PT ISIM

PT ISIM (PT Industrial Security Incident Manager) — это эффективный инструмент непрерывного анализа трафика технологических сетей предприятий. PT ISIM является профессиональным продуктом класса NTA/NDR (Network Traffic Analysis / Network Detection & Response) для промышленных и оперативных центров реагирования на инциденты информационной безопасности (ОЦИБ). Продукт предоставляет специалистам ОЦИБ необходимые возможности по контролю технологических аспектов функционирования АСУ ТП с точки зрения информационной безопасности.

PT ISIM — программно-аппаратный комплекс, включающий серверы анализа сетевого трафика (сенсоры), серверы бизнес-аналитики и управления уровня ситуационного центра (ОЦИБ), предназначенный для индикации и квитирования критически опасных инцидентов персоналом промышленных объектов.

На уровне защищаемого сетевого сегмента АСУ ТП (в котором расположены АРМ операторов, серверы SCADA и ПЛК) применяется сервер сбора и анализа трафика — PT ISIM View Sensor. Он получат копию трафика с порта зеркалирования коммутатора (Mirror/SPAN) или TAP-устройства.

Для централизации процесса управления сенсорами используется компонент PT ISIM Overview Center. Он предоставляет сводную информацию о зарегистрированных инцидентах, обеспечивает централизованную настройку и обновление компонентов на подключенных к нему сенсорах.

Кроме того, сенсоры PT ISIM могут поставлять информацию о событиях и инцидентах напрямую в SIEM.

Ключевые возможности и преимущества PT ISIM:

• Быстрое внедрение и повышение защищенности. Архитектура пассивного мониторинга и режим автоматического обучения PT ISIM позволяют в кратчайшие сроки подключить систему к действующей сети АСУ ТП и получить первые результаты внедрения.
• Цепочки инцидентов. PT ISIM автоматически строит на основе выявленных событий граф развития атаки. Определяет, насколько она опасна, с учетом важности затронутых злоумышленником ресурсов и характера его действий.
• Визуализация инцидентов. За счет удобных средств графического отображения элементов сетевой топологии и технологического процесса (мнемосхем) можно визуализировать инциденты информационной безопасности, в том числе на уровне бизнес-логики.
• Обнаружение нарушений политик ИБ. Система позволяет вовремя выявлять нарушения политик информационной безопасности и установленных предприятием технологических регламентов.
• Легкая интеграция в существующие процессы ИБ. PT ISIM располагает всеми необходимыми механизмами для встраивания в существующие процессы ИБ предприятия и их расширения: верхнеуровневая и детализированная отчетность, передача отдельных событий и инцидентов на уровень ОЦИБ: в SIEM и другие системы, возможности для расследования инцидентов и так далее.
• Инвентаризация и контроль целостности сети АСУ ТП. PT ISIM автоматически инвентаризирует элементы сети, включая компоненты промышленной системы управления, и непрерывно контролирует целостность технологической сети.
• Учет специфики предприятия. С помощью PT ISIM можно контролировать угрозы и векторы атак, уникальные для промышленного объекта. Для настройки механизма контроля этих векторов используются данные, получаемые в результате анализа защищенности АСУ ТП предприятия.
• Минимальное количество ложноположительных алертов. За счет настраиваемых правил обнаружения угроз PT ISIM помогает сосредоточиться на действительно важных событиях ИБ.
• Соответствие требованиям промышленной среды. Физические условия эксплуатации в промышленности бывают крайне агрессивными. Промышленное исполнение компонентов PT ISIM подбирается с учетом специфики отрасли и защищаемого предприятия.
• Определяет сегменты сети. PT ISIM автоматически определяет сегменты технологической сети, обнаруживая маршрутизаторы и подсети. За счет визуализации накопленных данных можно контролировать выполнение требований по сегментированию сети.

