволяющими детектировать протокол DICOM, посредством которого передаются критически важные файлы пациентов и медицинские данные, подчеркивают в Национальном медицинском исследовательском центре сердечно-сосудистой хирургии имени А. Н. Бакулева — учреждении России, которое одним из первых внедряет цифровые технологии для лечения пациентов.
Быстро принимать решения и назначать необходимое лечение очень важно. Результаты диагностических исследований пациентов почти мгновенно доступны специалистам в любом медицинском учреждении страны, — отметил Дмитрий Юрьевич Юшков, начальник службы обеспечения информационной безопасности автоматизированных систем и контроля технологических процессов ФГБУ «НМИЦ ССХ им. А.Н. Бакулева» Минздрава России. — Равно как и доступность медицинских данных, крайне важно обеспечивать надежную работу медицинского оборудования. Сети медучреждений постоянно усложняются, политики и конфигурационные настройки оборудования динамически меняются. Обеспечить необходимый уровень защищенности клиник без специализированных инструментов мониторинга безопасности сложно, а местами уже невозможно. |
PT ISIM 4. Помощь в выявлении и расследовании кибератак на технологические инфраструктуры
31 марта 2022 года компания Positive Technologies представила обновленную версию системы глубокого анализа промышленного трафика PT Industrial Security Incident Manager (PT ISIM). Среди главных изменений — автоматизированное построение графа инцидента (цепочка развития атаки), возможность управлять встроенными правилами и тонкая настройка продукта под инфраструктуру компании, а также увеличение производительности.
По оценкам Positive Technologies, промышленные предприятия продолжают быть одной из главных целей хакерских группировок. В то же время, согласно результатам проектов по анализу защищенности, в 91% промышленных организаций внешний злоумышленник может проникнуть в корпоративную сеть, а в 56% случаев — добраться до систем управления технологическими процессами. Остановить и своевременно обезвредить хакеров непросто из-за нехватки квалифицированных специалистов, понимающих специфику защиты технологических сетей, а также из-за низкой скорости внедрения дополнительных мер на предприятиях. В этих условиях на первый план выходят системы глубокого мониторинга технологического трафика (промышленные NTA - и NDR -системы), которые можно быстро развернуть, чтобы повысить защищенность технологической сети.
«PT ISIM 4 позволяет выявлять последовательность действий злоумышленников в сети и фиксировать атаку на каждом этапе, а не просто отслеживать отдельные уведомления, как, например, это делают обычные IDS. Таким образом, продукт дает возможность специалистам по ИБ быстрее отвечать на вопросы: есть ли сейчас злоумышленник в сети АСУ ТП? Куда он добрался? А значит, решать главную задачу: как его остановить», рассказывает Илья Косынкин, менеджер продукта PT ISIM, Positive Technologies |
PT ISIM 4 включает механизм управления инцидентами, основанный на ранжировании активов технологической сети по степени их критичности, которую для себя определяет конкретная компания. В сочетании с автоматизированным построением графа инцидента это дает возможность быстро определять направление и стадию атаки и превентивно оценивать ее последствия.
Помимо этого, в PT ISIM расширились возможности настройки и адаптации продукта под инфраструктуру.
«Внедрение продукта для анализа трафика всегда связано с тонкой настройкой, которая должна учесть политики безопасности предприятия, а также технологические особенности систем, трафик которых он анализирует. Несмотря на обширные возможности для автоматического обучения, в технологической среде всегда есть вероятность ложных срабатываний, которые нужно корректно обработать, не снизив при этом уровень защищенности. В PT ISIM 4 появились дополнительные возможности для управления встроенными правилами, которые позволяют быстро и гранулярно произвести подобную настройку. В итоге специалист по ИБ получает только нужную информацию о происходящем в сети, максимально очищенную от „шума`, и может сосредоточиться на поиске настоящих следов злоумышленника», комментирует Роман Краснов, руководитель направления информационной безопасности промышленных предприятий Positive Technologies |
Обновлены базы индикаторов промышленных угроз PT ISTI и добавлена поддержка промышленных протоколов, среди которых Alpha.Server Configurator, ANSL (B&R), Bachmann RPCTCP, DICOM, FINS (Omron), INA2 (B&R), INA2000 (B&R), Phoenix, Siemens DIGSI 4, SLMP (Mitsubishi Electric), «ДК Курс-2» и «ЭЛНА». Доработан и разбор протоколов ADS , CIP , OPC UA .
Архитектура пассивного мониторинга PT ISIM 4, как и в предыдущих версиях, исключает любое нежелательное воздействие на технологический процесс. Продукт обеспечивает полное соответствие требованиям законодательства (Федеральный закон № 187-ФЗ, приказы ФСТЭК № 31 и 239, требования ГосСОПКА).
2021
Загрузка пакета экспертизы для обнаружения попыток эксплуатации уязвимостей в ПЛК WAGO и программном комплексе CoDeSys
В систему глубокого анализа промышленного трафика PT Industrial Security Incident Manager (PT ISIM) добавлен пакет экспертизы для обнаружения попыток эксплуатации уязвимостей в ПЛК WAGO и программном комплексе промышленной автоматизации компании CoDeSys, программное обеспечение которой используют многие зарубежные и российские производители контроллеров. Об этом 1 сентября 2021 года сообщила компания Positive Technologies| Обновленные правила позволяют обнаруживать попытки доступа злоумышленников с высокими привилегиями к файловой системе контроллеров, атаки типа «отказ в обслуживании» и вмешательство в работу PC-систем, выполняющих функции ПЛК.
