В России создано первое в мире бесплатное решение для безопасности АСУ ТП
Отечественная компания Positive Technologies выпустила бесплатную версию своего продукта для мониторинга безопасности в АСУ ТП. В компании заверяют, что в мире подобные решения распространяются только за деньги.
Бесплатная безопасность для АСУ ТП
Российская компания Positive Technologies создала, по собственному заверению, первую в мире бесплатную систему мониторинга безопасности для автоматизированных систем управления технологическим процессом (АСУ ТП). Она представляет собой свободную для использования версию коммерческого продукта компании — Industrial Security Incident Manager (ISIM), выпущенного на рынок в 2016 г.
Новое бесплатное решение получило название PT ISIM freeView Sensor. Разработчики указывают, что оно предназначено для решения базовых задач мониторинга информбезопасности АСУ ТП — без сложной настройки и специфической экспертизы при использовании. Общее время, необходимое для его скачивания с официального сайта и запуска, измеряется минутами.
PT ISIM freeView Sensor предоставляется в виде виртуальной машины, которая подключается к порту зеркалирования (Mirror, SPAN) коммутатора сети АСУ ТП. Система обрабатывает копию трафика сети АСУ ТП (в том числе протоколов CIP, IEC-104, MMS, Modbus TCP, OPC DA, Profinet DCP, S7, Spabus, ARP, DHCP, DNS, FTP, HTTP, ICMP, SNMP, SSH, Telnet, TFTP), не оказывая влияния на ее компоненты.
Возможности ISIM freeView Sensor
В качестве одной из ключевых задач, которые призван решать новый продукт, разработчики указывают инвентаризацию сетевых активов АСУ ТП — система позволяет визуализировать топологию сети с узлами, соединениями, группами узлов. Другой задачей выступает контроль информационного взаимодействия в АСУ ТП — в числе прочего предусмотрен режим обучения системы, когда она запоминает все сетевые узлы и взаимодействия между ними, заводит «инциденты» на сетевые аномалии и пр.
Наконец, новому продукту предписано выявление сетевых и промышленных атак, а также случаев неавторизованного управления.
Зачем разработчикам бесплатный продукт
В Positive Technologies в разговоре с CNews не стали скрывать, что PT ISIM free View Sensor можно в некотором смысле считать презентацией коммерческой версии решения. При этом в компании подчеркнули, что бесплатная новинка является самодостаточным продуктом. Использующая его организация может с его помощью решить базовые задачи информбезопасности и этим и ограничиться.
Правда, у бесплатной версии отсутствует техподдержка и пока не решен вопрос об обновлении так называемой базы инцидентов. Однако организация с ее помощью может оценить состояние своей сети и в случае необходимости принять предельно обоснованное решение о переходе на продвинутую версию на коммерческой основе.
«Обеспечение ИБ в АСУ ТП сопряжено с массой вопросов, — поясняет Денис Суханов, директор по разработке средств защиты промышленных систем в Positive Technologies. Например, необходимо определить роли и зоны ответственности, актуализировать данные о сети АСУ ТП, оценить ее защищенность, найти необходимые инструменты защиты и обосновать их покупку. При этом использование стандартных средств ИБ (например, антивирусов) в силу специфики АСУ ТП может быть затруднено, а специализированные инструменты — недоступны широкому кругу пользователей: их не всегда можно опробовать на практике, поэтому их полезность остается не ясной. PT ISIM freeView Sensor, будучи бесплатным инструментом инвентаризации сети АСУ ТП и мониторинга киберзащищенности ее ресурсов, помогает преодолеть этот барьер и запустить поступательное развитие программы ИБ АСУ ТП предприятия».
Отличия коммерческой версии
Коммерческую версию PT ISIM помимо техподдержки отличают расширенные возможности по интеграции с внешними системами (в том числе специфическими для отраслей) и большее число поддерживаемых протоколов. Также она обладает возможностями для разбора трафика с учетом особенностей конкретного промышленного объекта, позволяет видеть актуальную в любой момент времени картину сетевых объектов на мнемосхеме технологического процесса, способна настраивать сценарии выявления атак с учетом специфики конкретного объекта, может работать как источник информации об инцидентах безопасности и являться ключевым компонентом, реализующим требования по безопасности, предъявляемые регуляторами к технологическому сегменту.
В состав коммерческих версий входит постоянно пополняемая база промышленных киберугроз — PT Industrial Security Threat Indicators (PT ISTI). Она, по заверению разработчиков, позволяет системе без дополнительного конфигурирования выявлять до 80% наиболее опасных и актуальных угроз сети АСУ ТП. В их числе — подготовка к кибератакам на ПО и оборудование АСУ ТП на ранней стадии, недочеты в настройке систем, выход технологических параметров за пределы нормальных значений, использование потенциально небезопасных средств сетевого взаимодействия и неавторизованных команд управления оборудованием АСУ ТП.
В Positive Technologies сообщили CNews, что большую часть коммерческих пользователей своей системы компания по просьбе этих организаций раскрывать не вправе. В публичном поле были представлены проект с РЖД и результаты тестирования с Siemens.
Цена на один коммерческий модуль PT ISIM в физическом, а не виртуальном исполнении начинается примерно от 1 млн руб. На крупных предприятиях число таких модулей может измеряться десятками. При этом пользователю могут потребоваться услуги по настройке, которые также потребуют денежных затрат.
Главным конкурентом Positive Technologies в этом сегменте на российском рынке считается «Лаборатория Касперского».