В PT ISIM расширена поддержка РСУ Emerson и добавлено 3000 индикаторов угроз

В PT ISIM расширена поддержка РСУ Emerson и добавлено 3000 индикаторов угроз

Изображение: Positive Technologies

Positive Technologies выпустила пакет экспертизы для системы глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM). В продукте расширилась поддержка распределенной системы управления (РСУ) DeltaV компании Emerson. Теперь PT ISIM выявляет больше событий информационной безопасности и позволяет еще эффективнее обеспечивать защиту. В продукт включено свыше 3000 новых правил для обнаружения актуальных киберугроз, все они имеют детализированные описания, которые помогают специалистам по ИБ оперативно разбирать события и инциденты.

В обновленном пакете экспертизы — углубленный разбор протокола для управления и обмена данными РСУ Emerson DeltaV. PT ISIM анализирует команды управления контроллером и параметры технологического процесса (значения системных и диагностических тегов), которые передаются в промышленной сети. Это позволяет системе выявлять больше событий информационной безопасности, которые могут сигнализировать о кибератаках. В частности, PT ISIM фиксирует перевод контроллеров РСУ в отладочный режим, изменение состояния блокировки, загрузку в контроллер управляющей микропрограммы. Кроме того, PT ISIM может обнаруживать подозрительные действия управления модулями контроллера и эксплуатацию его уязвимостей по сетевому протоколу Telnet и по проприетарному протоколу РСУ DeltaV.

«Мы разобрали операции в проприетарном протоколе для управления и обмена данными РСУ DeltaV, и теперь PT ISIM понимает, как устройства взаимодействуют друг с другом, какие команды используют и в каких случаях это небезопасно, — комментирует Роман Осташкин, эксперт по исследованию промышленных систем Positive Technologies. Некоторые события ИБ происходят в инфраструктуре не так часто, но именно они могут повлечь за собой значительный ущерб. Поэтому их нужно своевременно анализировать, и здесь как раз будет полезен мониторинг штатных операций — вокруг них хакеры могут выстраивать векторы атак и пути обхода средств защиты информации. События ИБ, которые мы разобрали в новом пакете экспертизы, а также актуализированная база правил обнаружения атак помогут своевременно устранить угрозы для промышленных компаний».

Важное изменение в пакете экспертизы — обновление базы сигнатур для обнаружения нарушений безопасности. В PT ISIM появилось более 3000 новых индикаторов актуальных угроз для промышленных предприятий. К ним были добавлены детализированные описания, которые упрощают работу специалистов и позволяют им сразу же получать полное представление о срабатываниях продукта. Кроме этого, 2000 устаревших сигнатур удалены из базы.

В числе обновлений — правило выявления ICMP-туннелей. Протокол ICMP часто бывает разрешен к использованию на межсетевых экранах. С помощью него злоумышленники могут в обход средств защиты информации установить связь с управляющими серверами, вывести данные из технологической сети или внедрить в инфраструктуру вредоносное ПО. Новое правило позволит на раннем этапе обнаружить использование протокола не по назначению.

Обновления также коснулись существующих сигнатур, в частности правила обнаружения атак типа ARP Spoofing. Это сетевая атака на протокол ARP; хакеры используют ее для перехвата данных, которые передаются между устройствами. Новое правило менее зависимо от инфраструктуры компании и срабатывает точнее.

Новый пакет экспертизы доступен всем пользователям PT ISIM 4.4 и выше.

Positive Technologies
Автор: Positive Technologies
Positive Technologies — ведущий разработчик решений для информационной безопасности. Наши технологии и сервисы используют более 2300 организаций по всему миру, в том числе 80% компаний из рейтинга «Эксперт-400». Уже 20 лет наша основная задача — предотвращать хакерские атаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям. Positive Technologies — первая и единственная публичная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI).
Комментарии: