В PT ISIM расширена поддержка РСУ Emerson и добавлено 3000 индикаторов угроз

PositiveTechnologiesвыпустила пакет экспертизы для системы глубокого анализа технологического трафикаPT Industrial Security IncidentManager(PTISIM). В продукте расширилась поддержка распределенной системы управления (РСУ) DeltaV[1]компании Emerson. Теперь PT ISIM выявляет больше событий информационной безопасности и позволяет еще эффективнее обеспечивать защиту. В продукт включено свыше 3000 новых правил для обнаружения актуальных киберугроз, все они имеют детализированные описания, которые помогают специалистам по ИБ оперативно разбирать события и инциденты.

В обновленном пакете экспертизы — углубленный разбор протокола для управления и обмена данными РСУ Emerson DeltaV. PT ISIMанализирует команды управления контроллером и параметры технологического процесса (значения системных и диагностических тегов), которые передаются в промышленной сети. Это позволяет системе выявлять больше событий информационной безопасности, которые могут сигнализировать о кибератаках. В частности, PTISIMфиксирует перевод контроллеров РСУ в отладочный режим, изменение состояния блокировки, загрузку в контроллер управляющей микропрограммы. Кроме того, PT ISIM может обнаруживать подозрительные действия управления модулями контроллера и эксплуатацию его уязвимостей по сетевомупротоколу Telnet[2]и по проприетарному протоколу РСУ DeltaV.

«Мы разобрали операции в проприетарном протоколе для управления и обмена данными РСУ DeltaV, и теперь PT ISIM понимает, как устройства взаимодействуют друг с другом, какие команды используют и в каких случаях это небезопасно, —комментируетРоман Осташкин, эксперт по исследованию промышленных систем Positive Technologies.Некоторые события ИБ происходят в инфраструктуре не так часто, но именно они могут повлечь за собой значительный ущерб. Поэтому их нужно своевременно анализировать, и здесь как раз будет полезен мониторинг штатных операций — вокруг них хакеры могут выстраивать векторы атак и пути обхода средств защиты информации. События ИБ, которые мы разобрали в новом пакете экспертизы, а также актуализированная база правил обнаружения атак помогут своевременно устранить угрозы для промышленных компаний».

Важное изменение в пакете экспертизы — обновление базы сигнатур для обнаружения нарушений безопасности. В PT ISIM появилось более 3000 новых индикаторов актуальных угроз для промышленных предприятий. К ним были добавлены детализированные описания, которые упрощают работу специалистов и позволяют им сразу же получать полное представление о срабатываниях продукта. Кроме этого, 2000 устаревших сигнатур удалены из базы.

В числе обновлений — правило выявления ICMP-туннелей. Протокол ICMP[3]часто бывает разрешен к использованию на межсетевых экранах. С помощью него злоумышленники могут в обход средств защиты информации установить связь с управляющими серверами, вывести данные из технологической сети или внедрить в инфраструктуру вредоносное ПО. Новое правило позволит на раннем этапе обнаружить использование протокола не по назначению.

Обновления также коснулись существующих сигнатур, в частности правила обнаружения атак типа ARP Spoofing. Это сетевая атака на протоколARP[4]; хакеры используют ее для перехвата данных, которые передаются между устройствами. Новое правило менее зависимо от инфраструктуры компании и срабатывает точнее.

Новый пакет экспертизы доступен всем пользователямPT ISIM 4.4 и выше.

[1] РСУ DeltaV — система автоматизации, которая позволяет наладить структурированное управление производственными процессами на предприятии и тем самым снизить эксплуатационную сложность и проектные риски.

[2] Протокол Telnet создан на основе TCP; с помощью него можно передавать на удаленный сервер простые текстовые команды для ручного управления процессами.

[3] ICMP — сетевой протокол, который в основном используется для передачи сообщений об ошибках и других проблемных ситуациях, возникших при обмене данными.

[4] ARP — протокол, предназначенный для определения MAC-адреса другого компьютера по известному IP-адресу.

Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Правилах сервиса
Анализ
×
Осташкин Роман
АО "ПОЗИТИВ ТЕКНОЛОДЖИЗ"
Сфера деятельности:Связь и ИТ
67
Emerson Electric Company
Организации