Описанные уязвимости были обнаружены экспертами Positive Technologies и впоследствии устранены CODESYS. Однако далеко не все пользователи устройств оперативно устанавливают обновления, поэтому риск эксплуатации этих уязвимостей остается. Атакующим может даже не потребоваться авторизация, достаточно иметь лишь сетевой доступ к промышленному контроллеру. Программное обеспечение компании используют для разработки собственных ПЛК более 15 разработчиков по всему миру, включая WAGO, Beckhoff, Kontron, Moeller, Festo, Mitsubishi и HollySys. Шесть уязвимостей, выявленных нашими экспертами, имеют критически высокий уровень опасности (10 из 10 баллов по шкале CVSS 3.0), три — высокий уровень опасности (8,8 балла), еще одна получила оценку 5,3. Добавленный пакет экспертизы PT ISIM позволит обнаружить попытки эксплуатации этих уязвимостей в ПЛК WAGO и программном комплексе промышленной автоматизации CODESYS.
В состав пакета экспертизы PT ISIM вошли правила, позволяющие обнаружить вредоносную активность с использованием уязвимостей в контроллерах WAGO PFC200 и программном обеспечении CODESYS, в том числе:
- эксплуатацию уязвимостей в системе реального времени CODESYS Control V2 communication, которая позволяет встраиваемым PC-системам выполнять функции ПЛК (CVE-2021-30186, CVE-2021-30188);
- получение доступа к файловой системе контроллера с правами на чтение и модификацию (CVE-2021-21001);
- отказ в обслуживании сервиса iocheckd, предназначенного для проверки входов и выходов ПЛК, а также отображения его конфигурации (CVE-2021-21000).
По нашим данным, в I квартале 2021 года 11% атак были направлены на промышленные компании. Они занимают второе место после атак на госучреждения. Злоумышленники тщательно отслеживают информацию о уязвимостях и стараются как можно скорее использовать их в своих атаках, особенно если эти уязвимости имеют большой спектр применимости, как в данном случае, — отметил Роман Краснов, эксперт по информационной безопасности промышленных систем Positive Technologies. — Обновление ПО промышленных систем для устранения проблем безопасности всегда является сложной, а иногда и невыполнимой задачей в условиях необходимости поддерживать непрерывность производственных процессов. Поэтому важно обеспечить столь же непрерывный мониторинг безопасности АСУ ТП с помощью средств глубокого анализа промышленного трафика (Industrial NDR). Кибератака никогда не происходит мгновенно, и важно вовремя обнаружить следы подготовки к ней, а значит и своевременно ее предотвратить. |
Данный пакет экспертизы дополняет входящую в PT ISIM базу индикаторов промышленных киберугроз PT ISTI, которая содержит на сентябрь 2021 года более 4000 индикаторов и правил обнаружения различных атак на оборудование ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и других производителей АСУ ТП.
Загрузка пакетов экспертизы для выявления уязвимостей в продуктах Cisco и ОС VxWorks
17 июня 2021 года компания Positive Technologies сообщила о загрузке пакета экспертизы для системы глубокого анализа промышленного трафика PT Industrial Security Incident Manager, который позволяет выявлять попытки эксплуатации уязвимостей в продуктах Cisco и операционной системе реального времени VxWorks, которая используется в двух миллиардах устройств — в машиностроении, промышленной автоматизации, робототехнике, медицине, аэрокосмической отрасли.
Уязвимости, обнаруженные в VxWorks и объединенные под общим названием URGENT/11, позволяют среди прочего реализовать удаленное выполнение кода (Remote Code Execution), что представляет серьезную опасность для безопасности многочисленных устройств на базе VxWorks. По подсчетам экспертов Armis, в 2019 году уязвимыми для URGENT/11 являлись как минимум 200 миллионов устройств.
В данные пакеты экспертизы PT ISIM вошли индикаторы и правила, позволяющие обнаружить вредоносную активность с использованием уязвимостей в VxWorks и программном обеспечении Cisco, в том числе:
- переполнение буфера в синтаксическом анализе пакетов IPv4, VxWorks (CVE-2019-12256);
- отказ в обслуживании TCP-подключения, вызываемый некорректной конфигурацией опций TCP, VxWorks (CVE-2019-12258);
- эксплуатацию уязвимости state confusion в указателе важности TCP, возникающую во время подключения к удаленному узлу, VxWorks (CVE-2019-12261);
- эксплуатацию уязвимостей в Cisco Prime Infrastructure, Cisco Evolved Programmable Network (CVE-2018-15379, CVE-2019-1821).
Промышленность уже на протяжении двух лет держится на втором месте в списке наиболее часто атакуемых отраслей. В последнем квартале 2020 года под удар профессиональных вымогателей попали авиастроительные компании Embraer и Foxconn (суммы выкупов от 15 до 34 млн долларов), энергетическая компания в Индии, SCADA-системы для управления водоснабжением в Израиле. В 2021 году уже произошел ряд крупных инцидентов, включая громкую кибератаку на американскую компанию Colonial Pipeline. И это лишь публичные кейсы. Подобные происшествия в очередной раз говорят о необходимости применять актуальные подходы и решения для своевременного выявления угроз ИБ в промышленных инфраструктурах, ― отмечает Роман Краснов, эксперт по информационной безопасности промышленных систем Positive Technologies. |
Пакеты экспертизы дополняют входящую в PT ISIM базу индикаторов промышленных киберугроз PT ISTI, которая содержит более 4000 индикаторов и правил обнаружения различных атак на оборудование ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и других производителей АСУ ТП.
Совместимость PT ISIM netView Sensor 2.4.5482 с ОС Astra Linux Special Edition «Смоленск» 1.6
Компания Positive Technologies 10 июня 2021 года сообщила о том, что система глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) совместима с операционной системой Astra Linux Special Edition. Объединенное решение позволит российским компаниям технологического сектора применять протестированный комплекс на базе современного отечественного ПО для анализа трафика сетей АСУ ТП, поиска следов нарушений ИБ и кибератак.
Операционная система специального назначения Astra Linux входит в число наиболее распространенных ОС на российском рынке в государственном секторе: в 2020 году система преодолела рубеж в 1 млн лицензий.
«Ранее PT ISIM по умолчанию устанавливалась только на операционной системе Debian. Возможность работать на базе операционной системы Astra Linux позволяет обеспечить соответствие требованиям регуляторов в части перехода на отечественное ПО и разворачивать PT ISIM на серверах государственных и системообразующих промышленных предприятий Российской Федерации, Республик Беларусь и Казахстан, которые активно переходят на Astra Linux», — отметил Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies. |
Astra Linux — официальный дериватив Debian, который был создан в рамках российской инициативы перехода на свободное программное обеспечение. По прогнозам разработчиков ОС, к 2025 году количество инсталляций продуктов ГК «Астра» должно превысить 6 млн.
Оба продукта внесены в единый реестр российского ПО, а корректность их совместной работы проверена специалистами компаний Positive Technologies и Astra Linux в ходе испытаний. В тестировании участвовали системы Astra Linux Special Edition релиз «Смоленск» версии 1.6 и Positive Technologies Industrial Security Incident Manager (ЕВРГ.620129000.ISIM-02) netView Sensor версии 2.4.5482.
Интеграция с системой «АйТи Бастион» СКДПУ НТ
Компания Positive Technologies 24 февраля 2021 года сообщила, что совместно с «АйТи Бастион» договорились о технологическом партнерстве в области защиты промышленных сетей. Первым совместным проектом стала интеграция системы глубокого анализа технологического трафика PT Industrial Security Incident Manager с системой контроля доступа привилегированных пользователей «СКДПУ НТ».
Совместное использование продуктов компаний Positive Technologies и «АйТи БАСТИОН» поможет повысить безопасность аккаунтов операторов критически важных информационных систем (это особенно актуально во время массовой удаленной работы), а также аккаунтов тех специалистов, которые управляют технологическим процессом на территориально распределенных промышленных предприятиях.
По данным Positive Technologies, более 200 000 компонентов различного рода инженерных систем (АСУ ТП), доступны в интернете. Удаленный доступ к технологическим сетям применяется для мониторинга, управления, диагностики и наладки. Это удобно и позволяет быстро решить необходимые задачи, сокращая затраты на логистику. В условиях глобальной пандемии удаленный доступ стал еще более востребованным.
Вместе с тем удаленный доступ порождает и серьезные риски для безопасности предприятия: учетные данные для доступа в сеть АСУ ТП могут быть переданы третьим лицам или украдены, а личные компьютеры пользователей, с которых производится удаленный доступ, могут быть заражены вредоносным ПО. Кроме того, удаленный доступ к технологической сети может быть организован (умышленно или случайно) в обход реализованной системы безопасности.
Отсутствие должного контроля за удаленным доступом в АСУ ТП может привести к серьезным последствиям, — отмечает Роман Краснов, эксперт по информационной безопасности промышленных систем Positive Technologies. — Например, к полной остановке технологического процесса из-за распространения вируса-шифровальщика или целенаправленного саботажа, краже коммерческих секретов, к злонамеренным манипуляциям параметрами технологического процесса в целях кражи доли сырья или выхода продукции. В условиях, когда невозможно контролировать непосредственно компьютеры удаленных пользователей, на помощь приходят системы анализа трафика сетей АСУ ТП и средства контроля действий привилегированных пользователей, подключенных к сети АСУ ТП. |
Совместное решение компаний Positive Technologies и «АйТи БАСТИОН» для контроля удаленного доступа в АСУ ТП позволяет:
- организовать для удаленных пользователей единую точку входа в сеть АСУ ТП — шлюз «СКДПУ НТ»;
- выявлять нелегитимные подключения, минующие шлюз «СКДПУ НТ», и вовремя оповещать о них специалиста по информационной безопасности;
- журналировать взаимодействие удаленных пользователей с оборудованием АСУ ТП (изменение проектов и конфигураций ПЛК, изменение режимов работы ПЛК и др.);
- детектировать следы проникновения вредоносного ПО в сеть АСУ ТП через удаленные соединения;
- выявлять следы компрометации сети АСУ ТП через удаленные соединения;
- оценивать активность подключенных пользователей, обнаруживать аномалии в их действиях и сигнализировать о нарушениях политик безопасности;
- хранить полную копию трафика пользовательских сессий для аудита и расследования.
Удаленный доступ к сети АСУ ТП пользователи получают только через центральный шлюз или несколько шлюзов «СКДПУ НТ» в распределенной ИТ-инфраструктуре, — объясняет Дмитрий Михеев, технический директор компании «АйТи БАСТИОН». — В свою очередь PT ISIM предоставляет шлюзу «СКДПУ НТ» данные обо всех зарегистрированных соединениях внутри сети. Это позволяет на уровне шлюза «СКДПУ НТ» выявить те соединения, что не контролируются шлюзом, и оповестить о них инженера ИБ. Пользователями могут выступать любые специалисты (сотрудники службы ИБ, операторы и инженеры АСУ ТП и др.), удаленный доступ которых требуется контролировать. |
Оба продукта внесены в единый реестр российского ПО, а корректность их совместной работы проверена специалистами компаний Positive Technologies и «АйТи БАСТИОН» в ходе испытаний.
2020
PT ISIM 3.0 с обновленным движком
Вышла очередная версия системы глубокого анализа трафика технологических сетей PT ISIM. Об этом компания Positive Technologies (Позитив Текнолоджиз) сообщила 13 ноября 2020 года.
Среди изменений — другой движок, регулярное пополнение экспертной базы и улучшения пользовательского интерфейса.
Движок системы PT Industrial Security Incident Manager (PT ISIM) обеспечивает более высокую производительность и расширенные возможности для глубокого анализа промышленных протоколов и трафика технологической сети. Помимо увеличения общей производительности и ускорения отдельных сценариев работы с PT ISIM 3.0 можно решать более сложные задачи выявления аномалий и нарушений безопасности и оперативнее получать от экспертов Positive Technologies актуальные знания об угрозах.
Данная версия поддерживает начатую вендором практику регулярного пополнения базы знаний продукта дополнительными пакетами экспертизы с актуальными правилами детектирования и индикаторами промышленных угроз.
PT ISIM 3.0 также получила обновленный пользовательский интерфейс, позволяющий исследовать результаты анализа трафика, а также более гибко управлять параметрами работы продукта.
PT ISIM относится к классу промышленных NTA-систем (network traffic analysis) — систем глубокого анализа трафика технологических сетей — обеспечивает выявление признаков реализации атаки на технологическую сеть предприятия различными методами, а также предоставляет дополнительные возможности для анализа инцидентов, обогащения их контекста и реагирования.
В условиях, когда технологические сети становятся неотъемлемой частью общей ИТ-инфраструктуры предприятия, риск проникновения в них злоумышленника становится высоким. Необходимо полностью, в режиме 24/7 контролировать ситуацию в сети АСУ ТП, иметь возможность находить угрозы ретроспективно, восстанавливая хронологию инцидента. Разбора только лишь промышленных протоколов с целью поиска нелегитимных команд управления становится недостаточно. Необходимо не только обнаружить эксплуатацию уязвимости или отправку нелегитимной команды на ПЛК — система анализа трафика АСУ ТП должна помогать ответить на многие другие важные вопросы: "если была попытка атаки, то оказалась ли она успешной?", "есть ли признаки дальнейшего развития атаки?" и другие, ― отмечает Роман Краснов, эксперт по информационной безопасности промышленных систем Positive Technologies. |
В августе 2020 года PT ISIM прошла испытания в системе сертификации ФСТЭК России. Сертификат № 4182 действителен до 9 декабря 2024 года.
Пакет экспертизы, позволяющий выявлять эксплуатацию уязвимостей в службе удаленного рабочего стола Windows, коммутаторах Cisco и роутерах MikroTik
В PT Industrial Security Incident Manager (PT ISIM) появился очередной пакет экспертизы, позволяющий подразделениям ИБ детектировать попытки эксплуатации уязвимостей в роутерах MikroTik, коммутаторах Cisco, службе удаленного рабочего стола (Remote Desktop Protocol, RDP) Windows и в других компонентах Windows. Об этом 29 октября 2020 года сообщила компания Positive Technologies.
Большинство этих уязвимостей позволяют осуществить удаленное выполнение кода (Remote Code Execution), что делает их одними из самых опасных угроз по классификации OWASP. Возможность удаленного выполнения кода на сервере приводит к взлому ресурса в 100% случаев.
С наступлением пандемии злоумышленники стали уделять больше внимания промышленным объектам. По нашим наблюдениям, во втором квартале доля атак на предприятия реального сектора выросла с 10% до 15%. Наибольший интерес проявляют операторы шифровальщиков и кибершпионские APT-группы, которые используют не только специфические уязвимости в прикладном ПО и технологическом оборудовании, но и уязвимости в сетевом оборудовании и в операционных системах Windows, которые распространены в системах промышленной автоматизации, ― отмечает Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies. |
Одна из уязвимостей, эксплуатацию которой выявляет PT ISIM, известна как BlueKeep. По данным экспертного центра безопасности Positive Technologies (PT Expert Security Center), в конце марта 2020 года она встречалась более чем в 10% открытых удаленных рабочих столах и позволяла злоумышленнику получить полный контроль над компьютером на базе Windows.
Данный пакет экспертизы дает возможность идентифицировать удаленное выполнение кода через Windows DNS server и Windows SMBv3, попытки удаленной установки уязвимой версии ПО MikroTik RouterOS, переполнение буфера в коммутаторах Cisco и другие угрозы.
Это уже третий пакет экспертизы в PT ISIM. Ранее были опубликованы правила, позволяющие обнаружить попытки эксфильтрации данных и туннелирования соединений из АСУ ТП, а также специализированные индикаторы угроз для оборудования и систем B&R Industrial Automation.
