В PT ISIM расширена поддержка РСУ Emerson и добавлено 3000 индикаторов угроз
Positive Technologies выпустила пакет экспертизы для системы глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM). В продукте расширилась поддержка распределенной системы управления (РСУ) DeltaV (система автоматизации, которая позволяет наладить структурированное управление производственными процессами на предприятии и тем самым снизить эксплуатационную сложность и проектные риски) компании Emerson. Теперь PT ISIM выявляет больше событий информационной безопасности и позволяет эффективнее обеспечивать защиту. Об этом CNews сообщили представители Positive Technologies.
В продукт включено свыше 3000 новых правил для обнаружения актуальных киберугроз, все они имеют детализированные описания, которые помогают специалистам по ИБ оперативно разбирать события и инциденты.
В обновленном пакете экспертизы — углубленный разбор протокола для управления и обмена данными РСУ Emerson DeltaV. PT ISIM анализирует команды управления контроллером и параметры технологического процесса (значения системных и диагностических тегов), которые передаются в промышленной сети. Это позволяет системе выявлять больше событий информационной безопасности, которые могут сигнализировать о кибератаках. В частности, PT ISIM фиксирует перевод контроллеров РСУ в отладочный режим, изменение состояния блокировки, загрузку в контроллер управляющей микропрограммы. Кроме того, PT ISIM может обнаруживать подозрительные действия управления модулями контроллера и эксплуатацию его уязвимостей по сетевому протоколу Telnet (создан на основе TCP; с помощью него можно передавать на удаленный сервер простые текстовые команды для ручного управления процессами)и по проприетарному протоколу РСУ DeltaV.
«Мы разобрали операции в проприетарном протоколе для управления и обмена данными РСУ DeltaV, и теперь PT ISIM понимает, как устройства взаимодействуют друг с другом, какие команды используют и в каких случаях это небезопасно, — сказал Роман Осташкин, эксперт по исследованию промышленных систем Positive Technologies. Некоторые события ИБ происходят в инфраструктуре не так часто, но именно они могут повлечь за собой значительный ущерб. Поэтому их нужно своевременно анализировать, и здесь как раз будет полезен мониторинг штатных операций — вокруг них хакеры могут выстраивать векторы атак и пути обхода средств защиты информации. События ИБ, которые мы разобрали в новом пакете экспертизы, а также актуализированная база правил обнаружения атак помогут своевременно устранить угрозы для промышленных компаний».
Важное изменение в пакете экспертизы — обновление базы сигнатур для обнаружения нарушений безопасности. В PT ISIM появилось более 3000 новых индикаторов актуальных угроз для промышленных предприятий. К ним были добавлены детализированные описания, которые упрощают работу специалистов и позволяют им сразу же получать полное представление о срабатываниях продукта. Кроме этого, 2000 устаревших сигнатур удалены из базы.
В числе обновлений — правило выявления ICMP-туннелей. Протокол ICMP (сетевой протокол, который в основном используется для передачи сообщений об ошибках и других проблемных ситуациях, возникших при обмене данными) часто бывает разрешен к использованию на межсетевых экранах. С помощью него злоумышленники могут в обход средств защиты информации установить связь с управляющими серверами, вывести данные из технологической сети или внедрить в инфраструктуру вредоносное ПО. Новое правило позволит на раннем этапе обнаружить использование протокола не по назначению.
Обновления также коснулись существующих сигнатур, в частности правила обнаружения атак типа ARP Spoofing. Это сетевая атака на протокол ARP (протокол, предназначенный для определения MAC-адреса другого компьютера по известному IP-адресу); хакеры используют ее для перехвата данных, которые передаются между устройствами. Новое правило менее зависимо от инфраструктуры компании и срабатывает точнее.
Новый пакет экспертизы доступен всем пользователям PT ISIM 4.4 и выше.
***
Positive Technologies — участник рынка кибербезопасности. Является разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Технологии компании используют более 3300 организаций по всему миру.