Positive Technologies выпустила пакет экспертизы для системы глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM). Обновление позволяет улучшить работу с протоколом GE-SRTP1 компании GE Fanuc (Emerson)2, обнаруживать дополнительные команды по протоколу FINS3 в контроллерах OMRON и отслеживать передачу конфигураций систем автоматизации в сети. Кроме этого, в пакет добавлено более 640 сигнатур для обнаружения вредоносного ПО (троянов и шифровальщиков) и фактов нарушения политик безопасности.
Протокол GE-SRTP, разработанный компанией GE Fanuc, предназначен для сетевого обмена данными между контроллерами GE Fanuc и инженерным ПО (Proficy Machine Edition), SCADA-системами4 и OPC-серверами5. Обновленный пакет экспертизы PT ISIM позволяет специалистам по мониторингу ИБ реагировать на инциденты, связанные с взаимодействием с контроллерами по протоколу GE-SRTP. Новые правила и события отслеживают изменение статуса и уровня привилегий доступа, установку времени, загрузку и выгрузку аппаратной и программной конфигурации, а также принудительную установку значений на входах и выходах контроллеров.
Кроме этого, в пакет добавлены правила и события для систем Wonderware InTouch (Schneider Electric), SIMATIC WinCC (Siemens), CENTUM VP (Yokogawa Electric), TRACE MODE («АдАстра»), MasterSCADA 3 и MasterSCADA 4D («МПС софт»). Они регистрируют передачу файлов конфигураций систем автоматизации в сети.
«Отслеживание изменений конфигурации систем автоматизации, осуществленных с помощью сети, позволяет выявлять вмешательства на раннем этапе. Подмена файлов может привести к некорректному отображению данных и к неработоспособности SCADA-системы в целом, — отмечает Сергей Щукин, эксперт по исследованиям промышленных систем Positive Technologies. — Важно обнаруживать внешних и внутренних злоумышленников на начальной стадии атаки, чтобы остановить их продвижение во внутреннем периметре и предотвратить повторение инцидента».
В этом году Positive Technologies обнаружила уязвимость в контроллерах OMRON серии CP1L, позволяющую злоумышленникам изменять произвольные области памяти устройства по протоколу FINS. PT ISIM находит использование недокументированных команд чтения и записи данных. Это позволяет избежать последствий, таких как полный отказ в обслуживании или выполнение произвольного кода.
PT ISIM — часть комплексной платформы PT Industrial Cybersecurity Suite (PT ICS) для защиты промышленных инфраструктур и обеспечения киберустойчивости производства, поэтому пользователи PT ICS тоже получат эти и другие пакеты экспертизы и обновления.
- Протокол GE-SRTP поддерживают контроллеры серий PACSystems RX3i, PACSystems RSTi, VersaMax, а также уже не выпускаемые, но по-прежнему широко распространенные модели Series 90-70 и 90-30, PACSystems RX7i, Mark VIe, Mark VIeS.
- Компания Emerson приобрела подразделение, ранее выпускавшее контроллеры GE Fanuc, и теперь продукция выходит под ее брендом.
- Открытый протокол связи, поддерживаемый большинством контроллеров и сетей разработки OMRON.
- Системы для сбора и обработки данных с установленных на предприятии промышленных датчиков и компонентов.
- Программное обеспечение, преобразующее данные в формат протокола OPC (англ. Open Platform Communications), который обеспечивает возможность обмена информацией с промышленными устройствами разных производителей.
- Источник: www.ptsecurity.com
- _Мета слова: _