Пакеты экспертизы дополняют входящую в PT ISIM базу индикаторов промышленных киберугроз PT ISTI, которая содержит на октябрь 2020 года более 4000 сигнатур и правил обнаружения различных атак на оборудование ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и других производителей систем АСУ ТП.
Совместимость с Oreol Security ProfiDiode
6 августа 2020 года сало известно о том, что система анализа трафика сетей АСУ ТП PT Industrial Security Incident Manager (PT ISIM) и устройство однонаправленной передачи данных ProfiDIODE компании Oreol Security прошли испытания на совместимость. Подробнее здесь.
Возможность пополнять базу знаний пакетами экспертизы ИБ
Базу индикаторов промышленных киберугроз программно-аппаратного комплекса глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) теперь можно пополнять пакетами экспертизы ИБ. Об этом 4 августа 2020 года сообщила компания Positive Technologies. Первый экспертный пакет уже доступен пользователям для загрузки. Он включает в себя правила обнаружения угроз для оборудования и систем австрийской компании B&R Industrial Automation, которые применяются в нефтегазовой, горнодобывающей, перерабатывающей промышленности и других отраслях.
Ключевой характеристикой систем анализа промышленного трафика является объем заложенных в них уникальных экспертных знаний. Последние несколько лет мы постоянно работаем над повышением объема и качества экспертизы, доступной пользователям в наших продуктах, — комментирует Роман Краснов, эксперт по информационной безопасности промышленных систем Positive Technologies. — Включение актуальной информации об уязвимостях и последних техниках атакующих, а также своевременная доставка наших наработок в PT ISIM, в том числе с помощью пакетов экспертизы, — важнейшие элементы в повышении уровня защищенности промышленных систем наших клиентов. |
Первый пакет экспертизы включает специализированные индикаторы угроз для оборудования и систем B&R Industrial Automation (ПЛК серии X20 и системы управления производственными процессами APROL). Они помогут специалистам по ИБ, работающим с PT ISIM, выявлять в трафике признаки эксплуатации уязвимостей во всем стеке протоколов B&R (ANSL, INA2000, IOSHTTP, IOSYS и др.) и детектировать потенциально опасные команды управления оборудованием производства B&R Industrial Automation. Своевременное обнаружение такой активности позволит предотвратить несанкционированное изменение режимов работы АСУ ТП и пресечь возникновение аварийных ситуаций.
Пакет экспертизы дополняет входящую в PT ISIM базу индикаторов промышленных киберугроз PT ISTI. Она содержит на август 2020 года более 4000 сигнатур и правил обнаружения различных атак на распространенные системы ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и др. Базу PT ISTI регулярно пополняет команда экспертов по безопасности промышленных систем управления Positive Technologies.
Выход экспертных пакетов планируется ежемесячно.
2019: PT ISIM View Sensor на базе Magelis iPC
13 марта 2019 года компании Schneider Electric и Positive Technologies сообщили о заключении соглашения о технологическом партнерстве в области разработки совместных решений для защиты АСУ ТП. Совместный программно-аппаратный комплекс будет построен на базе продукта PT Industrial Security Incident Manager View Sensor и индустриального промышленного компьютера Magelis iPC. Решение позволит выявлять кибератаки, неавторизованные действия персонала и злоумышленников, не оказывая нежелательного влияния на технологический процесс, и сможет использоваться в сложных климатических и технологических условиях эксплуатации.
«Продукт будет работать в составе современных решений Schneider Electric, предназначенных для автоматизации цифровых месторождений (Smart Field). Такие месторождения, отличающиеся высоким уровнем автоматизации технологических процессов, позволяют вывести на более высокий уровень эффективность добычи нефти и газа, повысить эффективность и сократить время простоя скважин и других объектов добычи. Разрабатываемый ПАК будет способен работать в составе систем на базе широкой гаммы промышленных контроллеров, в том числе с Modicon M580, что позволит обеспечить кибербезопасность объектов добычи. Решение разрабатывается в России, поэтому все компоненты с наибольшей добавленной стоимостью (программное обеспечение, инжиниринг, сервисы в области информационной безопасности) разрабатываются и будут внедряться российскими инженерами». |
Как отметили в Schneider Electric, цифровые месторождения могут снизить себестоимость эксплуатации месторождений в среднем на 20% (по оценке EnergySys). Компании добиваются значительной экономии с помощью умных технологий. Цифровизация повышает рентабельность нефтегазовой отрасли, однако требует применения современных средств защиты критической инфраструктуры от киберугроз. По данным исследования Positive Technologies, еще в 2018 году число компонентов АСУ ТП в России, доступных из интернета, увеличилось в примерно полтора раза. Растет и число уязвимостей, которые могут эксплуатироваться удаленно без необходимости получения привилегированного доступа. По оценкам Positive Technologies в 2019−2020 годах объем рынка средств информационной безопасности для АСУ ТП превысит 2 млрд рублей.
Согласно заявлению разработчиков, представленная система может использоваться для мониторинга киберинцидентов как в нефтегазовой сфере, так и в промышленном производстве, металлургии и других отраслях. Аппаратная часть, построенная на базе Magelis iPC, рассчитана на эксплуатацию в жестких промышленных условиях и сочетает в себе компактность и высокую эффективность. Установленная на Magelis iPC OEM-версия PT ISIM View Sensor поддерживает работу с проприетарными протоколами Schneider Electric и совместима с другими технологиями компании.
