Поделиться
Positive Technologies выпустила новую версию системы мониторинга безопасности промышленных инфраструктур PT Industrial Security Incident Manager
Компания Positive Technologies выпустила новую версию системы мониторинга безопасности промышленных инфраструктур PT Industrial Security Incident Manager (PT ISIM). В этом поколении продукта появился компонент PT ISIM Endpoint, который выявляет киберугрозы на конечных узлах технологической сети. В числе других ключевых изменений — более удобная визуализация сети, а также новый модуль контроля технологических процессов.
Для комплексного мониторинга безопасности промышленных ИТ-инфраструктур предприятиям необходим единый инструмент, который не только контролирует технологический трафик, но и отслеживает происходящее на хостах. Чтобы вовремя обнаруживать сложные, таргетированные кибератаки, необходимо выявлять аномалии и подозрительные действия в сетевом трафике, разбирать события безопасности на уровне операционных систем, распознавать опасные технологические команды и операции в прикладном ПО АСУ ТП, а также отслеживать логические взаимосвязи между всеми этими инцидентами.
В ответ на появившийся в промышленности запрос на комплексную защиту технологической инфраструктуры в PT ISIM 5 добавили еще один компонент — агенты PT ISIM Endpoint, которые выявляют аномалии, нелегитимные операции и подозрительную активность на рабочих станциях и серверах SCADA. Теперь агенты подключаются к PT ISIM View Sensor, единой точке для мониторинга всех событий безопасности в промышленной инфраструктуре.
Новый компонент учитывает особенности работы систем промышленной автоматизации и содержит правила выявления киберугроз, специфичных для таких сетей. Так, например, продукт своевременно уведомит специалистов по ИБ о несанкционированном запуске инженерных утилит, попытках подбора паролей к SCADA и подмены проектов в них, а также о других потенциально опасных воздействиях на промышленные системы. Для этого в PT ISIM Endpoint заложены пакеты экспертизы, позволяющие предотвращать атаки на программное обеспечение российских (AdAstra, «Прософт-Системы», «МПС Софт» и другие) и мировых (Yokogawa Electric, Siemens, AVEVA и прочие) производителей АСУ ТП.
Таким образом, в одной системе аккумулируются события с узлов технологической сети и те, что зарегистрированы в результате анализа сетевого трафика. Кроме того, для контроля безопасности изолированных производственных площадок организаций, с требованиями к физической изоляции, предусмотрена схема подключения PT ISIM Endpoint через однонаправленные диоды данных.
«Чтобы выстроить результативную кибербезопасность предприятий, недостаточно мониторить лишь некоторые зоны инфраструктуры, используя для этих целей разрозненные средства ИБ. Важное отличие пятого поколения PT ISIM в том, что благодаря интеграции с новым модулем система эволюционирует в новый класс решений, предназначенных для мониторинга безопасности промышленных инфраструктур. Обнаруживая киберугрозы в трафике и на узлах технологической сети, PT ISIM не оставляет слепых зон для системы кибербезопасности, обеспечивает единообразный сбор данных об активностях и в едином окне отображает инциденты, требующие внимания оператора, — сказал Илья Косынкин, руководитель разработки продуктов для безопасности промышленных систем Positive Technologies. — В перспективе PT ISIM совместит в себе все необходимые инструменты для построения технологических процессов, которые будут “заточены” под работу друг с другом. За счет этого предприятия смогут значительно сократить затраты на внедрение, интеграцию и эксплуатацию системы ИБ».
Еще одно важное изменение в PT ISIM 5 — новая карта сетевых взаимодействий, которая позволяет специалистам по ИБ удобно и легко ориентироваться в крупных распределенных промышленных инфраструктурах с десятками тысяч узлов. В ее основе лежит новый подход к мониторингу потоков данных между группами узлов. Благодаря этому обновлению продукт теперь быстрее выявляет нарушения изоляции технологического сегмента, в частности, факты подключения к интернету и корпоративной сети, нелегитимные соединения между производственными площадками или отдельными сегментами.
Кроме того, в новой версии расширены функции модуля, который контролирует технологический процесс. Появился также обновленный стартовый дашборд: на нем теперь собираются последние инциденты, уведомления о появлении новых узлов, неавторизованных соединений и сведения об инвентаризации компонентов технологической сети.
Поделиться
Короткая ссылка