Уникальная база промышленных киберугроз «PT Industrial Security Threat Indicators»:

• Для обнаружения фактов нарушения информационной безопасности PT ISIM использует собственную уникальную базу промышленных киберугроз — PT Industrial Security Threat Indicators (PT ISTI). Она позволяет PT ISIM на ранней стадии выявлять подготовку к кибератакам на ПО и
• оборудование АСУ ТП (сканирование узлов сети АСУ ТП, эксплуатацию уязвимостей), находить недостатки в настройке систем (слабые пароли, отключенное шифрование), обнаруживать применение потенциально небезопасных средств сетевого взаимодействия (например, устаревшие версии протоколов) и использование недокументированных, в том числе небезопасных, команд управления оборудованием АСУ ТП (ПЛК, промышленными коммутаторами и терминалами).
• База угроз помогает PT ISIM превентивно выявлять уязвимости сети АСУ ТП, в том числе те, что эксплуатируются вирусами- шифровальщиками (например, WannaCry, Petya) и другим вредоносным ПО (например, Trisis/Triton), а также идентифицировать в сети работу майнеров криптовалюты.
• Эксперты Positive Technologies регулярно пополняют PT ISTI сигнатурами и правилами обнаружения атак на промышленное оборудование и программное обеспечение. База формируется на основе уязвимостей и типичных недостатков информационной безопасности АСУ ТП, найденных специалистами компании в ходе проектов по анализу защищенности, а также в рамках регулярных исследований новых угроз.
• База содержит несколько тысяч индикаторов компрометации сети, сигнатур, правил обнаружения атак на распространенные системы (ABB, Emerson, Hirschman, Schneider Electric, Siemens, Yokogawa и так далее). Доставка обновлений в PT ISIM осуществляется вручную или автоматически с помощью пакетов экспертизы.

Цели и задачи PT ISIM:

PT ISIM предназначена для повышения уровня защищенности, доступности и поддержки непрерывности технологических процессов с помощью анализа сетевого трафика и превентивного поиска угроз (threat hunting), направленных на АСУ ТП и осуществляет:

• Непрерывный анализ киберзащищенности АСУ ТП;
• Контроль действий персонала и подрядчиков;
• Обнаружение нарушений ИБ и кибератак на АСУ ТП;
• Своевременное выявление инцидентов и информирование ответственных лиц;
• Создание доверенного источника данных для эффективного проведения расследований нарушений ИБ;
• Анализ инцидентов, включая определение причин возникновения, а также оценку последствий;
• Помощь в планировании мер по устранению и предотвращению инцидентов;
• Обеспечение соответствия требованиям регулирующих организаций.

PT ISIM решает следующие технические задачи:

• Непрерывная обработка копии трафика АСУ ТП, получаемого через однонаправленный шлюз (диод данных);
• Анализ событий на уровне различных коммуникационных протоколов, включая промышленные (Siemens S7, IEC104, DIGSI, GOOSE/MMS, Schneider Electric UMAS, CIP, Yokogawa, PROFINET DCP, SPA-Bus, EKRA, OPC, Modbus и другие);
• Автоматически строит граф развития атаки;
• Автоматическая визуализация схемы сети АСУ ТП;
• Выявление неавторизованных подключений к сети АСУ ТП;
• Помогает контролировать выполнение требований по сегментации промышленной сети;
• Детектирование потенциальных угроз и прямых попыток эксплуатации известных уязвимостей;
• Обнаружение неавторизованного изменения технологических параметров;
• Контроль доступа к параметрам ПЛК по сети (чтение и изменение микропрограмм и проектов ПЛК);
• Обнаружение неавторизованного управления ПЛК по сети;
• Выявление сложных, распределенных во времени атак на АСУ ТП (цепочки атак);
• Извлекает файлы из технологического трафика для последующего анализа в смежных системах;
• Генерация инцидентов ИБ с учетом логики технологического процесса;
• Визуализация мнемосхемы техпроцесса и индикация компонентов, работа которых нарушена в результате инцидентов ИБ;
• Формирование и отправка отчетов об инцидентах и состоянии защищенности АСУ ТП во внешние системы (SIEM, НКЦИБ и другие).