По информации на март 2019 года программно-аппаратный комплекс проходит тестирование в московском центре компетенций Positive Technologies и лаборатории Schneider Electric в Иннополисе (Татарстан). Первые поставки ожидаются в первом-втором кварталах 2019 года.
2018
PT ISIM netView Sensor на платформе iROBO
20 ноября 2018 года Positive Technologies сообщила о выпуске совместно с IPC2U на рынок программно-аппаратного комплекса PT ISIM netView Sensor на платформе iROBO, предназначенного для защиты от киберугроз небольших производственных объектов, предприятий малого и среднего бизнеса. По информации компании, решение соответствует требованиям в области промышленной надежности, в том числе обладает высоким уровнем отказоустойчивости, может применяться в сложных климатических условиях.
Программно-аппаратный комплекс PT ISIM netView Sensor выполнен на базе промышленного высокопроизводительного компьютера iROBO-6000-320-W, основными сферами применения которого являются промышленная автоматизация в энергетике, машиностроении, на транспорте и в других индустриальных сферах. В данной конструктивной сборке PT ISIM netView Sensor выполняет свои ключевые задачи — мониторинг технологической сети, контроль состава сети и конфигураций сетевых узлов, управление событиями и инцидентами безопасности в технологическом сегменте, — не оказывая влияния на технологический процесс. На ноябрь 2018 года комплекс прошел испытания, по их результатам была подтверждена корректная работа его аппаратных и программных компонентов.
Благодаря нашему сотрудничеству с компанией IPC2U, дистрибутором средств промышленной автоматизации и отечественным производителем промышленных компьютеров и сетевого оборудования, наши клиенты смогут приобрести законченный продукт, который можно легко развернуть и сразу использовать для контроля за инцидентами кибербезопасности. Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies |
Построение комплекса на базе аппаратной платформы, собранной в России, — важный шаг для отечественного рынка промышленной автоматизации. Владимир Шестырев, руководитель направления «Промышленные компьютеры» в компании IPC2U |
На ноябрь 2018 года решение доступно в розничной торгово-представительской сети IPC2U и специализированном интернет-магазине.
PT ISIM freeView Sensor
10 сентября 2018 года стало известно, что компания Positive Technologies пополнила линейку продуктов, предназначенных для решения задач промышленной кибербезопасности, облегченной версией системы PT Industrial Security Incident Manager ― PT ISIM freeView Sensor. Продукт предназначен для решения базовых задач мониторинга ИБ АСУ ТП.
Обеспечение ИБ в АСУ ТП сопряжено с массой вопросов. Например, необходимо определить роли и зоны ответственности, актуализировать данные о сети АСУ ТП, оценить ее защищенность, найти необходимые инструменты защиты и обосновать их покупку. При этом использование стандартных средств ИБ (например, антивирусов) в силу специфики АСУ ТП может быть затруднено, а специализированные инструменты − недоступны широкому кругу пользователей: их не всегда можно опробовать на практике, поэтому их полезность остается не ясной. PT ISIM freeView Sensor, будучи инструментом инвентаризации сети АСУ ТП и мониторинга киберзащищенности ее ресурсов, помогает преодолеть этот барьер и запустить поступательное развитие программы ИБ АСУ ТП предприятия. Денис Суханов, директор по разработке средств защиты промышленных систем, компания Positive Technologies
|
PT ISIM freeView Sensor предоставляется в виде виртуальной машины, которая подключается к порту зеркалирования (Mirror, SPAN) коммутатора сети АСУ ТП. Система обрабатывает копию трафика сети АСУ ТП , не оказывая влияния на ее компоненты.
Ключевые задачи, которые решает ежедневное использование PT ISIM freeView Sensor:
- инвентаризация сетевых активов АСУ ТП: система позволяет визуализировать топологию сети с узлами, соединениями, группами узлов;
- контроль информационного взаимодействия в АСУ ТП: в числе прочего предусмотрен режим обучения системы, когда она запоминает все сетевые узлы и взаимодействия между ними, заводит инциденты на сетевые аномалии и пр.;
- выявление сетевых и промышленных атак, а также случаев неавторизованного управления;
Для получения обратной связи от пользователей системы и ответов на возникающие в ходе ее использования вопросы созданы специализированные информационные площадки: сообщество продукта и Telegram-чат.
Кроме решения ряда базовых задач, PT ISIM freeView дает пользователю возможность накопить опыт, необходимый для более эффективной работы с коммерческими версиями системы PT Industrial Security Incident Manager. Их отличает полноценная техническая поддержка, большее число поддерживаемых протоколов, расширенные возможности по интеграции с внешними системами (в том числе специфическими для отраслей). Коммерческие версии системы обладают возможностями для разбора трафика с учетом особенностей конкретного промышленного объекта, позволяют видеть актуальную в любой момент времени картину сетевых объектов на мнемосхеме технологического процесса, настраивать сценарии выявления атак с учетом специфики конкретного объекта, могут работать как источник информации об инцидентах безопасности в рамках индустриального SOC и являться ключевым компонентом, реализующим требования по безопасности, предъявляемые регуляторами к технологическому сегменту.
