Компания Positive Technologies выпустила новую версию системы мониторинга безопасности промышленных инфраструктур PT Industrial Security Incident Manager (PT ISIM). В этом поколении продукта появился компонент PT ISIM Endpoint, который выявляет киберугрозы на конечных узлах технологической сети. В числе других ключевых изменений — более удобная визуализация сети, а также новый модуль контроля технологических процессов.
Для комплексного мониторинга безопасности промышленных ИТ-инфраструктур предприятиям необходим единый инструмент, который не только контролирует технологический трафик, но и отслеживает происходящее на хостах. Чтобы вовремя обнаруживать сложные, таргетированные кибератаки, необходимо выявлять аномалии и подозрительные действия в сетевом трафике, разбирать события безопасности на уровне операционных систем, распознавать опасные технологические команды и операции в прикладном ПО АСУ ТП, а также отслеживать логические взаимосвязи между всеми этими инцидентами.
В ответ на появившийся в промышленности запрос на комплексную защиту технологической инфраструктуры в PT ISIM 5 добавили еще один компонент — агенты PT ISIM Endpoint, которые выявляют аномалии, нелегитимные операции и подозрительную активность на рабочих станциях и серверах SCADA. Теперь агенты подключаются к PT ISIM View Sensor, единой точке для мониторинга всех событий безопасности в промышленной инфраструктуре.
Новый компонент учитывает особенности работы систем промышленной автоматизации и содержит правила выявления киберугроз, специфичных для таких сетей. Так, например, продукт своевременно уведомит специалистов по ИБ о несанкционированном запуске инженерных утилит, попытках подбора паролей к SCADA и подмены проектов в них, а также о других потенциально опасных воздействиях на промышленные системы. Для этого в PT ISIM Endpoint заложены пакеты экспертизы, позволяющие предотвращать атаки на программное обеспечение российских (AdAstra, «Прософт-Системы», «МПС Софт» и другие) и мировых (Yokogawa Electric, Siemens, AVEVA и прочие) производителей АСУ ТП.
Таким образом, в одной системе аккумулируются события с узлов технологической сети и те, что зарегистрированы в результате анализа сетевого трафика. Кроме того, для контроля безопасности изолированных производственных площадок организаций, с требованиями к физической изоляции, предусмотрена схема подключения PT ISIM Endpoint через однонаправленные диоды данных.
Илья Косынкин, Руководитель разработки продуктов для безопасности промышленных систем Positive Technologies:
«Чтобы выстроить результативную кибербезопасность предприятий, недостаточно мониторить лишь некоторые зоны инфраструктуры, используя для этих целей разрозненные средства ИБ. Важное отличие пятого поколения PT ISIM в том, что благодаря интеграции с новым модулем система эволюционирует в новый класс решений, предназначенных для мониторинга безопасности промышленных инфраструктур. Обнаруживая киберугрозы в трафике и на узлах технологической сети, PT ISIM не оставляет слепых зон для системы кибербезопасности, обеспечивает единообразный сбор данных об активностях и в едином окне отображает инциденты, требующие внимания оператора. В перспективе PT ISIM совместит в себе все необходимые инструменты для построения технологических процессов, которые будут “заточены” под работу друг с другом. За счет этого предприятия смогут значительно сократить затраты на внедрение, интеграцию и эксплуатацию системы ИБ».
Еще одно важное изменение в PT ISIM 5 — новая карта сетевых взаимодействий, которая позволяет специалистам по ИБ удобно и легко ориентироваться в крупных распределенных промышленных инфраструктурах с десятками тысяч узлов. В ее основе лежит новый подход к мониторингу потоков данных между группами узлов. Благодаря этому обновлению продукт теперь быстрее выявляет нарушения изоляции технологического сегмента, в частности, факты подключения к интернету и корпоративной сети, нелегитимные соединения между производственными площадками или отдельными сегментами.
Кроме того, в новой версии расширены функции модуля, который контролирует технологический процесс. Появился также обновленный стартовый дашборд: на нем теперь собираются последние инциденты, уведомления о появлении новых узлов, неавторизованных соединений и сведения об инвентаризации компонентов технологической сети.
Источник: www.ptsecurity.com _Мета слова: _