В состав коммерческих версий PT Industrial Security Incident Manager входит постоянно пополняемая база промышленных киберугроз − PT Industrial Security Threat Indicators (PT ISTI). Она позволяет системе без дополнительного конфигурирования выявлять до 80% наиболее опасных и актуальных угроз сети АСУ ТП. В их числе – подготовка к кибератакам на ПО и оборудование АСУ ТП на ранней стадии, недочеты в настройке систем, выход технологических параметров за пределы нормальных значений, использование потенциально небезопасных средств сетевого взаимодействия и неавторизованных команд управления оборудованием АСУ ТП. База угроз помогает превентивно выявлять уязвимости сети АСУ ТП, в том числе те, которые эксплуатируются вирусами-шифровальщиками и другим вредоносным ПО.
PT ISIM netView Sensor
11 июля 2018 года компания Positive Technologies выпустила обновленную версию своей системы контроля кибербезопасности АСУ ТП ― PT Industrial Security Incident Manager netView Sensor (PT ISIM netView Sensor). Продукт отличается простотой развертывания и настройки. Решение применимо для выявления инцидентов кибербезопасности в энергетике, нефтеперерабатывающей отрасли, промышленном производстве, на транспорте и в других индустриальных сферах.
PT ISIM netView Sensor осуществляет мониторинг технологической сети, контролирует состав сети и конфигурации сетевых узлов, управляет событиями и инцидентами безопасности в технологическом сегменте. Система может работать как источник информации об инцидентах безопасности в рамках распределенного индустриального SOC и является ключевым компонентом, реализующим требования по безопасности, предъявляемые регуляторами к технологическому сегменту.
Согласно заявлению компании Positive Technologies, PT ISIM netView Sensor значительно облегчает внедрение и обеспечение ИБ — он предельно прост в развертывании за счет автоматической настройки и позволяет выявлять до 80% наиболее опасных и актуальных угроз сети АСУ ТП. В первые часы работы в процессе самообучения PT ISIM netView Sensor выполнит инвентаризацию ресурсов сети, построит карту информационного взаимодействия, обнаружит недостатки сегментации и возьмет на себя задачу по наблюдению за безопасностью технологических ресурсов предприятия. В режиме непрерывного мониторинга компонент будет выявлять изменения сети и сможет идентифицировать потенциальные угрозы для АСУ ТП.
Тестирование АСУ ТП на совмесимость с Simatic NET1
26 июня 2018 года Positive Technologies сообщила, что она совместно с Siemens протестировала систему мониторинга защищенности и управления инцидентами кибербезопасности АСУ ТП PT Industrial Security Incident Manager (PT ISIM) компании Positive Technologies на совместимость с сетями Simatic NET1. В ходе испытаний PT ISIM продемонстрировала корректную работу на этапах подключения и функционирования стенда и никак не влияла на технологический процесс.
Тестовая сеть АСУ ТП была построена на базе коммутаторов Scalance и Ruggedcom производства Siemens. Система PT ISIM подключалась к интерфейсам зеркалирования трафика тестовой сети АСУ ТП через шлюз однонаправленной передачи данных производства «AMT-Груп». В рамках тестирования PT ISIM оценивались возможности обнаружения событий и инцидентов безопасности, а также действий нарушителей.
По результатам испытаний были подтверждены заявленные функции мониторинга защищенности и управления инцидентами кибербезопасности. Система корректно разбирала и анализировала тестовый трафик, генерируя понятный список событий и инцидентов. При этом соблюдалось наиболее важное требование — успешная работа дата-диода в составе решения и отсутствие трафика PT ISIM в сети Simatic NET: сбор данных происходил полностью в пассивном режиме.
Обеспечение информационной безопасности на промышленных объектах является непростой задачей. На предприятиях уязвимости не успевают устранять в силу множества объективных причин, в том числе в связи с опасениями о непрерывности техпроцесса. Мало где эффективен и "воздушный зазор". Как показывают наши исследования, в четырех из пяти компаний возможно проникновение из корпоративной сети в технологическую, а попасть в корпоративную сеть извне пентстерам удается в 73% промышленных компаний. Совместимость PT ISIM с решениями Siemens, наиболее распространенными в сегменте АСУ ТП, позволяют многим предприятиям решать актуальную проблему выявления инцидентов и кибератак. Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies
|
2017: Проведено тестирование на совместимость
11 декабря 2017 года компания Positive Technologies заявила о тестировании PT ISIM на совместимость с АСУ ТП компании «Прософт-Системы».
Система управления инцидентами кибербезопасности прошла тестирование на совместимость c АСУ ТП на основе ПТК ARIS и RedKit SCADA.
Применение PT ISIM в составе ПТК ARIS позволяет обеспечить функционал обнаружения кибератак и управления инцидентами кибербезапосности в режиме реального времени без непосредственно вмешательства в работу АСУ ТП. В ходе испытаний подтверждено, что применение PT ISIM в составе ПТК ARIS обеспечивает реализацию определенного перечня технических мер защиты АСУ ТП в соответствии требованиями приказа № 31 ФСТЭК.
2016
PT ISIM и АМТ-Груп: InfoDiode интегрированы
В апреле 2016 года Positive Technologies и АМТ-ГРУП сообщили об успешном тестировании совместного решения по защите критических инфраструктур и промышленных предприятий, созданного на базе систем Positive Technologies Industrial Security Incident Manager и АМТ-Груп: InfoDiode.
Решение обеспечивает возможность защиты сегмента АСУ ТП без влияния на его функциональную безопасность. В частности, PT ISIM позволяет обнаружить кибер-атаки или неправомерные действия персонала, уязвимости компонентов АСУ ТП и проводить расследования инцидентов. А интеграция с АМТ InfoDiode гарантированно исключает возможность негативного влияния на сегмент АСУ ТП за счет изоляции PT ISIM и однонаправленной передачи данных.
Принцип работы PT ISIM заключается в сборе и анализе копии трафика технологической сети. Механизм интеллектуальной обработки событий, используемый PT ISIM, позволяет связывать отдельные события безопасности в цепочки действий злоумышленника и выявлять распределенные во времени атаки (даже на длительных периодах), уведомляя об инциденте сотрудников на местах или в ситуационном центре. А благодаря функции визуализации система представляет инцидент в наглядной, понятной пользователю форме: с привязкой к топологии сети и схеме промышленного оборудования. Сохраненная копия трафика дает возможность в любой момент провести ретроспективный анализ и расследование инцидента.
В совместной схеме защита периметра сегмента АСУ ТП, информация которого передается для анализа, реализуется на базе решения AMT InfoDiode. Это гарантирует изолированность сегмента технологической сети и исключает влияние средства защиты на функциональную безопасность.
Анонс системы
Весной 2016 года компания Positive Technologies выпустила на рынок систему, предназначенную для защиты автоматизированных систем управления технологическим процессом (АСУ ТП) — Positive Technologies Industrial Security Incident Manager (PT ISIM). Система позволяет обнаруживать уязвимости и хакерские атаки на технологические сети предприятия, а также расследовать инциденты (в том числе ретроспективно) на критически важных объектах. PT ISIM помогает бороться с внутренними и внешними угрозами безопасности, включая несанкционированное подключение, подбор пароля, неправомерные управляющие команды, подмену прошивки промышленного оборудования, потенциально опасные действия персонала, ошибки конфигурации. PT ISIM уже включена в продуктовые портфели авторизованных партнеров компании Positive Technologies.
«К созданию продукта, нацеленного на обеспечение индустриальной кибербезопасности, мы приступили в 2014 году. Необходимость такого решения мы остро осознали по результатам нашей исследовательской работы в сетях АСУ ТП в компаниях различных отраслей. В частности, наш исследовательский центр обнаружил более 140 000 компонентов АСУ, доступных из интернета, 10% которых оказались уязвимыми. Мы выявили свыше 250 уязвимостей нулевого дня в системах АСУ, при том, что сами владельцы систем даже не подозревали, насколько уязвимы эти ресурсы, — рассказывает Филиппов Максим, директор Positive Technologies по развитию бизнеса в России. — Аккумулировав весь наш технический потенциал и опыт, мы за полтора года — уже к середине 2015-го — разработали первую версию продукта, протестировав его на пилотной зоне одной из отраслеобразующих отечественных компаний. За последние полгода продукт из заказной разработки в интересах узкого круга компаний вырос в промышленное решение, предрелизную версию которого мы продемонстрировали нашим партнерам в феврале этого года».
PT ISIM имеет встроенный механизм корреляции, который связывает события безопасности в логические цепочки и выявляет распределенные во времени атаки. Цепочка разрастается по мере развития атаки (иногда длящейся месяцами), каждое событие которой в отдельности может не представлять угрозы. Благодаря этому появляется возможность восстановить полную картину случившегося при подозрении на взлом или заражение системы вредоносным кодом.
Реализованная в PT ISIM функция визуализации позволяет наглядно отображать инциденты на промышленной карте предприятия с привязкой к конкретному оборудованию. Также система в автоматическом режиме оповещает операторов АСУ и специалистов по безопасности об инциденте — с различной глубиной детализации, в соответствии с их полномочиями.
За счет подключении PT ISIM к инфраструктуре предприятия однонаправленным способом полностью исключается какое бы то ни было влияние системы на технологический процесс: она работает исключительно в пассивном режиме, собирая для анализа копию трафика.
«PT ISIM — практическая реализация нашего подхода к защите автоматизированных систем управления. Концептуально важным в этом случае является, во-первых, формирование цепочек атак как мощного средства противодействия распределенным во времени угрозам. Во-вторых — визуализация атак на бизнес-логику для корректной интерпретации событий системы. И, в-третьих, невмешательство в технологический процесс за счет пассивного режима работы, — отмечает Матыков Олег, руководитель направления Positive Technologies. — При этом для разных отраслей промышленности создаются разные интерфейсы, и при каждом внедрении PT ISIM адаптируется к реальной операционной среде — типичным для нее протоколам, архитектуре, правилам корреляции и оборудованию. Эффективность обнаружения атак при таком подходе увеличивается в разы».
Запущены пилотные внедрения в транспортной отрасли и ТЭК, ведутся работы по адаптации продукта к специфике других отраслей.
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (41)
Другие (1200)
Смарт-Софт (Smart-Soft) (5)
Национальный аттестационный центр (НАЦ) (4)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
Wone IT (ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
BI.Zone (Безопасная Информационная Зона, Бизон) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 170)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (719, 498)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
Код Безопасности (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Лаборатория Касперского (Kaspersky) (1, 3)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
А-Реал Консалтинг (1, 2)
CloudLinux (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
А-Реал Консалтинг (2, 3)
Сторм системс (StormWall) (1, 2)
Другие (5, 5)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 82
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 671
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Trend Micro: Deep Discovery - 2
Другие 16
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
Kaspersky Endpoint Security - 3
Solar JSOC - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20